Hillstone SA-5050在營(yíng)口港網(wǎng)絡(luò)中的方案特點(diǎn)
營(yíng)口港網(wǎng)絡(luò)中心是整個(gè)集團(tuán)內(nèi)部幾千人訪問(wèn)Internet的總出口����,同時(shí)考慮到Internet上的互聯(lián)網(wǎng)攻擊眾多��,因此選購(gòu)的安全產(chǎn)品的性能�����、安全性和穩(wěn)定性是首需考慮的���,而在此基礎(chǔ)上構(gòu)建可靠����、可控的網(wǎng)絡(luò)則同樣重要���。同樣的�,營(yíng)口港網(wǎng)絡(luò)中應(yīng)用眾多����,因此應(yīng)用層管理和訪問(wèn)控制等需求也應(yīng)運(yùn)而生。
針對(duì)營(yíng)口港的特點(diǎn)���,Hillstone山石網(wǎng)科給用戶推薦了一套基于Hillstone SA-5050多核安全網(wǎng)關(guān)的解決方案�����。該方案從處理能力�����、擴(kuò)展能力�、安全性、應(yīng)用的便利性等多個(gè)方面為用戶考慮����,很好的滿足了本項(xiàng)目中用戶對(duì)高性能、高安全性�����、高性價(jià)比和多功能的需求�����。整個(gè)項(xiàng)目解決方案的拓?fù)淙缦聢D所示����。
營(yíng)口港網(wǎng)絡(luò)拓?fù)鋱D
Hillstone SA-5050多核安全網(wǎng)關(guān)提供了一系列解決方案��,在本項(xiàng)目中,SA-5050針對(duì)營(yíng)口港網(wǎng)絡(luò)安全防護(hù)上的主要特點(diǎn)如下:
SA-5050多核安全網(wǎng)關(guān)的抗攻擊能力
在營(yíng)口港網(wǎng)絡(luò)中部署SA-5050之前����,ARP病毒頻繁、帶寬濫用�、潛在的信息泄露、資源間的隨意訪問(wèn)及未知病毒的爆發(fā)嚴(yán)重影響著內(nèi)網(wǎng)用戶正常的網(wǎng)絡(luò)應(yīng)用����。特別是項(xiàng)目開(kāi)展之前,營(yíng)口港網(wǎng)絡(luò)中有多臺(tái)重要的電子業(yè)務(wù)服務(wù)器被不明攻擊者入侵過(guò)并留下了相應(yīng)的痕跡��。而安全防護(hù)和抗攻擊并非網(wǎng)絡(luò)服務(wù)器的專利防護(hù)����,它也是普通PC在享受互聯(lián)網(wǎng)便利性時(shí)所必須考慮的。因此���,安全防護(hù)和抗攻擊是營(yíng)口港本次項(xiàng)目的需求之一�。
在本項(xiàng)目中�����,營(yíng)口港在防止外部攻擊內(nèi)部服務(wù)器的同時(shí)���,也要防止網(wǎng)絡(luò)內(nèi)部的PC向外發(fā)起攻擊����,或是染毒后影響網(wǎng)關(guān)及對(duì)指定主機(jī)的攻擊。對(duì)于營(yíng)口港來(lái)說(shuō)�����,管理一個(gè)近兩千臺(tái)PC的網(wǎng)絡(luò)并非易事����,因?yàn)榫W(wǎng)管人員不可能控制每臺(tái)PC的行為,更不可能保障客戶端PC不中病毒���,唯一的解決辦法就是在局域網(wǎng)出口處部署可以同時(shí)防御內(nèi)外網(wǎng)攻擊的安全網(wǎng)關(guān)設(shè)備����。對(duì)此����,部署的Hillstone SA-5050多核安全網(wǎng)關(guān)很好的解決了這方面問(wèn)題。SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的抗攻擊能力���,具有每秒20萬(wàn)TCP或50萬(wàn)UDP的新建會(huì)話能力�;在正常的使用下�����,能檢測(cè)并防御800K包/s以上的SYN-FLOOD攻擊��;在極限背景流量情況下仍可以對(duì)攻擊流進(jìn)行識(shí)別和阻斷�,從而能有效的保障內(nèi)外網(wǎng)安全����。
