中国证券登记结算建设互联网安全防线

中国证券登记结算有限公司总部设在北京，下设上海、深圳和北京数据技术分公司三家分公司。从2001年10月1日起，中国结算承接了原来隶属于上海和深圳证券交易所的全部登记结算业务，形成了全国集中统一的证券登记结算组织架构，是我国证券交易市场的重要组成部分。

本次中国证券登记结算有限公司在同城灾备网络建设项目中，选择山石网科为其提供高性能多功能安全设备，保障网站网络安全。

需求分析

中国证券登记结算有限公司网站承载着关键业务信息，对网络安全的要求主要集中在业务服务的高性能、持续运行保障和网站信息的安全防护。因此，在选择出口防火墙时，重点关注设备的处理性能、安全防护功能、流量管控功能。同时，为了避免单点故障，出口安全设备必须支持HA高可靠部署方式，当一台设备故障时，能自动将流量切换到备机以保障关键业务的连续运行能力。

解决方案

通过对中国证券登记结算有限公司的网络现状、安全需求进行深入分析，本项目中在网站三个出口共部署了6台SG-6000-G5150做网站前置防火墙，每个出口分别部署两台SG-6000-G5150，以HA方式确保网络可靠性。在安全上，开启防火墙、IPS等功能对网站服务器进行防护，同时部署流量控制策略保障关键业务带宽。解决方案典型特点包括：

● 多种安全功能实现网站综合防御

Hillstone SG-6000-G5150综合了多种安全防护功能，在防火墙的基础上，融合了IPS、AV等功能，能够为网站业务提供全方位的保护。同时，为了保障设备性能不因功能增加而降低，Hillstone企业安全设备采用了具有专利的多核Plus®G2安全架构（发明专利ZL201410092922.X），结合自主研发的全并行操作系统，大大提升了安全设备的处理速度，满足业务对高性能的要求。

● 灵活QoS保障关键业务应用带宽

Hillstone企业安全设备具备强大的应用识别能力和丰富的流量管控策略，能够通过协议特征准确识别应用类型，可实现支持基于角色、协议、IP、时间等QoS策略，以及带宽共享、带宽预留、弹性QoS等控制功能，并且支持QoS策略之间的嵌套，为网络管理员提供更为灵活的带宽管理工具，在最大化带宽利用率的同时保障关键业务带宽。

● HA双机热备保障网络高可靠

为避免单点故障，提高网络可靠性，在每个网络出口部署了两台SG-6000-G5150，形成HA双机热备高可靠组网。Hillstone HA技术支持AP及AA部署模式，通过专用链路互相交换网络连接状态信息，在单机故障时，另一台网关能够及时接管，从而保障业务连续运行。

运行效果

中国证券登记结算有限公司通过在网站出口部署Hillstone SG-6000-G5150高性能多核安全设备，依靠SG-6000-G5150多核全并行设计架构，使网站业务得到了高性能安全保障。同时，SG-6000-G5150丰富的QoS功能、高可靠性HA设计，也提高了业务响应速度和连续运行能力。