防火墻在網(wǎng)絡(luò)安全體系中占據(jù)著不可撼動(dòng)的位置,尤其是對(duì)銀行業(yè)用戶來(lái)說(shuō),防火墻的重要性更是毋庸置疑。在普遍實(shí)現(xiàn)了數(shù)據(jù)大集中的情況下,銀行對(duì)數(shù)據(jù)中心出口的安全設(shè)備性能要求,明顯高于一些普通行業(yè),因此這也成為網(wǎng)絡(luò)安全設(shè)備廠商實(shí)力的真實(shí)舞臺(tái)。
在中國(guó)農(nóng)業(yè)銀行總行(以下簡(jiǎn)稱:農(nóng)總行)數(shù)據(jù)中心防火墻選型中,華三通信的高性能超萬(wàn)兆下一代防火墻展示出的性能優(yōu)勢(shì),滿足了農(nóng)行當(dāng)前業(yè)務(wù)系統(tǒng)的出口安全需求,在技術(shù)和架構(gòu)上也展示出了別具一格的領(lǐng)先優(yōu)勢(shì),為用戶帶來(lái)了更多價(jià)值。
嚴(yán)苛選型的收獲
中國(guó)農(nóng)業(yè)銀行作為國(guó)有四大行之一,其企業(yè)規(guī)模和業(yè)務(wù)范疇都是超大型,23000多家境內(nèi)機(jī)構(gòu)、15家境外機(jī)構(gòu)以及網(wǎng)上銀行、電話銀行、掌上銀行等分銷渠道,所有的業(yè)務(wù)都要依托總行數(shù)據(jù)中心為核心的信息化系統(tǒng)來(lái)處理。
2014年,中國(guó)農(nóng)業(yè)銀行總行數(shù)據(jù)中心為滿足國(guó)家安全審查建設(shè),針對(duì)電子認(rèn)證系統(tǒng)建設(shè)規(guī)劃,開(kāi)展了“某系統(tǒng)國(guó)家安全審查建設(shè)項(xiàng)目“萬(wàn)兆防火墻入圍選型工作。從銀行業(yè)務(wù)的特點(diǎn)出發(fā),農(nóng)總行對(duì)設(shè)備的性能提出了明確要求:防火墻吞吐40G以上,能夠?qū)崿F(xiàn)基于用戶、應(yīng)用的下一代防火墻特性以及負(fù)載均衡、VPN、多種路由協(xié)議等網(wǎng)絡(luò)特性。
H3CSecPath F5040在眾多產(chǎn)品中表現(xiàn)尤為突出,最終成功入圍農(nóng)總行數(shù)據(jù)中心。作為下一代高性能萬(wàn)兆防火墻產(chǎn)品,H3C SecPath F5040采用了先進(jìn)的最新64位多核高性能處理器和高速存儲(chǔ)器,支持多維一體化安全防護(hù),可從用戶、應(yīng)用、時(shí)間、五元組等多個(gè)維度,對(duì)流量展開(kāi)IPS、AV、DLP等一體化安全訪問(wèn)控制,能夠有效的保證網(wǎng)絡(luò)的安全;支持多種VPN業(yè)務(wù),如L2TP VPN、GRE VPN 、IPSecVPN和SSL VPN等,與智能終端對(duì)接實(shí)現(xiàn)移動(dòng)辦公;提供豐富的路由能力,支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由;支持IPv4/IPv6雙協(xié)議棧同時(shí),可實(shí)現(xiàn)針對(duì)IPV6的狀態(tài)防護(hù)和攻擊防范。
高可靠性是農(nóng)總行最為關(guān)注的一個(gè)方面,H3C SecPath F5040防火墻采用互為冗余備份的雙電源模塊,支持可插拔的交、直流輸入電源模塊,同時(shí)支持雙機(jī)狀態(tài)熱備,充分滿足高性能網(wǎng)絡(luò)的可靠性要求,這對(duì)于銀行業(yè)務(wù)來(lái)說(shuō)有非常實(shí)際的意義。
