（图片来源于网络）

整体介绍

2016年，国内某大型电力集团互联网统一出口项目部署完成。2020年，该集团统一出口二期加固项目成功上线。整个统一出口及加固项目历时五年，经过充分的现场调研，考察，多方专家的讨论，方案设计，方案验证，经过从测试环境到生产环境的迁移，在IT部领导的正确指挥下，IT部技术骨干、设备厂商和代理商工程师组成的数十人团队的共同努力下，最终顺利实施上线。通过统一出口及加固项目建设，集团下属分支原有上百个互联网出口集中收拢为一个，实现集中优势力量，重点防御来自互联网的安全风险；在总部的统一监控下，各企业认真设定互联网使用策略，使互联网使用更具效率；总部统一进行架构规划，保证各类安全防护能力，达成公安部要求。

在项目建设中，F5公司作为整体方案的重要合作伙伴和设备提供商，全程参与了方案的设计，验证，实施上线等工作。通过采用F5的应用交付技术，用户访问业务更加安全可靠，稳定性高效提升，整个架构也更加易于扩展，为该电力集团的信息化建设和融合创新的“互联网+”战略发挥重要作用。

客户概况

此国内大型电力集团是国家电力体制改革组建的国有独资发电企业，属于国务院国资委监管的特大型中央企业，主营业务包括电力生产、热力生产和供应，以及与电力相关的煤炭等一次能源开发和相关专业技术服务。近年来，公司深入贯彻落实党中央、国务院各项决策部署和国家能源战略，加快结构调整，着力提质增效，深化改革创新，加强党的建设，综合实力不断增强，行业地位明显提升，曾在2019年上榜世界500强。

挑战与需求

随着信息化和工业化的深度融合以及“互联网+”的概念日趋成熟，此国有大型电力集团大力推动信息化集成应用和融合创新。引入了云计算、大数据、电子商务等技术，推动了业务的发展。但随着业务推向互联网，信息安全风险日益增加，强化互联网出口安全性已迫在眉睫。

十三五期间，国务院、国资委发布中央企业信息化工作的指导意见，明确要求：能源、电力等的重要信息系统和互联网等基础信息网络要严格安全管理,减少政府机关的互联网连接点数量。同时，国务院发布国家政务信息化工程建设规划，要求“减少各部门互联网出入口数量，推进党政机关互联网统一接入。

集团旗下百余家分支机构企业，各自租用和管理互联网应用，所有互联网总带宽为20G左右，由于没有统一的互联网出口，无法实现统一的管理，存在巨大的安全隐患。包括：

1. 互联网出口是最大的信息安全风险来源。集团百余家下属企业，多达上百个互联网出口，缺少整体防护策略，很多下属企业未部署足够的安全防御措施，各企业的安全防护能力和运维能力也参差不齐，无法抵御来自互联网的专业攻击者。

2. 集团内网的网络互通。攻击者从一个出口防御薄弱的企业入侵后，可以进一步在内网横向攻击，从而造成巨大损失。

3. 各企业自主安排互联网策略，没有统一策略，互联网使用几乎没有控制。

4. 由于各企业自身能力所限，部分企业只有基础日志记录能力，不符合公安部有关规定。

因此根据集团总体要求，计划采用统一管理模式，总体管理、规划各单位互联网业务，在安全方面主要实现目的如下：

1. 通过对互联网出口整合，实现互联网出口统一安全防护，增强互联网访问的安全性，消除各分公司、子公司互联网出口带来的安全薄弱点。

2. 通过对互联网出口整合，实现用户上网流量统一管理、统一控制，合理、有效、按需分配带宽，避免带宽滥用、资源浪费，提升网络质量。

3. 通过对互联网出口整合，实现安全事件统一管理，做到事前预防、事中控制、事后追查，避免安全事件重复发生。

由此可见众多互联网出口统一集中收口势在必行，但集中后的互联网统一出口也同时面临以下的技术难点：

1. 集中为统一出口后，对互联网线路和出口安全设备在性能，高可用性，扩展性等方面要求急剧增加，互联网线路和安全设备都可能由于故障或性能不足而带来整个集团的全局性影响。

