阿里云企业级云网络解决方案_云企业网CEN

阿里云企业级云网络解决方案

NAT 网关是一款企业级的地址转换网关，提供 NAT 代理（SNAT、DNAT）、跨可用区的容灾能力。公网NAT网关与EIP、共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级公网访问出入口网关。VPC NAT网关可与高速通道，CEN TR组合成为私网互访的私网访问出入口。

立即咨询

首页 > 产品中心 > 网络安全 > 阿里云企业级云网络解决方案

客户架构

解决方案概述

账号划分：不同子公司可以用不同的账号，保证资产独立；网络分区：按照业务形态，三种方式：1、每个业态独立VPC部署；2、WEB-APP-DB，分层独立VPC部署；3、紧密型业态，同VPC多vSW部署；路由边界：每个账号有独立的CEN，CEN之间路由域隔离；不同的业务系统独立VPC，VPC天然隔离；业务间互通，VPC接入CEN-TR实现路由传播；

解决方案整体产品介绍 icon

解决方案核心产品-云企业网CEN icon

全新智能

• 智能组网，全网路由自动同步

• 意图网络，基于policy的全球一张网

• 智能诊断，全链路诊断分析

弹性升级

• 超大规模：10->1000个VPC

• 超大路由：100->5000条路由

• 超广覆盖：25个地域，280+ 灵活组网

• 复杂组网：服务链编排组网

• 精细管理：跨地域QoS/TOP-N

• 能力升级：全场景组播

解决方案核心产品- NAT网关 icon

产品简介

NAT 网关（NAT Gateway）是一款企业级的地址转换网关，提供 NAT 代理（SNAT、DNAT）、跨可用区的容灾能力。公网NAT网关与EIP、共享带宽包配合使用，可以组合成为高性能、配置灵活的企业级公网访问出入口网关。VPC NAT网关可与高速通道，CEN TR组合成为私网互访的私网访问出入口。

• 灵活易用：简单易用、便捷开通

• 稳定高性能：通过底层的高可用架构，提供稳定、高性能的服务

• 可视化运维：丰富多维度的监控数据，帮助提升运维效率

解决方案核心产品-负载均衡SLB icon

负载均衡SLB（ Server Load Balancer ）是阿里云负载均衡产品的统称，一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。 SLB负载均衡具有即开即用，超大容量，稳定可靠，弹性伸缩，按需付费等特点。根据不同应用场景分为：主要基于7层(HTTP/HTTPS)的应用型负载均衡ALB；主要基于4层(TCP/UDP)的传统型负载均衡CLB；以及其他类型。

解决方案核心产品-私网连接PrivateLink icon

私网连接（PrivateLink）简介

私网连接是利用阿里云的私有网络进行服务交互的一种方式。利用私网连接，阿里云上的用户可以通过私有网络访问其它VPC所提供的服务，无需创建NAT网络、EIP等公网出口。交互数据不会经过互联网，有更高的安全性和更好的网络质量。私网通信：流量不会离开阿里云内网，大大减少数据泄露的可能性；避免被攻击等互联网安全问题；低延迟高质量：同可用区转发，时延更优，抖动更小；具备高可用能力，可靠性更高；安全可控：能够控制服务连接请求和访问带宽；支持安全组和网络访问控制列表能力；简化管理：服务方和使用方的网络可独立规划，无需担心地址冲突，简化网络路由配置；支持跨账号服务访问，简化账号和安全管理；

云上网络分区设计

网络分区设计

满足业务规模化发展需求，合理划分VPC和vSW，DMZ、生产、开发测试、运维管理等独立VPC部署；满足可靠稳定性，建议重要业务业务系统跨可用区部署；满足业务之间的高效调用和交互，关联业务尽可能部署同Region；

分区间网络互通

通过采用CEN-TR，打通阿里云上任意Region开通的业务系统，实现全局一张内网；VPC按需加入TR，自由控制路由的传播和学习；采用多路由表，按需控制不同VPC之间or不同vSW之间的互通关系；采用多路由表，配置默认路由，将对互联网的访问调流到DMZ区，统一公网出口；CDT(按流量计费)根据业务灵活计费，跨地域QoS保障业务带宽优先级。

