我们每天都在管理「网络」,但日常运维的大多数操作,却是围绕「设备」展开:
上策略,是在某一台设备上配置
出问题,是登录不同设备逐个排查
做优化,是调整链路、替换节点
我们似乎默认了网络是由设备构成的,管理网络就是管理设备。
但真正贯穿整个网络的,从来不是设备,而是流量。
当流量被拆开管理,问题开始出现
一条流量进出网络可能会经过很多设备,每一台设备都在处理它的一部分——访问控制、攻击检测、日志记录……
这种“按设备划分”的管理方式,在网络简单的时候没什么;但当安全设备越来越多,问题就开始变得复杂。
改个策略,要动好几台设备 出了问题,要一层一层排查 加个新设备,整个链路都要跟着调整
看上去是运维复杂度的问题,但说到底,我们从来没有把“流量”当成一个整体来管理,流量经过很多节点,但没有一个地方能统筹全局。
或者说,流量是连续的,但管理是分散的。
让流量可调度,才是关键一步
当我们换个角度,把“流量”作为核心对象时,流量编排应运而生。 ▶了解流量编排:安全设备串成糖葫芦,你需要一台流量编排
它解决的,是一个非常基础但关键的问题:
让流量按需选择路径,而不是被动经过所有设备。
流量编排示意
比如,Web流量交给WAF,办公网流量走访问控制,非关键流量可以不进入安全链。 这样一来,每个设备只处理自己擅长的流量,避免资源浪费,也减少性能瓶颈。 同时,网络也变得更加灵活。流量路径可以动态调整,新设备按需接入,割接也更方便。
简单说,流量编排的意义,是让网络可以按流量来做决策,而不仅仅只按设备。
当流量编排成为入口,它的角色还需升级
流量编排落地后,网络结构会发生一个很明显的变化:
所有流量,都会先经过编排系统,再被分发出去。
这意味着,流量编排实际上成为了网络中的“第一入口”,或者说,网络安全的“第一跳”。
既然都已经占据了C位,它如果还只是一个单纯的分流工具的话,那未免也太过可惜。
如果在这个流量入口,让其具备完整的治理能力,就可以形成一个安全运营的关键支点,我们在第一时间就能发现问题、处置异常。
Panaflow:流量的智能运营中枢
这个关键支点的产品化形态,就是我们全新推出的流量编排——Panaflow。
Panaflow 基于PanaOS自主研发的七层流量编排产品,融合流量编排、行为管控与安全防护能力,实现对流量的识别、调度与处置一体化管理,助力用户从“设备驱动”走向“流量驱动”。
在此之前,流量编排是我们下一代TAP分流器(NG-TAP)中的一个功能模块;现在,它成为了一个独立产品,从原来的流量调度工具,升级为流量的智能运营中枢。
Panaflow,是一个“看懂流量、调度流量、控制流量、处置流量”的系统。
# 应用能看懂 基于DPI引擎实现应用识别与精细化分类。 👉 先看懂,后面所有决策才有依据。 # 流量能调度 和原来的七层流量编排一样,基于策略驱动实现流量路径的动态分配。 👉 好钢用在刀刃上,让安全资源真正只处理关键流量。 # 行为能管控 哪些业务优先保障、哪些应用要限速、哪些访问直接禁止,都可以自由决定。 👉 保证关键业务不被无关流量挤占。 # 安全能防护 引入百万级威胁情报,实现对异常通信的实时检测与阻断。 不仅如此,常见的Flood攻击、畸形报文、ARP异常等都可以自动识别与处置;还能基于源/目的IP、端口、应用等多维条件,实现精细化访问控制。 👉 不只“发现问题”,流量进入的第一时间即可完成防护与处置。
如果说原来的流量编排只是分车道的话,那么Panaflow就是在路口加上了交警系统,不仅知道车该走哪,还能在异常发生时,第一时间介入处理。
从分流到中枢,不只是能力叠加
当流量识别、路径调度、行为控制与威胁处置被集中在同一个入口之后,网络的运行方式也随之发生变化。
原本分散在不同设备上的策略开始收敛,流量路径、行为控制与安全处置也不再割裂,流量开始被统一治理。
▶ 对运维来说: 不再需要在多台设备之间反复切换,策略调整与问题排查都有了统一入口。 ▶ 对安全来说: 威胁可以在流量进入网络的第一时间被识别和处置。 ▶ 对整体架构来说: 网络从“设备堆叠”走向“能力收敛”,结构更清晰,扩展更从容。
这种以流量为核心的管理方式,尤其适合流量大、业务杂、多安全设备并存的网络出口、数据中心等场景。 同时,作为部署在关键路径上的控制节点,Panaflow在性能上也具备生产级承载能力。编排处理能力最高可达400G,并结合Bypass机制,保障异常情况下的业务连续性。在“看得见、管得住”的同时,还能“跑得稳、跑得动”。
也正因如此,它才能真正部署在网络关键路径上,成为流量的第一入口与控制中枢。
最后
如果你的网络中,流量还在被一台台设备分段处理,或许可以换个思路,让流量从一开始就被统一管理。 Panaflow,正是这样一个入口。 如需了解更多或申请试用,欢迎致电400-773-3996联系我们。