2. 为了具备足够强壮的安全防御能力，统一出口必须配置全面的安全产品。而大部分安全产品都需要串接在网络中才能起到作用，出网方向包括代理服务器，上网行为管理，流控，DLP，防火墙等；入网方向包括防火墙，IPS，WAF，防DDOS等，而串接的安全设备太多导致部署维护复杂，故障点多，网络延迟高，而且任何一组设备故障都会产生严重的影响。

3. 随着HTTP2.0的普及，大量互联网网站和应用都已经实现全站加密。据统计互联网SSL加密流量已占比70%以上，出口应用层安全设备已逐渐失去作用。

4. 目前内网用户上网采用NAT方式实现。根据国家相关部门要求，需对NAT日志做半年到一年的留存审计；以往对此的通常做法是采用上网行为管理设备做HTTP URL记录，但产生的日志存储量巨大，投资和维护成本高，而且很难留存HTTPS加密流量的访问记录。

5. 在重大的网络安全活动中，为了抵御攻击，需要快速上线一些新型安全设备或安全策略，但新的安全设备或策略很可能导致业务访问受到影响，如何实现新安全设备和策略的无感知上线也是需要着重考虑的问题。

国内大型电力集团统一出口架构

在此电力集团的统一出口架构中，F5 VIPRION设备实现了出网和入网流量在多种安全设备间的调度，编排和控制作用，使得整个架构兼具灵活性，高可用性和扩展性，起到了战略控制点的作用。

1. 连接多运营商线路，实现出入向流量链路负载均衡，并提供专业的DDOS防御能力和防火墙池化；

2. 部署SSL加解密编排功能，实现SSL流量解密和重加密。在其之间的SSL解密区部署NGFW,IPS和上网行为管理等安全设备，对明文流量做安全控制；同时用于实现NGFW，IPS和上网行为管理设备的池化，实现安全设备的水平扩展架构；

3. 将安全设备以旁路方式部署在安全流量清洗区，以减少串联在网络中的设备，减少故障点，并通过业务编排功能实现基于应用的业务链；

4. 通过CGN技术实现所有出向NAT请求都只需要留存少量日志（相比普通NAT日志比例为1:100000）即可满足审计要求，极大的减少NAT日志数量。

效果概述

统一出口建设通过部署F5解决方案，实现了

1. 安全性提升：多重SSLO功能部署，针对SSL流量实现高效安全控制。

2. 便捷维护：整合众多功能，简化网络结构，易于维护，减少故障点。

3. 扩展性高：通过F5 VIPRION实现对防火墙，IPS和上网行为管理设备的池化，确保高可用性和高扩展性。

4. 成本可控：通过CGNAT（PBA）技术实现出向NAT，极大减少日志数量，从而有效降低长期固定资产投资。

5. 个性体验：智能业务链功能可基于应用来部署安全业务链策略，实现不同员工的不同上网体验。

结语

“统一出口及加固项目建设成功是集团信息化安全建设的一个重要里程碑。”集团IT部领导说，“这符合国家互联网管控要求，将集团互联网出口数量大量缩减，通过统一安全管控策略，应用的统一发布与防护，降低了互联网出口安全风险，整体提升了集团的网络安全水平。而且经过该项目，我们锻炼出了一支的专业团队，拥有了大量的实践成果和丰富经验，相信可以在集团未来的信息化建设中发挥重要作用。同时也感谢F5公司在该项目中对集团的大力支持，也期待F5公司将来能够把更多的全球先进的技术和经验带给我们，帮助我们把信息化建设做得更好。”

F5公司也将继续与客户密切配合，通过不断创新的技术发展理念，为客户带来更加高效的随需应变的IT基础架构。