筑牢出口“安全网”虚拟化安全为人民网“站岗”

访客:11095  发表于:2015-12-16 14:35:56

人们常用“牵一发而动全身”来形容局部变动对全局的影响,而对于网络媒体来说,如果Internet出口防护不到位,就会出现单个业务受攻击而影响整体业务的情况。人民网通过部署H3C SecPathF5020下一代防火墙,利用虚拟化SOP(安全One平台和SCF安全集群双机技术,让单个虚拟防火墙独立使用,保障整网系统安全可靠,解决了人民网出口安全隔离防护问题。

人民网,是世界十大报纸之一《人民日报》建设的以新闻为主的大型网上信息发布平台,也是最大的中文和多语种新闻网站之一。作为对外提供信息服务的新闻网站,人民网业务通过统一出口实现外联,但内部各业务间缺乏强隔离,一旦单个业务遭遇DDOS攻击,整个业务就会停滞,同时故障排查手段的缺失,也会导致人民网遭攻击后恢复业务极度依赖管理员反应速度。

针对这种情况,人民网部署了H3C F5020下一代防火墙,利用领先的虚拟化SOP技术,实现基于防火墙的CPU、内存、存储等硬件的资源划分,有效保障单个虚拟防火墙吞吐、新建、并发等关键指标独立使用,不被其他虚拟防火墙侵占。相比传统VRF(虚拟路由转发)方式虚拟防火墙,SOP技术可以将攻击限制在单个墙内,当有某个业务遭受攻击时,其他业务不受影响正常运行,有效保障人民网安全。

单个业务防护之余,整个人民网业务网络出口的全面防护也十分重要。作为下一代高性能防火墙产品,H3C SecPath F5020采用了先进的最新64位多核高性能处理器和高速存储器,支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,可实现针对IPV6的状态防护和攻击防范,为人民网未来实现深度安全防护、移动接入、IPv6网络升级留下了扩展余地。

高可靠性是人民网最为关注的一个方面,H3C SecPath F5020防火墙采用互为冗余备份的双电源模块,支持可插拔的交、直流输入电源模块,同时支持双机状态热备,充分满足高性能网络的可靠性要求,这对于人民网业务来说有非常实际的意义。

对于高端用户而言,采用双机热备是一种增强系统稳定性的好办法。以往人民网数据中心采用的是VRRP+HA的双机部署方式,这也是国内厂商设备的普遍方式。但这种方式的短板十分明显,由于单组VRRP需要消耗三个IP地址,如果双主方式需要两组VRRP;两台设备需要单独配置维护,部分配置需要能够自动备份,并且,这种传统方式也需要消耗很大IP地址资源,需要提前规划众多的地址分配以及链路协议规则,导致人民网IT部门需要投入大量精力,来熟悉安全技术细节,双机组网方式。

H3C SecPath F5020则改变了这一点。由于可以采用SCF安全集群双机技术,双机热备的两台防火墙,在网络拓扑中成为了一台设备,对外呈现单节点、单IP,而且只需一次配置,也无需担心配置备份问题。由于设备的SCF功能已经通过集群协议完成了大部分双机配置工作,维护人员只需通过简单的界面来进行部署与维护,而无需理会底层的技术细节,这样就大大提升人民网IT部门对防火墙设备维护的工作效率。

此外,华三通信下一代防火墙的虚拟化,让人民网网络出口实现了安全资源池。其原理是,两台F5020在出口形成了一个防火墙集群并内部备份,同时再根据人民网的业务规划形成了16个虚拟防火墙,对每个业务做量身定制的安全防护,如果后续业务存在变化,防火墙资源池能够随意的增加删减虚拟防火墙,这种“弹性”防火墙能力十分易于维护,资源利用率更高。同时每一个虚拟防火墙为提高可靠性,会自动在备机上生成备份虚拟防火墙来提高整个资源池的业务高可靠。

随着网络攻击多样化,人民网对网络防火墙部署需求也会不断提升。凭借业界领先技术及解决方案,华三通信将不遗余力进行新IT技术及产品研发,推出更加丰富的安全防护产品及解决方案,与人民网一起展开紧密合作,提供更加全面可靠的安全防护。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");