多个专线做负载均衡_运营商行业：网络安全及负载均衡厂商核心能力概览（第一期）...-蒲公英云

大路咨询本次发布“运营商行业：网络安全及负载均衡厂商核心能力概览”，主要依据近三年运营商领域的集采项目进行分析，且所有统计数据均来自公开官方发布的集采中标公告信息。从过往三年的集采数据中可以看到，能够进入运营商市场的网络安全厂商及负载均衡厂商非常少，这也足以凸显出这些入围并中标厂商产品的先进性和稳定性。由于运营商采购的主要形式来自于集采，大路咨询本次数据统计也可以说是囊括了运营商行业网络安全及负载均衡厂商的核心能力。

运营商行业网络安全的重要性

通信行业是国家经济社会运行的神经中枢之一，也是国家信息安全建设的重点领域。运营商承载了我国几乎全部人口的个人信息以及网络流量信息，因此，运营商领域对网络安全的要求就会尤为严格，甚至苛刻。但相对网络传输而言，运营商网络安全建设相对滞后，期初全部是依赖国外的网络安全产品，且防护范围较窄，直至2007年左右，运营商才逐步放大了网络安全的需求，开始对网络安全产品进行集采入围招标。时至今日，已经有大量国产品牌安全产品入围，国产品牌的安全产品以及负载均衡产品都成为了运营商行业的主力军。

运营商外采产品的采购形式

运营商针对外部产品的采购主要包括两种形式：集采入围和单独项目招标。集采顾明思议就是集中采购，除了中国广电以外，中国移动、中国联通和中国电信的多数网络及安全产品都是采用集采形式，集中采购是集团汇集各下属公司的需求，根据所有需求形成多项共性指标，然后再进行每年一次或每两至三年一次的集中采购招标。入围后的厂商产品就进入了采购名录，集团和各下属单位均可在集采入围名单中进行产品选型和采购，不用再走单独的招投标流程。采用项目单独招标形式进行产品采购，采购产品是集采名单中没有的产品，比如：新型产品、非标准化产品、其他特殊需求产品等。例如针对政企客户所提供的包括互联网、多媒体、专线等服务的ICT业务以及以主机租赁，代维托管服务为主的IDC业务，单独招标非集采产品项目较多。目前运营商针对网络安全产品的集采主要包括：防火墙、入侵防御、负载均衡等。ICT/IDC采购一般是APT、蜜罐等非通用化安全产品。

运营商集采产品的高标准要求

由于运营商集采是集中了所有下属公司的需求进行的集中采购入围，因此，所采购入围产品就要让各个需求节点都能满意，这对于产品要求就提高了门槛，对于产品在功能、性能、稳定性、可靠性等方面都是很大的考验。大路咨询针对集采的研究发现，如下指标是集采要求的重点： (1)高性能要求 从1G到4G，移动通信的核心业务是人与人之间的通信，但是5G的通信不仅仅是人的通信，随着物联网、工业自动化、无人驾驶等业务被引入，通信从人与人之间通信，开始转向人与物的通信，直至机器与机器之间的通信。

5G时代，随着各类新兴业务的发展，带来增强移动带宽，海量机器通信、超高可靠、超低时延通信需求，因此在运营商网络中，对于安全设备的要求也越发提高。运营商防火墙集采已经将高端档次混合应用层吞吐性能提升至600Gbps，可扩展性提升至800Gbps的新高度。IPS性能要求达到了100Gbps以上，负载均衡要求也达到了200Gbps以上等。 (2)不中断要求 运营商业务不允许中断，不仅设备要求高可靠性、高稳定性，网络架构也须为冗余备份组网。针对防火墙产品，为真实模拟现网业务需求，防火墙集采测试都是在双机热备组网场景下进行。同时测试流量背景叠加典配要求的虚拟防火墙、策略数，设备还需开启 NAT 日志， SNMP 管理、分片包安全策略处理机制、 ALG 功能、动态路由协议等特性，性能流量为HTTP和FTP的混合应用层流量，测试业务成功率必须大于 98%以上。针对入侵防御产品，运营商早已经不在只提供单纯的面向公众的语音、数据等，同时也面向企事业单位也提供专线、云服务等业务。尤其在运营商云资源池、IDC、CDN等业务网络中，风险时刻存在。为识别现网入侵攻击，并且不改变网络架构减少故障点，现网入侵防御设备多以镜像旁挂在核心交换机的方式部署。移动入侵防御集采测试也因此新增了入侵防御设备旁挂组网检测能力测试。为检测设备可靠性能力，增加了长时间稳定性测试，主控及交换板卡冗余测试，主备及风扇冗余测试，对设备的健壮性提出了更高的要求。针对负载均衡产品，负载均衡设备双机热备下性能表现及长时间可靠运行是保障业务系统业务连续的关键能力，移动的负载均衡测试今年对双机流量模型进行调整，同时叠加整机70%新建、并发、吞吐，且开启会话热备情况下进行上下行链路故障、心跳线故障、手工切换等模拟，并且要求切换过程中成功率不低于98%，心跳线故障不允许有失败等更高要求，针对可靠性，要求前述流量模型下稳定运行10小时以上。

(3)攻击防御的拦截率有明确要求

针对各种攻击逃逸形式，运营商也进行了扩展测试，入侵检测新增Chunk 传输、分隔符等方式，编码格式转换、 Body 压缩、 Chunk传输、分隔符等方式，且检测并拦截率要求60%以上。现网实际攻击场景中，客户端类的攻击日益增多，移动入侵防御集采新增客户端类攻击检测，包括浏览器漏洞、 PDF文件漏洞、 OFFICE文件漏洞攻击等，且检测并拦截率达到至少60%以上。在这里需要说一下攻击拦截率的问题，这个概念除了运营商及金融行业以外，其他行业较少提起，甚至没有这个拦截率的概念，或者认为只要上了这些安全设备拦截率就能达到100%，这其实有点天方夜谭。但是究竟能达到多少呢？各个安全厂商都有不同的宣传口径，但是运营商给了我们一个量化值，虽然看起来不高，但是依旧筛选出了一大批安全厂商的产品，只有少数安全厂商入围，就从这一点来看，我们就不言而喻了。 (4)虚拟化能力要求 虚拟化能力方面，运营目前着重的是虚拟防火墙产品，典型配置要求中，虚拟防火墙个数要求从100个提升至512个，且把此项指标提升为废标项。

(5)流量分配均匀要求 值得一提的是，2020年移动的负载均衡测试首次引入自动化测试，对于负载均衡分担效果观测更加客观公正，实现一次模拟流量多次观测负载分担结果、每个用例多次打流量等方式验证设备功能完备性。

这方面主要是考验流量分配灵活性和负载分担效果均匀性，可以针对加权轮询负载均衡算法、最少连接负载均衡算法、Hash负载均衡算法、基于源地址负载均衡算法、基于HTTP URL的负载均衡算法等方式进行严格的自动化审核。 (6)IPv6的要求 伴随IPv6业务发展，运营商不仅对于防火墙要求有成熟的IPv6的功能，同时对于IPv6负载均衡业务也提出更多要求，要求负载均衡设备具备IPv6负载能力，具备NAT64，新增SIP、RTSP、FTP 等业务ALG能力以支持更丰富业务，同时对IPv6流量的四、七层业务性能、会话热备及可靠性能能力作出明确要求。