现如今防火墙在一个企业中已经不只是安全防护这一个单一的角色。随着企业分支机构的增长和移动信息化的技术发展。利用防火墙建立起一条条与分支机构可靠互联的安全通道,实现企业与分支机构间的信息共享,自如沟通是当前防火墙产品所需要担负起的另一个重要使命。紫光旗下新华三集团(以下简称“新华三”)最新推出的支持双主控,具备电信级高可靠性的H3C F5000-AK515防火墙就是这样的一款产品。
H3C F5000-AK515防火墙主机高度为2U,自带4个SFP/GE COMBO接口,同时对外提供两个主控和6个可扩展接口槽位。可适配接口卡类型包括:4端口千兆电(自带bypass功能)、8端口千兆电、8端口千兆光、8端口万兆光、4端口千兆光4端口万兆光,2端口40G接口卡六种。用户可以根据需求灵活选择接口板类型。
除此之外,新华三防火墙从低端到高端全系列产品均支持丰富的接口类型。低端F1000系列除了自带接口,还可以配置3种类型的接口卡:4端口千兆电(自带bypass功能)、4端口千兆光和4端口万兆光,进行接口扩展。
同时为了满足用户采用IPv6协议进行数据传输的应用需求,无论是在新华三的高端防火墙还是低端防火墙产品中,均已加入对IPv6协议的支持。
国密算法SM1、SM2、SM3和SM4是国家密码管理局认证的商用密码算法,某些涉密场景对信息保密程度要求较高,需要使用国密加密算法。在H3C F5000-AK515防火墙的IPSecVPN功能中,就可以支持使用国密算法做加解密和认证,满足用户高安全性要求。
但IPSec VPN的连接建立毕竟还是比较复杂,一些中小企业和分支网点有可能不具备这种安全运维能力。这时候,只需要总部系统管理员做好配置后,将文件发给分支网点人员,让他们将设备加电并插好网线,然后将配置文件拷贝到U盘并插到设备上,再重新启动设备,分支网点的设备就可以自动配置完成了。并且新华三的防火墙还可以和新华三的统一管理系统配合,实现配置统一下发和零配置上线,满足分支网点或者中小企业零配置上线需求。
此外,新华三防火墙的IPSec还支持智能选路功能。可以实现多条IPSec隧道间动态切换。当网关设备之间存在多条可通信的链路,使用其中一条链路建立IPSec隧道后,网关设备能实时检测已有IPSec隧道的时延和丢包率。在时延和丢包率高于设定的阈值时,动态切换到备用链路上重新建立IPSec隧道。用户在切换过程中无感知。并且新华三防火墙支持根据acl自动建立隧道,无需流量触发,满足部分用户要求隧道一直存在的需求。
同时,新华三的防火墙还可以支持SSL VPN功能,用户可通过互联网,使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接,访问内部资源。企业或机构可通过SSL VPN来为移动用户或者外部用户提供访问内部资源的服务并保证安全性。
用户可以通过IP/TCP/WEB三种方式接入到SSL VPN之中,可以满足不同用户、在不同场景中的使用需求。并且IP客户端可以和新华三 EMO+EIA服务器配合,实现认证、终端安全检测、远程桌面和应用发布等功能,满足企业移动办公需求。
并且新华三防火墙支持SSL卸载功能,客户端的HTTPS请求命中防火墙上的SSL解密代理策略时,防火墙将作为代理服务器与客户端进行SSL握手,建立一条SSL连接。同时,防火墙作为代理客户端与服务器进行SSL握手,建立另一条SSL连接。后续客户端和服务器之间传送应用数据时,防火墙首先对客户端(或服务器)发来的HTTPS流量解密,完成内容安全检测和审计后重新加密发送给服务器(或客户端)。
除了通过固定IP与外网进行连接之外,为了节省成本,很多企业尤其是一些小企业和分支机构都会选用PPPoE或者4G上网等方式进行相互间的数据传输。而传统的出口链路负载分担,主要针对较大用户的固定IP地址,他们的IP地址及下一跳IP地址都是静态配置的。这样采用PPPoE动态获取的IP地址,就无法实现链路负载均衡的功能。