此次能夠入圍農(nóng)總行選型,是源于華三通信的整體實(shí)力。作為新IT基礎(chǔ)架構(gòu)領(lǐng)域的領(lǐng)先廠商,華三通信不僅在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)和產(chǎn)品保持著自己的優(yōu)勢(shì),在安全應(yīng)用服務(wù)方面更是有著十分豐富的經(jīng)驗(yàn)積累,能給農(nóng)行提供更多保障。
價(jià)值體現(xiàn)不僅在性能,還在運(yùn)維
目前,已經(jīng)有兩臺(tái)H3C SecPath F5040部署在農(nóng)總行數(shù)據(jù)中心,作為數(shù)據(jù)中心出口的“屏障”,為網(wǎng)銀業(yè)務(wù)保駕護(hù)航。對(duì)于農(nóng)總行IT部門而言,華三通信防火墻設(shè)備的到來(lái),也減輕了在系統(tǒng)部署和運(yùn)維環(huán)節(jié)的壓力。
采用雙機(jī)熱備,是高端用戶普遍采用的一種增強(qiáng)系統(tǒng)穩(wěn)定性的方法。以往農(nóng)總行數(shù)據(jù)中心采用的是VRRP+HA的雙機(jī)部署方式,這也是國(guó)內(nèi)廠商設(shè)備的普遍方式。但這種方式的短板十分明顯,由于單組VRRP需要消耗三個(gè)IP地址,如果雙主方式需要兩組VRRP;兩臺(tái)設(shè)備需要單獨(dú)配置維護(hù),部分配置需要能夠自動(dòng)備份。
這種傳統(tǒng)方式無(wú)疑需要消耗很多IP地址資源,同時(shí)需要提前規(guī)劃眾多的地址分配以及鏈路協(xié)議規(guī)則。農(nóng)行總行的IT部門需要投入大量精力,來(lái)了解安全技術(shù)細(xì)節(jié),熟悉雙機(jī)組網(wǎng)方式。
H3C SecPath F5040則改變了這一點(diǎn)。由于可以采用SCF集群雙機(jī)技術(shù),雙機(jī)熱備的兩臺(tái)防火墻,在網(wǎng)絡(luò)拓?fù)渲谐蔀榱艘慌_(tái)設(shè)備,對(duì)外呈現(xiàn)單節(jié)點(diǎn)、單IP,而且只需一次配置,也無(wú)需擔(dān)心配置備份問(wèn)題。由于設(shè)備的SCF功能已經(jīng)通過(guò)集群協(xié)議完成了大部分雙機(jī)配置工作,維護(hù)人員只需通過(guò)簡(jiǎn)單的界面來(lái)進(jìn)行部署與維護(hù),而無(wú)需理會(huì)底層的技術(shù)細(xì)節(jié),這樣就大大提升IT部門對(duì)防火墻設(shè)備維護(hù)的工作效率。
此外,華三通信防火墻的價(jià)值體現(xiàn)不僅僅在這一點(diǎn)上。由于H3C SecPathF5040具備了IPS、AV防毒、應(yīng)用流控等多種高性能的深度安全防御擴(kuò)展能力。因此,除了實(shí)現(xiàn)網(wǎng)絡(luò)出口的基本訪問(wèn)控制外,華三通信下一代防火墻可以在任何需要的時(shí)候開(kāi)啟高性能的多業(yè)務(wù)防護(hù)以及多種VPN接入手段,在不改變現(xiàn)有組網(wǎng)的情況下,便捷地獲得更加完整的邊界安全防護(hù),同時(shí)多種安全防護(hù)業(yè)務(wù)可以在一條安全策略中統(tǒng)一集成,讓現(xiàn)有網(wǎng)絡(luò)防護(hù)更為簡(jiǎn)單易用。
結(jié)束語(yǔ)
對(duì)于任何一個(gè)用戶來(lái)說(shuō),網(wǎng)絡(luò)安全是一個(gè)需要不斷完善、不斷提升的工作。農(nóng)總行數(shù)據(jù)中心的網(wǎng)絡(luò)防火墻部署需求,也會(huì)持續(xù)提升。憑借著在業(yè)界領(lǐng)先的產(chǎn)品技術(shù)和解決方案優(yōu)勢(shì),華三通信將繼續(xù)在農(nóng)行信息化建設(shè)中展現(xiàn)價(jià)值,為農(nóng)行IT系統(tǒng)打造更堅(jiān)實(shí)的屏障。