現如今防火牆在一個企業中已經不只是安全防護這一個單一的角色。隨著企業分支機構的增長和移動信息化的技術發展。利用防火牆建立起一條條與分支機構可靠互聯的安全通道,實現企業與分支機構間的信息共享,自如溝通是當前防火牆產品所需要擔負起的另一個重要使命。紫光旗下新華三集團(以下簡稱“新華三”)最新推出的支持雙主控,具備電信級高可靠性的H3C F5000-AK515防火牆就是這樣的一款產品。
H3C F5000-AK515防火牆
豐富接口滿足多種連接需求
H3C F5000-AK515防火牆主機高度為2U,自帶4個SFP/GE COMBO接口,同時對外提供兩個主控和6個可擴展接口槽位。可適配接口卡類型包括:4端口千兆電(自帶bypass功能)、8端口千兆電、8端口千兆光、8端口萬兆光、4端口千兆光4端口萬兆光,2端口40G接口卡六種。用戶可以根據需求靈活選擇接口板類型。
除此之外,新華三防火牆從低端到高端全系列產品均支持豐富的接口類型。低端F1000系列除了自帶接口,還可以配置3種類型的接口卡:4端口千兆電(自帶bypass功能)、4端口千兆光和4端口萬兆光,進行接口擴展。
同時為了滿足用戶採用IPv6協議進行數據傳輸的應用需求,無論是在新華三的高端防火牆還是低端防火牆產品中,均已加入對IPv6協議的支持。
零配置國密智能專線 保障用戶可靠連接
國密算法SM1、SM2、SM3和SM4是國家密碼管理局認證的商用密碼算法,某些涉密場景對信息保密程度要求較高,需要使用國密加密算法。在H3C F5000-AK515防火牆的IPSecVPN功能中,就可以支持使用國密算法做加解密和認證,滿足用戶高安全性要求。
但IPSec VPN的連接建立畢竟還是比較複雜,一些中小企業和分支網點有可能不具備這種安全運維能力。這時候,只需要總部系統管理員做好配置後,將文件發給分支網點人員,讓他們將設備加電並插好網線,然後將配置文件拷貝到U盤並插到設備上,再重新啟動設備,分支網點的設備就可以自動配置完成了。並且新華三的防火牆還可以和新華三的統一管理系統配合,實現配置統一下發和零配置上線,滿足分支網點或者中小企業零配置上線需求。
此外,新華三防火牆的IPSec還支持智能選路功能。可以實現多條IPSec隧道間動態切換。當網關設備之間存在多條可通信的鏈路,使用其中一條鏈路建立IPSec隧道後,網關設備能實時檢測已有IPSec隧道的時延和丟包率。在時延和丟包率高於設定的閾值時,動態切換到備用鏈路上重新建立IPSec隧道。用戶在切換過程中無感知。並且新華三防火牆支持根據acl自動建立隧道,無需流量觸發,滿足部分用戶要求隧道一直存在的需求。
同時,新華三的防火牆還可以支持SSL VPN功能,用戶可通過互聯網,使用內嵌SSL協議的瀏覽器與遠端的Web服務器建立安全的連接,訪問內部資源。企業或機構可通過SSL VPN來為移動用戶或者外部用戶提供訪問內部資源的服務並保證安全性。
用戶可以通過IP/TCP/WEB三種方式接入到SSL VPN之中,可以滿足不同用戶、在不同場景中的使用需求。並且IP客戶端可以和新華三 EMO+EIA服務器配合,實現認證、終端安全檢測、遠程桌面和應用發佈等功能,滿足企業移動辦公需求。
並且新華三防火牆支持SSL卸載功能,客戶端的HTTPS請求命中防火牆上的SSL解密代理策略時,防火牆將作為代理服務器與客戶端進行SSL握手,建立一條SSL連接。同時,防火牆作為代理客戶端與服務器進行SSL握手,建立另一條SSL連接。後續客戶端和服務器之間傳送應用數據時,防火牆首先對客戶端(或服務器)發來的HTTPS流量解密,完成內容安全檢測和審計後重新加密發送給服務器(或客戶端)。
4G+動態鏈路 上網靈活認證便捷
除了通過固定IP與外網進行連接之外,為了節省成本,很多企業尤其是一些小企業和分支機構都會選用PPPoE或者4G上網等方式進行相互間的數據傳輸。而傳統的出口鏈路負載分擔,主要針對較大用戶的固定IP地址,他們的IP地址及下一跳IP地址都是靜態配置的。這樣採用PPPoE動態獲取的IP地址,就無法實現鏈路負載均衡的功能。