而新华三防火墙可以支持指定出接口为PPPoE链路,在outbound链路负载、DNS透明代理的时候支持调用PPPoE拨号链路,并在此基础上运行防火墙业务,从而实现动态链路的负载均衡功能。
同样,在新华三的低端防火墙中,还具备支持4G上网的能力,满足中小企业和分支网点等场景的上网需求和链路备份需求。
在用户接入认证方面,新华三防火墙也提供了多样而且灵活的用户登录认证方式。用户可以通过短信、微信、AD/LDAP等认证方式来确认用户身份,并进一步实现对用户网络应用的分级管理。
安全管理毕竟是一门复杂的学问,有多少企业因为缺乏专业性的网络安全管理人才,而不得不将防火墙仅仅当作路由器和VPN来进行使用。新华三防火墙的应用风险调优功能,可以解决用户安全管理的难题,成为用户网络安全的好管家。
应用风险调优功能是当管理员对内网流量情况了解不全面的情况下,可先在设备上配置宽泛的安全策略,流量经过防火墙一段时间以后,识别出当前网络环境下流量的应用类别和应用风险。根据应用的风险级别和安全风险生成调优建议。
除了应用风险之外,在防火墙的长时间使用过程中,往往会积累下大量的网络安全策略,这些策略是否依然有效,很难一一去进行判断,这就需要有一种智能化的策略分析功能来对这些安全策略进行冗余分析。
新华三防火墙也为用户提供了这样的策略冗余分析能力。可以对设备配置的已启用的安全策略进行比对判断,得出哪些冗余策略,最终向用户展示出被冗余策略和冗余策略,用户可以对其进行修改或删除。
并且还可以通过策略命中分析功能,分析出指定时间段内的安全策略是否被命中过,并将未命中的安全策略按照从高到低的优先级顺序呈现,以帮助管理员对设备上的安全策略进行深度分析和处理。帮助管理员清理长期存在的无用策略,或者了解网络流量情况。
用户的网络业务应用,不但对网络连接安全有着很高的要求,对网络应用的安全同样不能忽视。新华三防火墙在为用户提供了连接安全的同时,也具备了防病毒、URL过滤等应用安全功能,在保障用户网络安全的同时,也提高了用户应用安全的防护能力。
新华三防火墙支持本地百万级别的病毒识别,具备高识别率,和开启防病毒时设备的高处理性能。同时,新华三下一代防火墙还支持病毒云查杀功能。流经设备的报文首先会与该防病毒策略中的规则匹配。如果匹配失败并且在防病毒策略中使能云端查询功能,则触发云查询。
同时新华三防火墙还提供了多级Cache的方式来完成和部署URL分类过滤功能。帮助客户用最高的性能和最节省的成本实现海量URL的分类和过滤。在设备本地URL库中能够找到对应分类的URL不再去往云端URL查询,设备本地URL库会随着用户的访问习惯和互联网的变化进行优胜劣汰,但本地URL库的规格保持稳定。
在网络应用中,难免会出现一些未知的网络故障,需要管理员去花费大量时间进行排查。在这方面新华三防火墙提供的报文示踪和网页诊断功能可以有效的解决此类问题的出现。
报文示踪功能可以根据用户需求,配置入接口、源IP地址、目的IP地址、源端口、目的端口、协议等过滤条件,对进入设备的报文,进行示踪,将报文在设备中的路径清晰展现出来。该特性提供真实流量、导入报文和构造报文三种诊断方式,满足用户不同场景需求。
当网络出现故障时,网络管理员可以根据经过设备的真实流量进行追踪和分析。或者通过捕获的文件(必须是“.cap”或“.pcap”格式的文件)对报文进行分析,对报文被处理的过程进行回放。还可以通过构造报文的方法,验证和查看已配置的安全业务功能对此报文的处理结果。通过这些方式满足用户不同场景的故障定位需求。
当内网用户访问网页出现故障时,网页诊断可以通过一键诊断功能对网页访问故障进行快速、系统的排查和分析,并输出简单易懂的故障提示信息,方便管理员处理网络故障。
