人們常用“牽一發(fā)而動全身”來形容局部變動對全局的影響,而對于網絡媒體來說,如果Internet出口防護不到位,就會出現單個業(yè)務受攻擊而影響整體業(yè)務的情況。人民網通過部署H3C SecPath F5020下一代防火墻,利用虛擬化SOP(安全One平臺和SCF安全集群雙機技術,讓單個虛擬防火墻獨立使用,保障整網系統(tǒng)安全可靠,解決了人民網出口安全隔離防護問題。
人民網,是世界十大報紙之一《人民日報》建設的以新聞為主的大型網上信息發(fā)布平臺,也是最大的中文和多語種新聞網站之一。作為對外提供信息服務的新聞網站,人民網業(yè)務通過統(tǒng)一出口實現外聯(lián),但內部各業(yè)務間缺乏強隔離,一旦單個業(yè)務遭遇DDOS攻擊,整個業(yè)務就會停滯,同時故障排查手段的缺失,也會導致人民網遭攻擊后恢復業(yè)務極度依賴管理員反應速度。
針對這種情況,人民網部署了H3C F5020下一代防火墻,利用領先的虛擬化SOP技術,實現基于防火墻的CPU、內存、存儲等硬件的資源劃分,有效保障單個虛擬防火墻吞吐、新建、并發(fā)等關鍵指標獨立使用,不被其他虛擬防火墻侵占。相比傳統(tǒng)VRF(虛擬路由轉發(fā))方式虛擬防火墻,SOP技術可以將攻擊限制在單個墻內,當有某個業(yè)務遭受攻擊時,其他業(yè)務不受影響正常運行,有效保障人民網安全。
單個業(yè)務防護之余,整個人民網業(yè)務網絡出口的全面防護也十分重要。作為下一代高性能防火墻產品,H3C SecPath F5020采用了先進的最新64位多核高性能處理器和高速存儲器,支持多維一體化安全防護,可從用戶、應用、時間、五元組等多個維度,對流量展開IPS、AV、DLP等一體化安全訪問控制,能夠有效的保證網絡的安全;支持多種VPN業(yè)務,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等,與智能終端對接實現移動辦公;提供豐富的路由能力,支持RIP/OSPF/BGP/路由策略及基于應用與URL的策略路由;支持IPv4/IPv6雙協(xié)議棧同時,可實現針對IPV6的狀態(tài)防護和攻擊防范,為人民網未來實現深度安全防護、移動接入、IPv6網絡升級留下了擴展余地。
高可靠性是人民網最為關注的一個方面,H3C SecPath F5020防火墻采用互為冗余備份的雙電源模塊,支持可插拔的交、直流輸入電源模塊,同時支持雙機狀態(tài)熱備,充分滿足高性能網絡的可靠性要求,這對于人民網業(yè)務來說有非常實際的意義。
對于高端用戶而言,采用雙機熱備是一種增強系統(tǒng)穩(wěn)定性的好辦法。以往人民網數據中心采用的是VRRP+HA的雙機部署方式,這也是國內廠商設備的普遍方式。但這種方式的短板十分明顯,由于單組VRRP需要消耗三個IP地址,如果雙主方式需要兩組VRRP;兩臺設備需要單獨配置維護,部分配置需要能夠自動備份,并且,這種傳統(tǒng)方式也需要消耗很大IP地址資源,需要提前規(guī)劃眾多的地址分配以及鏈路協(xié)議規(guī)則,導致人民網IT部門需要投入大量精力,來熟悉安全技術細節(jié),雙機組網方式。
H3C SecPath F5020則改變了這一點。由于可以采用SCF安全集群雙機技術,雙機熱備的兩臺防火墻,在網絡拓撲中成為了一臺設備,對外呈現單節(jié)點、單IP,而且只需一次配置,也無需擔心配置備份問題。由于設備的SCF功能已經通過集群協(xié)議完成了大部分雙機配置工作,維護人員只需通過簡單的界面來進行部署與維護,而無需理會底層的技術細節(jié),這樣就大大提升人民網IT部門對防火墻設備維護的工作效率。
此外,華三通信下一代防火墻的虛擬化,讓人民網網絡出口實現了安全資源池。其原理是,兩臺F5020在出口形成了一個防火墻集群并內部備份,同時再根據人民網的業(yè)務規(guī)劃形成了16個虛擬防火墻,對每個業(yè)務做量身定制的安全防護,如果后續(xù)業(yè)務存在變化,防火墻資源池能夠隨意的增加刪減虛擬防火墻,這種“彈性”防火墻能力十分易于維護,資源利用率更高。同時每一個虛擬防火墻為提高可靠性,會自動在備機上生成備份虛擬防火墻來提高整個資源池的業(yè)務高可靠。
隨著網絡攻擊多樣化,人民網對網絡防火墻部署需求也會不斷提升。憑借業(yè)界領先技術及解決方案,華三通信將不遺余力進行新IT技術及產品研發(fā),推出更加豐富的安全防護產品及解決方案,與人民網一起展開緊密合作,提供更加全面可靠的安全防護。