而新華三防火牆可以支持指定出接口為PPPoE鏈路,在outbound鏈路負載、DNS透明代理的時候支持調用PPPoE撥號鏈路,並在此基礎上運行防火牆業務,從而實現動態鏈路的負載均衡功能。
同樣,在新華三的低端防火牆中,還具備支持4G上網的能力,滿足中小企業和分支網點等場景的上網需求和鏈路備份需求。
在用戶接入認證方面,新華三防火牆也提供了多樣而且靈活的用戶登錄認證方式。用戶可以通過短信、微信、AD/LDAP等認證方式來確認用戶身份,並進一步實現對用戶網絡應用的分級管理。
風險調優、冗餘分析 讓用戶的防火牆更加便於管理
安全管理畢竟是一門複雜的學問,有多少企業因為缺乏專業性的網絡安全管理人才,而不得不將防火牆僅僅當作路由器和VPN來進行使用。新華三防火牆的應用風險調優功能,可以解決用戶安全管理的難題,成為用戶網絡安全的好管家。
應用風險調優功能是當管理員對內網流量情況瞭解不全面的情況下,可先在設備上配置寬泛的安全策略,流量經過防火牆一段時間以後,識別出當前網絡環境下流量的應用類別和應用風險。根據應用的風險級別和安全風險生成調優建議。
除了應用風險之外,在防火牆的長時間使用過程中,往往會積累下大量的網絡安全策略,這些策略是否依然有效,很難一一去進行判斷,這就需要有一種智能化的策略分析功能來對這些安全策略進行冗餘分析。
新華三防火牆也為用戶提供了這樣的策略冗餘分析能力。可以對設備配置的已啟用的安全策略進行比對判斷,得出哪些冗餘策略,最終向用戶展示出被冗餘策略和冗餘策略,用戶可以對其進行修改或刪除。
並且還可以通過策略命中分析功能,分析出指定時間段內的安全策略是否被命中過,並將未命中的安全策略按照從高到低的優先級順序呈現,以幫助管理員對設備上的安全策略進行深度分析和處理。幫助管理員清理長期存在的無用策略,或者瞭解網絡流量情況。
雲端防護 應用無憂
用戶的網絡業務應用,不但對網絡連接安全有著很高的要求,對網絡應用的安全同樣不能忽視。新華三防火牆在為用戶提供了連接安全的同時,也具備了防病毒、URL過濾等應用安全功能,在保障用戶網絡安全的同時,也提高了用戶應用安全的防護能力。
新華三防火牆支持本地百萬級別的病毒識別,具備高識別率,和開啟防病毒時設備的高處理性能。同時,新華三下一代防火牆還支持病毒雲查殺功能。流經設備的報文首先會與該防病毒策略中的規則匹配。如果匹配失敗並且在防病毒策略中使能雲端查詢功能,則觸發雲查詢。
同時新華三防火牆還提供了多級Cache的方式來完成和部署URL分類過濾功能。幫助客戶用最高的性能和最節省的成本實現海量URL的分類和過濾。在設備本地URL庫中能夠找到對應分類的URL不再去往雲端URL查詢,設備本地URL庫會隨著用戶的訪問習慣和互聯網的變化進行優勝劣汰,但本地URL庫的規格保持穩定。
報文示蹤、網頁診斷 協助用戶定位故障溯本追源
在網絡應用中,難免會出現一些未知的網絡故障,需要管理員去花費大量時間進行排查。在這方面新華三防火牆提供的報文示蹤和網頁診斷功能可以有效的解決此類問題的出現。
報文示蹤功能可以根據用戶需求,配置入接口、源IP地址、目的IP地址、源端口、目的端口、協議等過濾條件,對進入設備的報文,進行示蹤,將報文在設備中的路徑清晰展現出來。該特性提供真實流量、導入報文和構造報文三種診斷方式,滿足用戶不同場景需求。
當網絡出現故障時,網絡管理員可以根據經過設備的真實流量進行追蹤和分析。或者通過捕獲的文件(必須是“.cap”或“.pcap”格式的文件)對報文進行分析,對報文被處理的過程進行回放。還可以通過構造報文的方法,驗證和查看已配置的安全業務功能對此報文的處理結果。通過這些方式滿足用戶不同場景的故障定位需求。
當內網用戶訪問網頁出現故障時,網頁診斷可以通過一鍵診斷功能對網頁訪問故障進行快速、系統的排查和分析,並輸出簡單易懂的故障提示信息,方便管理員處理網絡故障。