企业内网安全场景-东西向 icon

场景说明

实现企业内网东西向流量统一管控，借助云原生或第三方防火墙安全能力，降低企业内网安全威胁，通过网络安全架构实现企业不同业务的隔离。

推荐方案

使用TR多张路由表能力，支持建立可信流量（防火墙处理后）和不可信流量（防火墙处理前）等不同路由表隔离网络流量。设置安全VPC，使用云原生防火墙或第三方防火墙进行内网流量安全检测。IDC上云/下云流量，跨地域流量同样也可以通过安全VPC内的防火墙进行安全处理。

方案价值

兼容性

支持云原生防火墙的同时也与Palo Alto，Fortinet等镜像版软件设备完美匹配。

高可用性

底层网络和设备均具备高可靠特性，保证上层业务容灾能力。

高性能

进出安全VPC的带宽最高支持10Gbps，支持大规模企业网络及流量突发场景。

企业内网安全场景-南北向 icon

场景说明

• 借助云原生或第三方安全产品能力，降低企业外部安全威胁，防止遭受来自互联网的攻击、渗透、爬虫等

• 通过网络安全架构保护企业应用安全运行

推荐方案

• 设置单独的DMZ VPC，从网络规划层面隔离保护后端业务VPC

• 配合互联网边界防火墙，在流量到达DMZ VPC之前进行安全检测和异常防护

• 还可通过内网防火墙进行二次防护

方案价值

简化部署

通过云控制台、API或Terraform等方式均可以简单快速的部署上线，方便企业运行维护工作。

业务安全保障

云原生安全或通过阿里云合作伙伴提供的全面网络安全特性，提高企业网络等级。

高可靠

从底层链路和设备提供网络的高可靠能力，极大减轻企业客户高可靠设计复杂度。

企业DMZ上云场景

场景说明

随着企业业务云化进程逐渐进入深水区，简单地使用云上资源出入公网已经无法满足业务的诉求，安全、成本、权限、监控等诉求的迭代，需要企业有系统性地视角来考虑如何做好公网出入口（DMZ）的规划设

推荐方案

• 统一出口：在TR组网架构下，使用NAT网关在DMZ VPC统一云上公网出口，为不同业务设置不同的EIP出口方便流量统计管理

• 统一入口：DMZ VPC与后端业务VPC通过TR或PrivateLink打通，通过ALB/NLB跨VPC挂载能力保障后端业务VPC无需暴露在公网

方案价值

保障企业安全出入口，防止潜在针对云资源的攻击侵入。

出口带宽共享，优化公网成本，统一管控公网权限，防止业务部门私开公网资源导致业务遭受安全威胁。

监控内网/外网访问情况，及时排查异常流量原因。

企业DMZ上云场景-公网出口设计 icon

DMZ区域设计

DMZ-VPC设计：将企业云上整体的WAN能力均放在Shared-Service的DMZ-VPC，该VPC内可按需部署NATGW、防火墙、行为管理等公网产品。安全设计：联动云防火墙等安全产品，保障公网出口安全，并结合NACL实现安全访问策略。成本优化：启用共享带宽，并将所有EIP加入其中，节约成本。权限划分：利用将公网出口能力统一收口至IT部门，部署DNAT+SNAT，业务VPC均通过CEN实现跨VPC访问公网。监控管理：使用NATGW+流日志的组合能力，监控公网出口流量信息，并根据异动排查原因。

统一公网出向

统一公网出口：使用增强型NATGW，并开启跨VPC访问NATGW能力。

企业DMZ上云场景-公网入口设计 icon

DMZ区域设计

DMZ-VPC设计：将企业云上整体的WAN能力均放在Shared-Service的DMZ-VPC，可按需部署ALB/NLB、WAF、云防火墙等产品。安全设计：业务Internet/Intranet VPC分离，联动高防、WAF、云FW等安全产品，保障公网入口安全。成本优化：启用共享带宽，并将所有EIP加入其中，节约成本。权限划分：利用将公网能力统一收口至IT部门，统一控制和管理企业业务入口。监控管理：使用ALB/NLB+流日志的组合能力，监控公网入口流量信息，并根据异动排查原因。