SCF是新华三自主研发的软件虚拟化技术。它的核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
SCF技术可以把多台防火墙虚拟成一个“联合设备”,使用和配置都如同一台设备,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的故障检测机制,实现毫秒级链路故障检测。另外新华三的SCF虚拟化技术还可根据组网的要求支持长距离(80KM)的普通以太网万兆光纤堆叠。
此外,新华三防火墙还可以通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上,容器之间运行空间独立,具备独立的控制平面、管理平面和数据平面,所以相比传统的基于VPN实例进行部分业务改造的虚拟防火墙技术,H3C的虚拟防火墙的功能与实体墙功能一致,是真正的虚拟化。
在虚墙资源分配方面,除具备传统的接口、VLAN等逻辑资源外,基于统一的OS内核,可以细粒度的控制分配给每一个虚拟防火墙的CPU、内存、存储等硬件资源,值得一提的是分配虚墙的CPU资源是可保证的,不会被其他的虚拟防火墙抢占。对用户而言相当于具备了一台独立的物理防火墙。同时根据各虚拟防火墙业务需求能力的变化,root管理员还可以动态对分配给虚拟防火墙的资源进行在线调整。独有的接口虚拟化技术为VPC应用场景量身定制,相比业界采用IPSec VRF aware技术更符合云服务提供商的业务开展模型。
下面我们对新华三防火墙“版本不间断升级”和SCF功能进行验证。
我们首先将两台H3C硬件防火墙虚拟成了一个逻辑上的防火墙,然后分别对其进行备份控制板版本升级、主备控制板相互切换、和访问链路切换三个动作。下面测试图显示,在备份控制板版本升级时没有传输丢包现象出现,在主备控制板相互切换时,仅出现了一个ping包丢失,在传输链路切换时,ping包丢失数量为5个。显示出了出色的链路数据传输的保障能力。
安全设备的日志、报表等信息在日常运维过程中尤其重要,常见的解决方案是将日志输出到日志服务器做统一的存储,但是这种解决方案无法满足所有用户的要求。随着网络安全的重要性增强,用户的安全意识逐渐提高,越来越多的用户逐步开始部署安全设备,本地日志存储和报表分析的需求也越来越多。
H3C F5000-AK515防火墙配备了大容量硬盘,标配480G SSD硬盘并支持双硬盘扩展,为日志本地存储和本地报表分析提供了充裕的硬件基础。
通过对H3C F5000-AK515的功能性测试我们可以了解,在网络连接方面,F5000-AK515提供了丰富且具备多种不同类型的网络接口,可满足不同类型的网络应用。并且可以和其低端防火墙利用4G或PPPoE等方式灵活进行组网。在连接可靠性方面,可以通过国密加密算法的支持,为企业提供可靠的虚拟链路保障。在网络安全管理方面,可以通过风险调优、冗余分析功能让用户更加便捷的对防火墙进行管理,并且可以通过防病毒、URL过滤等方式保护用户网络应用的安全。并且可以通过报文示踪、网页诊断功能迅速对网络问题进行定位,减少用户网络故障的排查时间。多虚一、一虚多的统一管理功能,又可以为用户带来高可靠性和灵活易用的防火墙使用模式。而大容量的海量日志存储功能又可以为用户提供充裕的日志存储空间,满足用户日志报表分析的需求。
通过上述功能评测可知,H3C F5000-AK515产品所提供的高可靠性、高安全性、高可维护性解决方案,必然可以满足目前大型园区网和数据中心用户的实际应用需求,为这些用户创造出无限宽广的网络应用空间。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面