多虛一、一虛多的高可靠性統一管理
SCF是新華三自主研發的軟件虛擬化技術。它的核心思想是將多臺設備連接在一起,進行必要的配置後,虛擬化成一臺設備。使用這種虛擬化技術可以集合多臺設備的硬件資源和軟件處理能力,實現多臺設備的協同工作、統一管理和不間斷維護。
SCF技術可以把多臺防火牆虛擬成一個“聯合設備”,使用和配置都如同一臺設備,而且擴展端口數量和交換能力,同時也通過多臺設備之間的互相備份增強了設備的可靠性,提供毫秒級的鏈路收斂能力。簡化了管理過程,降低管理成本,並可根據實際需求平滑擴容網絡容量。支持基於硬件的豐富的故障檢測機制,實現毫秒級鏈路故障檢測。另外新華三的SCF虛擬化技術還可根據組網的要求支持長距離(80KM)的普通以太網萬兆光纖堆疊。
此外,新華三防火牆還可以通過唯一的OS內核對系統硬件資源進行管理,每個虛擬防火牆作為一個容器實例運行在同一個內核之上,容器之間運行空間獨立,具備獨立的控制平面、管理平面和數據平面,所以相比傳統的基於VPN實例進行部分業務改造的虛擬防火牆技術,H3C的虛擬防火牆的功能與實體牆功能一致,是真正的虛擬化。
在虛牆資源分配方面,除具備傳統的接口、VLAN等邏輯資源外,基於統一的OS內核,可以細粒度的控制分配給每一個虛擬防火牆的CPU、內存、存儲等硬件資源,值得一提的是分配虛牆的CPU資源是可保證的,不會被其他的虛擬防火牆搶佔。對用戶而言相當於具備了一臺獨立的物理防火牆。同時根據各虛擬防火牆業務需求能力的變化,root管理員還可以動態對分配給虛擬防火牆的資源進行在線調整。獨有的接口虛擬化技術為VPC應用場景量身定製,相比業界採用IPSec VRF aware技術更符合雲服務提供商的業務開展模型。
下面我們對新華三防火牆“版本不間斷升級”和SCF功能進行驗證。
我們首先將兩臺H3C硬件防火牆虛擬成了一個邏輯上的防火牆,然後分別對其進行備份控制板版本升級、主備控制板相互切換、和訪問鏈路切換三個動作。下面測試圖顯示,在備份控制板版本升級時沒有傳輸丟包現象出現,在主備控制板相互切換時,僅出現了一個ping包丟失,在傳輸鏈路切換時,ping包丟失數量為5個。顯示出了出色的鏈路數據傳輸的保障能力。
備份控制板版本升級未丟包
主備切換丟包1個
鏈路切換丟包5個
事無鉅細,有容乃大
安全設備的日誌、報表等信息在日常運維過程中尤其重要,常見的解決方案是將日誌輸出到日誌服務器做統一的存儲,但是這種解決方案無法滿足所有用戶的要求。隨著網絡安全的重要性增強,用戶的安全意識逐漸提高,越來越多的用戶逐步開始部署安全設備,本地日誌存儲和報表分析的需求也越來越多。
H3C F5000-AK515防火牆配備了大容量硬盤,標配480G SSD硬盤並支持雙硬盤擴展,為日誌本地存儲和本地報表分析提供了充裕的硬件基礎。
高可靠、高安全、智能維護 為用戶創造無限網絡應用空間
通過對H3C F5000-AK515的功能性測試我們可以瞭解,在網絡連接方面,F5000-AK515提供了豐富且具備多種不同類型的網絡接口,可滿足不同類型的網絡應用。並且可以和其低端防火牆利用4G或PPPoE等方式靈活進行組網。在連接可靠性方面,可以通過國密加密算法的支持,為企業提供可靠的虛擬鏈路保障。在網絡安全管理方面,可以通過風險調優、冗餘分析功能讓用戶更加便捷的對防火牆進行管理,並且可以通過防病毒、URL過濾等方式保護用戶網絡應用的安全。並且可以通過報文示蹤、網頁診斷功能迅速對網絡問題進行定位,減少用戶網絡故障的排查時間。多虛一、一虛多的統一管理功能,又可以為用戶帶來高可靠性和靈活易用的防火牆使用模式。而大容量的海量日誌存儲功能又可以為用戶提供充裕的日誌存儲空間,滿足用戶日誌報表分析的需求。
通過上述功能評測可知,H3C F5000-AK515產品所提供的高可靠性、高安全性、高可維護性解決方案,必然可以滿足目前大型園區網和數據中心用戶的實際應用需求,為這些用戶創造出無限寬廣的網絡應用空間。
閱讀更多 至頂網 的文章