公网入向

公网入口：4层应用使用NLB，7层应用使用ALB。

VPC互联：使用CEN/PrivateLink均可以实现VPC之间的互联能力，推荐使用PrivateLink，无需配置路由。

企业内共享服务场景

VPC挂载多个CEN

场景说明

某业务系统即和本公司的其他系统有交互，同时可能和其他子公司、或者集团内其他账号下的业务系统需要互通。

推荐方案

采用多VPC，可以把同一个VPC分别加速多个CEN中（可跨账号加入对方CEN），解决业务系统快速互通的需求。

方案价值

• 简单易用：无需改动业务架构，无需复杂的规划，只需要有一个加入的动作，即可实现异构路由域的快速互通，且不影响已有访问关系；

• 边界清晰：VPC的资源归属为发生任何变化，只是在路由层面进行了网络通道的打通。

Share VPC

场景说明

有跨子公司、跨部门、跨项目的数据共享、系统对接等情况，需要网络最小化互通；

推荐方案

采用共享VPC，可以让不同账号的用户把资源（ECS、SLB、RDS）部署在同一个VPC内，快速满足业务需求。

方案价值

• 企业分账：各个业务方可以自己购买资源，共享VPC一方提供平台和共享资源（如NAT、VPN、公网出口等）

• 快速上线：各业务方案的资源部署在统一VPC，路由天然互通；

企业间共享服务场景

场景说明公司A和公司B因为业务发展需要，进行合作共创，需要有数据共享和业务接口相互调用；但是考虑到数据安全性，不希望双方的网络直接互通推荐方案根据数据调用的方向，两个公司分别在自己的服务资源VPC中创建终端节点服务，对方公司按需创建终端节点，并向对象发起数据访问。如果多个公司之间数据服务，一个终端节点服务可以被多个对方公司提供数据访问服务。方案价值安全：数据通过阿里云内网互通，避免通过公网出现的不安全风险；简单：无需创建前置数据交换VPC，避免网络层直接打通，网络管理简单，运维边界清晰；灵活：可以一对多，快速向对方提供服务，让企业间的合作层面变的更简单可控；

集团专线互通场景

场景说明：集团公司+多子公司客户，集团统一向运营商采购专线统一管理结算，各个子公司共享专线资源按需开通。推荐方案：集团购买多条专线，形成备份、或者负载，就近接入阿里云POP点；建议购买不同运营商的电路，客户侧接入不同的CPE设备，阿里云侧接入不同的POP点。集团内每个子公司都有独立的UID，集团创建不同的VBR，跨账号授权给对应子公司的UID；同一子公司的VBR和VPC加入在各自UID的CEN实例。方案价值：不同子公司使用单独的VBR做到网络隔离，共享集团物理专线，子公司按需合理使用带宽，集团管理物理专线，统一结算。

专线流量加密场景

场景说明：大客户敏感业务，对于专线上云流量有加密需求。政企对于专线加密需求，主要集中在国密符合政府加密要求。金融领域对专线同样有加密需求，特别是对外提供金融服务的平台。推荐方案：在专线互通的基础上创建私网形态的VPN网关与线下CPE设备打通Overlay网络。确保VPN的路由优先级高于VBR，支持专线和VPN网关双BGP/静态，以及专线静态+VPN网关BGP。方案价值：私网流量加密通信，提高客户业务的安全性。满足金融/政企网络合规要求。