SA-5050多核安全網(wǎng)關(guān)的會(huì)話控制能力
由于營(yíng)口港公網(wǎng)地址有限�,而且有大量的服務(wù)器需要對(duì)外做NAT映射���,因此可給客戶端PC用的NAT端口也是有限的����。而客戶端PC過(guò)多的占用會(huì)話及端口會(huì)影響到整個(gè)網(wǎng)絡(luò)的訪問(wèn)效率,而且也會(huì)比較大的消耗出口網(wǎng)關(guān)有限的系統(tǒng)資源����,因此即便在營(yíng)口港這樣的大型企業(yè)網(wǎng)絡(luò)中,進(jìn)行會(huì)話數(shù)限制也是很有必要的�����,這種解決方案能有效解決客戶端上網(wǎng)打開(kāi)網(wǎng)頁(yè)過(guò)慢����、FTP超時(shí)等待等問(wèn)題。
Hillstone SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的會(huì)話控制能力����。通過(guò)啟用會(huì)話控制功能,SA-5050能有效解決內(nèi)網(wǎng)客戶端PC過(guò)多的占用會(huì)話及端口�,精確控制每臺(tái)PC最大所能使用的會(huì)話數(shù)。同時(shí)���,SA-5050也能夠精確控制每個(gè)互聯(lián)網(wǎng)上的IP地址對(duì)服務(wù)器發(fā)起的訪問(wèn)會(huì)話數(shù)以及訪問(wèn)會(huì)話速率���,能在DoS/DDoS攻擊發(fā)生前就將攻擊控制在有限的范圍內(nèi),這在最大程度上保護(hù)用戶內(nèi)網(wǎng)的服務(wù)器����,一定程度上起到了對(duì)服務(wù)器的安全防護(hù)和抗攻擊能力�����,而這都是通過(guò)SA-5050多核安全網(wǎng)關(guān)去實(shí)現(xiàn)的,內(nèi)網(wǎng)的服務(wù)器就如同古城堡里受到城堡保護(hù)的平民一樣免受外來(lái)的不良攻擊��。
SA-5050多核安全網(wǎng)關(guān)的帶寬管理功能
對(duì)于Internet上的網(wǎng)絡(luò)來(lái)說(shuō)�,只要能連到Internet,出口帶寬就永遠(yuǎn)滿足不了大型網(wǎng)絡(luò)客戶端的需求�。營(yíng)口港也同樣存在這樣的矛盾:個(gè)別用戶大肆利用BT、迅雷���、電驢等工具從Internet上瘋狂下載各種電影���、軟件、音樂(lè)等��,致使網(wǎng)絡(luò)帶寬被占滿��,影響其他用戶上網(wǎng)����;有的用戶還會(huì)使用網(wǎng)絡(luò)視頻����、在線視頻����、在線音樂(lè)也會(huì)占用過(guò)多的帶寬資源;各種下載的泛濫和原有的應(yīng)用帶寬由于沒(méi)有進(jìn)行合理的分配�����,造成網(wǎng)絡(luò)極度擁堵����,導(dǎo)致企業(yè)的正常應(yīng)用和關(guān)鍵業(yè)務(wù)經(jīng)常無(wú)法使用或者經(jīng)常掉線。因此�����,用戶急需采取相應(yīng)手段來(lái)對(duì)帶寬進(jìn)行精細(xì)��、全面的管理從而提高網(wǎng)絡(luò)帶寬的有效利用率�。Hillstone SA-5050很好的解決了用戶此方面的困惑,本項(xiàng)目中主要通過(guò)以下幾點(diǎn)對(duì)帶寬進(jìn)行精細(xì)化管理:
1���、基于每個(gè)IP地址的最大帶寬限制�。在營(yíng)口港的網(wǎng)絡(luò)中,每個(gè)客戶端IP上網(wǎng)的上下行帶寬都限制到最大500Kbps��,這樣就可以防止某些個(gè)體大量獨(dú)占帶寬的情況發(fā)生���。
2、基于每個(gè)IP地址的會(huì)話限制����。在營(yíng)口港的網(wǎng)絡(luò)中,進(jìn)行會(huì)話數(shù)限制后很好的解決了上網(wǎng)打開(kāi)網(wǎng)頁(yè)慢等問(wèn)題���。
