人們常用“牽一發(fā)而動(dòng)全身”來形容局部變動(dòng)對全局的影響，而對于網(wǎng)絡(luò)媒體來說，如果Internet出口防護(hù)不到位，就會出現(xiàn)單個(gè)業(yè)務(wù)受攻擊而影響整體業(yè)務(wù)的情況。人民網(wǎng)通過部署H3C SecPath F5020下一代防火墻，利用虛擬化SOP（安全One平臺和SCF安全集群雙機(jī)技術(shù)，讓單個(gè)虛擬防火墻獨(dú)立使用，保障整網(wǎng)系統(tǒng)安全可靠，解決了人民網(wǎng)出口安全隔離防護(hù)問題。

　　人民網(wǎng)，是世界十大報(bào)紙之一《人民日報(bào)》建設(shè)的以新聞為主的大型網(wǎng)上信息發(fā)布平臺，也是最大的中文和多語種新聞網(wǎng)站之一。作為對外提供信息服務(wù)的新聞網(wǎng)站，人民網(wǎng)業(yè)務(wù)通過統(tǒng)一出口實(shí)現(xiàn)外聯(lián)，但內(nèi)部各業(yè)務(wù)間缺乏強(qiáng)隔離，一旦單個(gè)業(yè)務(wù)遭遇DDOS攻擊，整個(gè)業(yè)務(wù)就會停滯，同時(shí)故障排查手段的缺失，也會導(dǎo)致人民網(wǎng)遭攻擊后恢復(fù)業(yè)務(wù)極度依賴管理員反應(yīng)速度。

　　針對這種情況，人民網(wǎng)部署了H3C F5020下一代防火墻，利用領(lǐng)先的虛擬化SOP技術(shù)，實(shí)現(xiàn)基于防火墻的CPU、內(nèi)存、存儲等硬件的資源劃分，有效保障單個(gè)虛擬防火墻吞吐、新建、并發(fā)等關(guān)鍵指標(biāo)獨(dú)立使用，不被其他虛擬防火墻侵占。相比傳統(tǒng)VRF（虛擬路由轉(zhuǎn)發(fā)）方式虛擬防火墻，SOP技術(shù)可以將攻擊限制在單個(gè)墻內(nèi)，當(dāng)有某個(gè)業(yè)務(wù)遭受攻擊時(shí)，其他業(yè)務(wù)不受影響正常運(yùn)行，有效保障人民網(wǎng)安全。

　　單個(gè)業(yè)務(wù)防護(hù)之余，整個(gè)人民網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)出口的全面防護(hù)也十分重要。作為下一代高性能防火墻產(chǎn)品，H3C SecPath F5020采用了先進(jìn)的最新64位多核高性能處理器和高速存儲器，支持多維一體化安全防護(hù)，可從用戶、應(yīng)用、時(shí)間、五元組等多個(gè)維度，對流量展開IPS、AV、DLP等一體化安全訪問控制，能夠有效的保證網(wǎng)絡(luò)的安全；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，與智能終端對接實(shí)現(xiàn)移動(dòng)辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時(shí)，可實(shí)現(xiàn)針對IPV6的狀態(tài)防護(hù)和攻擊防范，為人民網(wǎng)未來實(shí)現(xiàn)深度安全防護(hù)、移動(dòng)接入、IPv6網(wǎng)絡(luò)升級留下了擴(kuò)展余地。

　　高可靠性是人民網(wǎng)最為關(guān)注的一個(gè)方面，H3C SecPath F5020防火墻采用互為冗余備份的雙電源模塊，支持可插拔的交、直流輸入電源模塊，同時(shí)支持雙機(jī)狀態(tài)熱備，充分滿足高性能網(wǎng)絡(luò)的可靠性要求，這對于人民網(wǎng)業(yè)務(wù)來說有非常實(shí)際的意義。

　　對于高端用戶而言，采用雙機(jī)熱備是一種增強(qiáng)系統(tǒng)穩(wěn)定性的好辦法。以往人民網(wǎng)數(shù)據(jù)中心采用的是VRRP+HA的雙機(jī)部署方式，這也是國內(nèi)廠商設(shè)備的普遍方式。但這種方式的短板十分明顯，由于單組VRRP需要消耗三個(gè)IP地址，如果雙主方式需要兩組VRRP；兩臺設(shè)備需要單獨(dú)配置維護(hù)，部分配置需要能夠自動(dòng)備份，并且，這種傳統(tǒng)方式也需要消耗很大IP地址資源，需要提前規(guī)劃眾多的地址分配以及鏈路協(xié)議規(guī)則，導(dǎo)致人民網(wǎng)IT部門需要投入大量精力，來熟悉安全技術(shù)細(xì)節(jié)，雙機(jī)組網(wǎng)方式。

　　H3C SecPath F5020則改變了這一點(diǎn)。由于可以采用SCF安全集群雙機(jī)技術(shù)，雙機(jī)熱備的兩臺防火墻，在網(wǎng)絡(luò)拓?fù)渲谐蔀榱艘慌_設(shè)備，對外呈現(xiàn)單節(jié)點(diǎn)、單IP，而且只需一次配置，也無需擔(dān)心配置備份問題。由于設(shè)備的SCF功能已經(jīng)通過集群協(xié)議完成了大部分雙機(jī)配置工作，維護(hù)人員只需通過簡單的界面來進(jìn)行部署與維護(hù)，而無需理會底層的技術(shù)細(xì)節(jié)，這樣就大大提升人民網(wǎng)IT部門對防火墻設(shè)備維護(hù)的工作效率。

　　此外，華三通信下一代防火墻的虛擬化，讓人民網(wǎng)網(wǎng)絡(luò)出口實(shí)現(xiàn)了安全資源池。其原理是，兩臺F5020在出口形成了一個(gè)防火墻集群并內(nèi)部備份，同時(shí)再根據(jù)人民網(wǎng)的業(yè)務(wù)規(guī)劃形成了16個(gè)虛擬防火墻，對每個(gè)業(yè)務(wù)做量身定制的安全防護(hù)，如果后續(xù)業(yè)務(wù)存在變化，防火墻資源池能夠隨意的增加刪減虛擬防火墻，這種“彈性”防火墻能力十分易于維護(hù)，資源利用率更高。同時(shí)每一個(gè)虛擬防火墻為提高可靠性，會自動(dòng)在備機(jī)上生成備份虛擬防火墻來提高整個(gè)資源池的業(yè)務(wù)高可靠。

　　隨著網(wǎng)絡(luò)攻擊多樣化，人民網(wǎng)對網(wǎng)絡(luò)防火墻部署需求也會不斷提升。憑借業(yè)界領(lǐng)先技術(shù)及解決方案，華三通信將不遺余力進(jìn)行新IT技術(shù)及產(chǎn)品研發(fā)，推出更加豐富的安全防護(hù)產(chǎn)品及解決方案，與人民網(wǎng)一起展開緊密合作，提供更加全面可靠的安全防護(hù)。