人們常用“牽一發(fā)而動(dòng)全身”來(lái)形容局部變動(dòng)對全局的影響,而對于網(wǎng)絡(luò )媒體來(lái)說(shuō),如果Internet出口防護不到位,就會(huì )出現單個(gè)業(yè)務(wù)受攻擊而影響整體業(yè)務(wù)的情況。人民網(wǎng)通過(guò)部署H3CSecPathF5020下一代防火墻,利用虛擬化SOP(安全One平臺和SCF安全集群雙機技術(shù),讓單個(gè)虛擬防火墻獨立使用,保障整網(wǎng)系統安全可靠,解決了人民網(wǎng)出口安全隔離防護問(wèn)題。
人民網(wǎng),是世界十大報紙之一《人民日報》建設的以新聞為主的大型網(wǎng)上信息發(fā)布平臺,也是最大的中文和多語(yǔ)種新聞網(wǎng)站之一。作為對外提供信息服務(wù)的新聞網(wǎng)站,人民網(wǎng)業(yè)務(wù)通過(guò)統一出口實(shí)現外聯(lián),但內部各業(yè)務(wù)間缺乏強隔離,一旦單個(gè)業(yè)務(wù)遭遇DDOS攻擊,整個(gè)業(yè)務(wù)就會(huì )停滯,同時(shí)故障排查手段的缺失,也會(huì )導致人民網(wǎng)遭攻擊后恢復業(yè)務(wù)極度依賴(lài)管理員反應速度。
針對這種情況,人民網(wǎng)部署了H3CF5020下一代防火墻,利用領(lǐng)先的虛擬化SOP技術(shù),實(shí)現基于防火墻的CPU、內存、存儲等硬件的資源劃分,有效保障單個(gè)虛擬防火墻吞吐、新建、并發(fā)等關(guān)鍵指標獨立使用,不被其他虛擬防火墻侵占。相比傳統VRF(虛擬路由轉發(fā))方式虛擬防火墻,SOP技術(shù)可以將攻擊限制在單個(gè)墻內,當有某個(gè)業(yè)務(wù)遭受攻擊時(shí),其他業(yè)務(wù)不受影響正常運行,有效保障人民網(wǎng)安全。
單個(gè)業(yè)務(wù)防護之余,整個(gè)人民網(wǎng)業(yè)務(wù)網(wǎng)絡(luò )出口的全面防護也十分重要。作為下一代高性能防火墻產(chǎn)品,H3CSecPathF5020采用了先進(jìn)的最新64位多核高性能處理器和高速存儲器,支持多維一體化安全防護,可從用戶(hù)、應用、時(shí)間、五元組等多個(gè)維度,對流量展開(kāi)IPS、AV、DLP等一體化安全訪(fǎng)問(wèn)控制,能夠有效的保證網(wǎng)絡(luò )的安全;支持多種VPN業(yè)務(wù),如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等,與智能終端對接實(shí)現移動(dòng)辦公;提供豐富的路由能力,支持RIP/OSPF/BGP/路由策略及基于應用與URL的策略路由;支持IPv4/IPv6雙協(xié)議棧同時(shí),可實(shí)現針對IPV6的狀態(tài)防護和攻擊防范,為人民網(wǎng)未來(lái)實(shí)現深度安全防護、移動(dòng)接入、IPv6網(wǎng)絡(luò )升級留下了擴展余地。
高可靠性是人民網(wǎng)最為關(guān)注的一個(gè)方面,H3CSecPathF5020防火墻采用互為冗余備份的雙電源模塊,支持可插拔的交、直流輸入電源模塊,同時(shí)支持雙機狀態(tài)熱備,充分滿(mǎn)足高性能網(wǎng)絡(luò )的可靠性要求,這對于人民網(wǎng)業(yè)務(wù)來(lái)說(shuō)有非常實(shí)際的意義。
對于高端用戶(hù)而言,采用雙機熱備是一種增強系統穩定性的好辦法。以往人民網(wǎng)數據中心采用的是VRRP+HA的雙機部署方式,這也是國內廠(chǎng)商設備的普遍方式。但這種方式的短板十分明顯,由于單組VRRP需要消耗三個(gè)IP地址,如果雙主方式需要兩組VRRP;兩臺設備需要單獨配置維護,部分配置需要能夠自動(dòng)備份,并且,這種傳統方式也需要消耗很大IP地址資源,需要提前規劃眾多的地址分配以及鏈路協(xié)議規則,導致人民網(wǎng)IT部門(mén)需要投入大量精力,來(lái)熟悉安全技術(shù)細節,雙機組網(wǎng)方式。
H3CSecPathF5020則改變了這一點(diǎn)。由于可以采用SCF安全集群雙機技術(shù),雙機熱備的兩臺防火墻,在網(wǎng)絡(luò )拓撲中成為了一臺設備,對外呈現單節點(diǎn)、單IP,而且只需一次配置,也無(wú)需擔心配置備份問(wèn)題。由于設備的SCF功能已經(jīng)通過(guò)集群協(xié)議完成了大部分雙機配置工作,維護人員只需通過(guò)簡(jiǎn)單的界面來(lái)進(jìn)行部署與維護,而無(wú)需理會(huì )底層的技術(shù)細節,這樣就大大提升人民網(wǎng)IT部門(mén)對防火墻設備維護的工作效率。
此外,華三通信下一代防火墻的虛擬化,讓人民網(wǎng)網(wǎng)絡(luò )出口實(shí)現了安全資源池。其原理是,兩臺F5020在出口形成了一個(gè)防火墻集群并內部備份,同時(shí)再根據人民網(wǎng)的業(yè)務(wù)規劃形成了16個(gè)虛擬防火墻,對每個(gè)業(yè)務(wù)做量身定制的安全防護,如果后續業(yè)務(wù)存在變化,防火墻資源池能夠隨意的增加刪減虛擬防火墻,這種“彈性”防火墻能力十分易于維護,資源利用率更高。同時(shí)每一個(gè)虛擬防火墻為提高可靠性,會(huì )自動(dòng)在備機上生成備份虛擬防火墻來(lái)提高整個(gè)資源池的業(yè)務(wù)高可靠。
隨著(zhù)網(wǎng)絡(luò )攻擊多樣化,人民網(wǎng)對網(wǎng)絡(luò )防火墻部署需求也會(huì )不斷提升。憑借業(yè)界領(lǐng)先技術(shù)及解決方案,華三通信將不遺余力進(jìn)行新IT技術(shù)及產(chǎn)品研發(fā),推出更加豐富的安全防護產(chǎn)品及解決方案,與人民網(wǎng)一起展開(kāi)緊密合作,提供更加全面可靠的安全防護。