3����、基于服務(wù)的帶寬管理:通過(guò)Hillstone多核安全網(wǎng)關(guān)�,用戶的網(wǎng)絡(luò)管理人員能直觀了解到各種協(xié)議占用網(wǎng)絡(luò)的帶寬,從而制定策略來(lái)保障關(guān)鍵流量帶寬�、抑制P2P等協(xié)議對(duì)網(wǎng)絡(luò)帶寬的占用。在對(duì)P2P服務(wù)的總帶寬進(jìn)行限制及將HTTP協(xié)議的帶寬進(jìn)行保障后總流量大幅下降,高峰時(shí)網(wǎng)頁(yè)打開(kāi)速度得到提升�����。
4、關(guān)鍵業(yè)務(wù)的帶寬保障:針對(duì)用戶的OA����、ERP、電子郵件等關(guān)鍵業(yè)務(wù)進(jìn)行了帶寬保障��,從而做到了如同北京2008年奧運(yùn)會(huì)奧運(yùn)專用道一樣保證了關(guān)鍵應(yīng)用的流暢運(yùn)行�����。
SA-5050多核安全網(wǎng)關(guān)的NAT功能
由于用戶公網(wǎng)地址數(shù)量有限�����,而且內(nèi)部有眾多的服務(wù)器需要對(duì)公網(wǎng)提供服務(wù)�����,因此用戶在SA-5050上同時(shí)啟用了源NAT和目的NAT��。SA-5050提供了高性能的NAT功能能夠滿足用戶的大量快速的地址翻譯需要���;而且SA-5050本身集成了服務(wù)器的負(fù)載均衡功能也很好的滿足了用戶對(duì)服務(wù)器訪問(wèn)流量分擔(dān)的需要�����,避免了單臺(tái)服務(wù)器出現(xiàn)負(fù)載過(guò)重的問(wèn)題��。
SA-5050多核安全網(wǎng)關(guān)的多出口負(fù)載均衡功能
營(yíng)口港網(wǎng)絡(luò)目前有2條Internet專線來(lái)實(shí)現(xiàn)連接Internet�����,后續(xù)還需要增加多條Internet專線來(lái)滿足后續(xù)網(wǎng)絡(luò)規(guī)模擴(kuò)展的需要��。而之前用戶的網(wǎng)絡(luò)中在每條Internet專線上都部署了一臺(tái)路由器��,這樣也增加了用戶的管理和維護(hù)的工作量����。而本項(xiàng)目中�, Hillstone SA-5050多核安全網(wǎng)關(guān)為用戶的多出口問(wèn)題提供了完美的解決方案。
1��、實(shí)現(xiàn)了基于源/目的的智能選路�����。Hillstone SA多核安全網(wǎng)關(guān)�����,按照查找優(yōu)先級(jí)排列分別是:策略路由、源接口路由��、源路由����、目的路由。即不僅可以實(shí)現(xiàn)基于srcIP的源路由�、基于In-interface(源接口)+srcIP的源接口路由、還可以按照srcIP+srcPort+dstIP+dstPort+Protocol五元組來(lái)完成智能選路的高級(jí)PBR功能��,這點(diǎn)能很好滿足用戶在本項(xiàng)目中全方位的要求�。
2、Hillstone SA多核安全網(wǎng)關(guān)同時(shí)采用ECMP智能負(fù)載均衡技術(shù)���,最大可以實(shí)現(xiàn)在40條路徑之間作負(fù)載均衡���。此外選擇負(fù)載均衡的方式,有三種方式可供選擇:基于源地址��、基于源和目的地址�����、基于srcIP+srcPort+dstIP+dstPort+Protocol五元組,來(lái)迅速判斷出流量的最佳路徑�����,使整個(gè)網(wǎng)絡(luò)出口的流量能夠在這些不同的網(wǎng)絡(luò)鏈路中智能的進(jìn)行負(fù)載均衡��,達(dá)到最大的網(wǎng)絡(luò)效率�。在本項(xiàng)目中,Hillstone SA-5050針對(duì)兩條鏈路使用ECMP技術(shù)能很好的權(quán)重分擔(dān)兩條鏈路之間的負(fù)載�����。
