深圳市网络信息中心统一互联网出口安全保障


依据国家信息中心的建议,各地的地市单位均以当地的信息中心为主导单位,进行了政府统一互联网出口的建设,而深圳市网络信息中心既是此类系统的运营单位,配置的统一互联网出口为深圳市各委办局提供上网访问。

随着委办局人员的快速增长,对互联网带宽链路的要求也越来越高,为此深圳市网络信息中心也在不断扩容互联网出口的带宽,但同时对带宽的使用控制也日益显著,互联网的开放性也对互联网接入的安全性带来挑战,深圳市网络信息中心引入了Hillstone SG-6000-M8260,在保障互联网接入访问的安全性的同时,还对带宽实施了精细化的流量管理策略,在尽量不扩容的前提下,满足各个委办局接入互联网访问对资源的需求。

需求分析

深圳市网络信息中心在互联网出口上引入安全设备的主要目标是:在充分确保各委办局更流畅、更稳定地访问互联网的同时,合理有效地分配带宽资源,并有效对抗来自互联网的攻击行为。

● 高性能保障流畅的网络访问:深圳市网络信息中心租用了多个运营商的多条链路来实现上网,需要为全市数万名政府公务员提供上网访问,为此要求部署在边界的设备必须具有高吞吐、高并发的支撑能力;

● 支持多链路负载均衡:由于深圳市网络信息中心租用了运营商的多条链路,为此用户期望部署的单台安全设备上可同时连接多个出口链路,并能够根据不同链路的质量和负载自动进行平衡,在提升链路利用率的同时还能够保障互联网访问的可靠性;

● 基于应用的流量控制:对于深圳市网络信息中心,如何更合理地使用带宽资源,是个比较突出的问题,为此目的要求引入的互联网出口安全设备,能够有效识别各种主流的互联网应用,并可针对不同的应用来限制流量,比如可以有效压缩P2P的流量等;

● 充分使用带宽:对于深圳市网络信息中心而言,其带宽链路的费用是固定的,因此如果链路资源使用得越充分,体现出的经济性就越高,这就要求设备能够在满足各个委办局接入基本带宽需求的基础上,还可根据链路带宽的忙闲状态自动将未使用完的带宽分配出去,使带宽的使用更加充分。

解决方案

经过对比和测试,最终用户选择Hillstone SG-6000-M8260,部署到深圳市网络信息中心互联网出口,为各委办局公务员访问互联网提供保障。

● 高性能保障流畅快捷地上网访问

Hillstone SG-6000-M8260采用高性能多核处理平台,整机吞吐量达32Gbps,最大并发高达800万,具有极高的性能优势。在深圳网络信息中心,单台M8260设备支撑2G的上下行流量,和过万人的并发响应时,设备运行稳定,充分保障了各个接入委办局接入访问互联网的效率;

● 多链路负载均衡提升链路利用率

Hillstone SG-6000-M8260支持的多链路负载均衡技术,单台设备上同时连接深圳网络信息中心3条以上的互联网链路,M8260能够主动探测链路的带宽和负载状态,根据链路忙闲状态自动将负载分配到不同链路上,提高了链路的利用率;当单条链路故障时,数据中心防火墙也能够自动将负载切换到其他正常链路上,从而提高了互联网访问,以及外部访问委办局网站的连续性。

● 基于应用的流量控制限制非法应用

Hillstone SG-6000-M8260支持多种应用识别技术,可识别出千余种应用,并在此基础上执行流量控制或访问控制策略,在苏州市政府,通过该功能限制了P2P、网络视频等应用的带宽,禁止上网时间进行网络游戏,同时配合会话限制功能,有效解决了因过度使用非法应用占用带宽的问题,保障了正常的互联网访问。

● 弹性流量管理提升带宽利用率

由于各个委办局访问互联网的流量分布并不均匀,导致深圳市挽留过信息中心统一互联网出口链路的负载忙闲不均,影响了链路带宽的使用率。为此在Hillstone SG-6000-M8260上启用了弹性流量管理策略,根据总链路出口带宽的忙闲状态,动态调整分配给各个委办局的实际带宽,当出口链路总体负载较低,存在剩余带宽资源时,M8260自动提升各个委办局的带宽,实现剩余带宽的智能二次分配,提升带宽利用率,并提升了接入委办局的访问流畅性。

运行效果

Hillstone SG-6000-M8260是一款高性能、高可靠、支持多种安全及管理功能的综合性安全设备,在深圳网络信息中心,除了实现传统防火墙的安全功能,和NAT功能外,其智能的链路负载均衡和流量管理,为提升接入委办局的上网连续性、上网畅通性,并提升带宽总体利用率方面发挥了积极的作用。

相关产品

下一代防火墙
山石网科E系列下一代防火墙基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,可为用户提供 L2-L7 层网络的全面安全防护。