为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
苏州市政府统一互联网出口安全保障
建设统一互联网出口是政府信息化的趋势,苏州市政府互联网出口同时为市政府大院内所有委办局和下辖各区提供互联网接入服务,高峰时期同时在线人数可达到4700人之多。不仅如此,市政府互联网出口也是各委办局对社会的政务信息发布出口,承担着各委办局网站、应用服务器对外发布任务。
由于同时访问互联网的并发量,以及出口带宽的压力,原有的防火墙已经无法承担负载,造成宕机,即影响了各委办局人员访问互联网,也影响了外部对委办局网站的访问,因此对边界的安全设备进行升级改造势在必行。Hillstone SG-6000-X6150数据中心防火墙具有的高性能、高可靠、高可扩的特点,完全符合苏州市政府统一互联网访问的要求,并在苏州市政府得到很好的应用。
需求分析
苏州市政府对边界安全设备改造的主要目标是提高性能和可靠性,以保障更流畅,更可靠的互联网访问,和外部用户快捷访问到个各委办局的网站,具体而言对安全设备的需求包含如下几个部分:
● 高性能保障流畅的网络访问:苏州市政府当前的互联网出口带宽达到4Gbps,同时并发上网人员达到4700多,运行的各委办局网站达到数百个,为此要求的安全设备必须在吞吐量、并发连接数等方面,能够支撑如此规模的访问负载;
● 高可扩为不断升级的带宽提供保障:随着苏州市各委办局信息化的深化,现有的带宽和并发数量会呈现快速增长的趋势,因此要求设备必须支持良好的可扩展能力,能够不断升级以保护前期投资;
● 支持多链路负载均衡:苏州市政府互联网出口租用了运营商的7条链路,为此用户期望部署的单台安全设备上可同时连接多个出口链路,并能够根据不同链路的质量和负载自动进行平衡,在提升链路利用率的同时还能够保障互联网访问的可靠性;
● 基于应用的流量控制:苏州市政府将其互联网出口带宽按等比分配给各个委办局,但随后发现由于一些委办局过渡使用P2P、网络视频、网络游戏等,不但影响了本局人员上网,其产生大量的并发也影响了其他委办局人员上网,为此苏州市政府提出应根据应用来执行流量控制规则,以更好地保障大多数人员上网的连续性;
● 有效节约IPv4地址资源:苏州市政府互联网IPv4地址资源主要来自于向运营商租用链路的方式获得,但是随着上网人员的增加,发现IPv4地址资源明显不足,为此苏州市政府期望引入的安全设备也能够解决此问题。
解决方案
经过对比和测试,最终苏州市政府选择Hillstone SG-6000-X6150数据中心防火墙,作为边界NAT设备接入到苏州市政府统一互联网出口,在为各委办局网站提供防护,以及为各委办局公务员访问互联网提供保障层面,发挥如下的作用:
● 高性能高可扩保障流畅可扩展的上网访问
Hillstone SG-6000-X6150数据中心防火墙采用了分布式多核架构,整机具有极高的工作性能,在配置单块业务处理板卡时,即可达到20Gbps,以及最大可提供1000万并发的能力,完全能够满足苏州市政府现有的互联网访问规模;在增加板卡后,可线性提升整机的性能,当苏州市政府人员增长而导致上网规模增长时,数据中心防火墙高可扩展的特点能够有效保护前期投资,无需另外单独购置设备。
● 多链路负载均衡提升链路利用率
Hillstone SG-6000-X6150数据中心防火墙支持的多链路负载均衡技术,单台设备上可同时连接苏州市政府的7条互联网出口链路,并能够主动探测链路的带宽和负载状态,根据链路忙闲状态自动将负载分配到不同链路上,提高了链路的利用率;当单条链路故障时,数据中心防火墙也能够自动将负载切换到其他正常链路上,从而提高了互联网访问,以及外部访问委办局网站的连续性。
● 基于应用的流量控制限制非法应用
Hillstone SG-6000-X6150数据中心防火墙支持多种应用识别技术,可识别出千余种应用,并在此基础上执行流量控制或访问控制策略,在苏州市政府,通过该功能限制了P2P、网络视频等应用的带宽,禁止上网时间进行网络游戏,同时配合会话限制功能,有效解决了因过度使用非法应用占用带宽的问题,保障了正常的互联网访问以及网站发布应用。
● 端口复用节约IPV4地址资源
Hillstone SG-6000-X6150数据中心防火墙独有的端口复用技术,将单个IPV4地址可NAT的会话数量提升至少16倍,对于苏州市政府,在不增加IPv4地址的情况下,通过该功能将可NAT的并发会话数提升了近16倍,大大节约了IPv4地址的资源。
运行效果
Hillstone SG-6000-X6150数据中心防火墙是一款高性能、高可靠并可线性扩展性能,特别适用于苏州市政府统一互联网出口的应用环境,数据中心防火墙支持的多链路负载均衡、基于应用的访问控制及流量控制,又进一步提升了链路的利用率,保障上网及网络访问的连续性,独有的端口复用技术大大提升了IPv4地址的利用率,为苏州市政府有效节约链路费用,发挥了明显的作用。