3�、Hillstone SA-5050多核安全網(wǎng)關(guān)完全替換了傳統(tǒng)的路由器加防火墻的接入方式,簡(jiǎn)化了該用戶的網(wǎng)絡(luò)拓?fù)?����,減少了用戶的管理維護(hù)工作量�,同時(shí)降低了出口網(wǎng)關(guān)的投資��。
SA-5050安全網(wǎng)關(guān)的SSL VPN功能
Hillstone SA-5050多核安全網(wǎng)關(guān)集成的SSL VPN為移動(dòng)用戶(出差員工�、家庭辦公人員等)和遠(yuǎn)程接入提供了完美的技術(shù)解決方案。通過(guò)使用Hillstone 提供的SSL VPN技術(shù)�����,無(wú)論采用何種Internet接入方式,都能在用戶快捷接入����、數(shù)據(jù)傳輸以及內(nèi)部資源訪問(wèn)等各方面安全性的前提下,確保VPN用戶能方便��、靈活�、高效地通過(guò)該技術(shù)接入到用戶總部的內(nèi)網(wǎng)并訪問(wèn)相應(yīng)的網(wǎng)絡(luò)資源。SSL VPN系統(tǒng)的部署使得公司IT應(yīng)用擴(kuò)展到營(yíng)口港企業(yè)網(wǎng)以外��,充分提高了營(yíng)口港的員工效率�����,強(qiáng)化了IT服務(wù)水平��,提升了公司競(jìng)爭(zhēng)力���。
使用效果和用戶評(píng)價(jià)
用戶使用Hillstone SA-5050多核安全網(wǎng)關(guān)后��,全面解決了用戶面臨的各方面安全問(wèn)題問(wèn)題�,主要帶來(lái)了以下效果:
1、關(guān)鍵業(yè)務(wù)流量得到保證:為關(guān)鍵數(shù)據(jù)業(yè)務(wù)流量設(shè)置了帶寬保障�����,限制了網(wǎng)絡(luò)中存在著大量的P2P軟件(如BT�����、迅雷等)�����、P2P在線視頻�、大型網(wǎng)絡(luò)游戲等應(yīng)用流量,保障了正常業(yè)務(wù)的順利進(jìn)行��,提高了網(wǎng)絡(luò)資源的利用率�。
2、保證系統(tǒng)免受攻擊����,正常運(yùn)轉(zhuǎn):控制了網(wǎng)絡(luò)中充斥著大量ARP攻擊�����,保護(hù)企業(yè)網(wǎng)絡(luò)免受來(lái)自Internet上的控制,保障了網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)�,保障了正常的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。
3�、很好的做到了多出口負(fù)載均衡,簡(jiǎn)化了用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu)���,減少了用戶的管理維護(hù)工作量����。
4�����、會(huì)話控制的使用有效的控制了某些PC使用會(huì)話數(shù)過(guò)多的現(xiàn)象�,更進(jìn)一步的優(yōu)化了網(wǎng)絡(luò)。
Hillstone SA-5050部署在用戶6個(gè)多月的使用過(guò)程后�,用戶評(píng)價(jià):Hillstone SA-5050的確是一個(gè)性能高、功能強(qiáng)的一體化的多核安全網(wǎng)關(guān)���,我們?cè)诒敬雾?xiàng)目中的使用對(duì)它有了一個(gè)全新的認(rèn)識(shí)���,我們對(duì)它這款一體化的設(shè)備很滿意。使用它很好的解決了我們的多出口多設(shè)備連接問(wèn)題��;而且有很強(qiáng)大的抗攻擊性能;還能提供SSL VPN功能以及強(qiáng)大的防火墻安全功能�。以一臺(tái)設(shè)備的價(jià)格買回多個(gè)設(shè)備的功能,感覺(jué)很值��。通過(guò)使用這臺(tái)SA-5050多核安全網(wǎng)關(guān)����,強(qiáng)化了上網(wǎng)安全管理、節(jié)省了帶寬的投資���,把營(yíng)口港網(wǎng)絡(luò)的安全水平提高了一大截��。