全网流量监控场景

场景说明

企业IT部门需要对云上内网流量、公网流量以及专线流量进行统一监控，关注日常网络资源水位，对于异常流量进行及时的告警排查

推荐方案

• 开通网络智能服务（NIS）产品作为统一的监控平台，结合VPC流日志（Flowlog）功能进行实例诊断、路径分析和流量分析。

• 公网流量需要在NAT网关上开启，内网东西向流量和专线流量在TR上开启，如果需要定期存储历史数据，也可以结合日志服务SLS使用。

方案价值

通过NIS产品统一呈现网络产品分析、质量、水位和监控结合日志服务SLS，快速定位故障原因。

定期针对网络实例健康度巡检，通过路径进行配置检查。

全网流量审计场景

场景说明

金融或政府客户对于安全性合规性比较高的业务场景企业客户针对网络入侵检测通过自主研发或第三方安全软件对流量做全面检查

推荐方案

• 通过VPC流量镜像功能，可以复制VPC中ECS实例的网络流量转发到分析平台，用于内容检查、威胁监控和问题排查等场景

• 分析平台可以选择在云上On ECS部署或者通过VBR将流量传输到线下IDC物理设备进行分析

方案价值

不影响业务流量转发，不入侵业务ECS。

无需购买流量采集设备和控制器，即开即用。

通过流量审计和分析，避免网络入侵和潜在威胁。

行业案例

XXX：大型珠宝零售连锁品牌，拥有庞大的零售网络，数千家门店遍及中国、日本、韩国、东南亚与美国

客户业务遇到的挑战
满足生产业务上云，实现云上云下互访

ERP、OA系统上云，降低本地IT运维成本

数千家门店访问云上云下，业务不中断

业务易扩展：灵活调整数据采集和上传的带宽

阿里云网络做了什么？
降低运维成本50%，同时实现智能化运维

CEN连接多地资产，组建企业全球网络

集中运维，降低运维成本50%

大幅提高跨国业务效率

带来的收益
业务平滑迁移，生产稳定性提升，促进全球业务

生产应用无感知迁移上云

稳定高可靠，SLA可达99.995%

便于上云和大数据分析，实现企业数字化转型

行业案例

XXXX：百年化工巨头，拥有高标准的规范和IT管理体系。利用数字化转型强化企业的快速交付能力。

客户业务遇到的挑战
云网络架构满足业务发展和企业合规要求

云上多业务安全互通与隔离

多地域混合云组网

统一管理云上公网出口

阿里云网络做了什么？
降低企业IT管理成本50%，实现代码交付

构建企业级云网络标准架构

安全、高效、集中管理云上网络资源

实现所有产品代码化快速交付

带来的收益
加速企业应用上云，完成数字化转型

企业应用快速、无损、平滑上云

实现资源灵活开通，增加企业IT效能

降本增效，加速企业应用上云

产品推荐查看更多>>

美创科技诺亚防勒索系统

美创科技诺亚防勒索系统是美创科技为应对当前爆发式增长的勒索病毒事件，联合内部数据安全实验室协同研发的以数据资产防护为核心的、以零信任为基础的勒索病毒防护软件。

高可用

安全可靠

功能完备

立即咨询查看详情

长扬安全隔离与信息单向导入系统ISGAP

长扬安全隔离与信息单向导入系统（ISGAP）是在网闸物理隔离和数据摆渡的设计基础上，内部使用单向的光纤传输部件来实现保证数据绝对单向传输的安全产品（以下简称单向光闸）。标准的网闸设备虽然可以从物理上隔离两个网络，但是安全通道的软件配置上是可以配置成双向的，安全隔离与信息单向导入系统从硬件设计上保证了数据只能单向传输，杜绝了数据泄露的可能性。

设备信息查看

支持数据的多种传输模式

多样化的日志管理

协议数据的可控性

立即咨询查看详情

天融信智能测试系统

天融信 TopTAF智能测试系统集成了先进的安全检测工具，构建了一套自动化、标准化和可视化的信息安全产品检测业务处理平台，并完成了各类信息安全软硬件产品的功能、性能和安全性检测，能够根据标准模板自动生成测评报告。

高效稳定

安全可靠

立即咨询查看详情

数字化社区查看更多>>