在Gartner今年发布的2013年“企业防火墙魔术象限”中,华为成为了首位且唯一进入该象限的中国厂商,这代表着华为作为全球企业防火墙市场主流厂商的身份已获得认可。与此同时,Gartner首席分析师Greg Young也对华为安全产品给予了很高的评价:“华为公司有很好的整体网络安全策略;产品系列全,产品性能高,尤其在企业高端防火墙市场具备很强的竞争力。”而这其中的高端防火墙,正是华为面向大型数据中心、大型企业、教育、政府、广电等行业推出的业界首款T级防火墙——USG9500系列。
华为USG9500系列高端防火墙定位于保护云业务提供商、企业下一代数据中心以及企业的园区网络,它采用分布式软硬件设计,其I/O接口模块(LPU)以及业务处理模块(SPU)相互独立并按需配置,提供连接、保护和管理大型企业、云数据中心网络所必须的各项基本功能,通过将交换、路由、安全服务整合到统一的设备中,提供给用户卓越的性能、丰富的安全防护能力以及运营商级的高可靠性。
新架构 打造T级安全防护
目前在业界分布式防火墙产品架构设计思路有两个流派,一个流派为单核CPU加上大逻辑芯片实现转发,成本低但是转发加速主要局限于3层,第二个流派为采用多颗多核CPU,真实性能高但是单板CPU密度高,散热和功耗设计难度大。而华为USG9500防火墙,恰恰采用了第二种设计思路。其中在企业和数据中心的典型混合业务流量模型下,USG9500系列单板即具备160Gbps防火墙吞吐能力(应用层),整机真实业务吞吐量更可达1T级别,最大并发数则可达惊人的9.6亿这样一个天文数字,实现了业界高端旗舰防火墙产品的历史性突破,而这一切,正是得益于USG9500系列所采用的革命性“NP+多核+分布式”架构。对此,华为企业网络营销工程部高级营销经理刘东徽介绍到:“相比目前业界主流防火墙所采用的传统架构(即采用单颗CPU支撑业务转发的方式),USG9500系列的‘NP+多核+分布式’创新架构将多颗多核CPU集成在一块业务板卡上,优化了业务流量在分布式多CPU平台上的分流哈希算法,并凭借创新的风道设计解决了如此高密度处理下的功耗和散热的问题,从而将USG9500系列防火墙的处理性能提升了一个等级;特别是在处理L4-7层的复杂流量时,相比‘传统架构’的优势更加明显。”
而据统计,全球数据中心流量,以每年31%的复合增长率急速上升,作为部署在数据中心边缘的安全网关,必须充分适应数据中心、企业网络带宽爆炸性的增长趋势,才能在当前及未来的网络部署中,不成为业务互联互通的瓶颈,而USG9500系列不仅具备T级吞吐能力,同时还具备出色的可扩展性。对此,刘东徽谈到:“USG9500系列高端防火墙的性能参数平均领先业界4倍以上;而且需要强调的是,这是经过真实环境、典型的应用层流量进行验证的真实性能,是用户实际应用体验的最佳保证。而凭借USG9500系列出色的可扩展性,企业用户在初期小流量应用阶段,可通过小流量板卡投资,助力企业快速成长;后期,更可根据业务3-5年模型逐年扩展(支持高密度接口板,单板可支持48个GE或10个10GE接口;同时可支持单口40G/100G板卡),从而最大限度降低投资成本,并获得最佳的投资回报。”
运营商级可靠性
为了保证客户的网络不中断服务,华为USG9500系列从设计之初即考虑提供运营商级可靠的业务保证。据刘东徽介绍,USG9500系列所有硬件板卡,包括主控、交换网、业务板、电源、风扇等等均支持在线热插拔,并且采用冗余备份设计;而在软件上还有双机热备份协议(HRP华为冗余协议)等软件可靠性设计,可提供小于1秒故障倒换时间,确保业务持续稳定运行。正是凭借这些可靠性设计,使得USG9500系列可提供单机二十五年的平均无故障时间,同时提供运营商级99.999%可靠性,成就了业界同类产品的最高可靠性!
安全融合 助力云数据中心
华为USG9500系列除具备防火墙的基本能力之外,还实现了安全功能的全面融合——提供了NAT及URL溯源、虚拟化、VPN、IPS、应用识别、智能选路、负载均衡等功能。对此,刘东徽谈到:“针对不同的场景,我们的防火墙可以开启不同的功能模块,并且与其他友商不同的是,华为USG9500系列在一块业务板卡上即可实现绝大多数业务功能,节省了投资成本,并且有些非传统意义上的功能如智能选路、负载均衡等特性,在防火墙上也集成实现,从而最大程度的提升了防火墙作为边界的综合业务网关的价值;而且在同时开启多个功能模块时,也没有大幅度的性能衰减的问题。”
而随着云计算的落地实施,数据安全问题越来越受到人们的关注,如何应对云时代下的海量访问挑战、如何保障云数据中心的边界安全、如何满足云环境下的动态虚拟化安全需求、如何解决网络内部业务应用不透明,带宽迅速膨胀的窘境等等都成为了安全厂商必须面对的问题。对此,刘东徽特别谈到:“云数据中心的特点首先是交换数据量大,尤其是东西向的流量;其次是数据中心内部有大量存储和计算资源,这些资源可能受到攻击和入侵,并且这些资源有可能为虚拟资源。而华为USG9500系列可以提供业界领先的性能,完全满足数据中心突发和同时在线的高业务流量,同时对内部资源可以提供专业的IPS入侵防护和Anti-DDoS防护。特别是在云环境下,USG9500系列可以充分适应虚拟机漂移的环境,动态同步策略,完全满足云中心的安全需求。”
具体来说,华为USG9500系列可快速部署在数据中心出口,全面解决多用户数据安全隔离和互访的需求,同时可以基于动态策略,调整各个虚拟系统的带宽和会话业务资源;与此同时,单台USG9500系列高端防火墙可虚拟为业界最大规模的4096台设备,所有的策略配置和管理可以基于每一个虚拟设备为单位调整;此外,USG9500系列还支持虚拟系统下的VPN加密访问和DDoS/IPS攻击防御保护,大大提高了业务组网能力,为数据中心创造定制化的部署策略,满足不同用户/租户的安全防护需求,可实现数据中心对安全业务的精细化管理。
而为了实现数据中心的网络数据的透明可视,进而实现可疑风险的控制,华为USG9500系列凭借数据包协议分析和特征匹配技术,对网络层到应用层的数据进行全面分析,可以准确识别蠕虫流量、僵尸流量,同时支持P2P、VoIP、聊天、视频、游戏、股票等超1200种应用程序识别,将帮助云计算数据中心客户清晰地了解进出流量的成份和比例,为流量策略调整提供参考。
要安全防护 更要极速访问体验
对于防火墙产品来说,性能是提升网络用户上网体验的关键因素之一,然而随着防火墙性能的不断提升,用户的实际访问体验却没有同步提速,反而有些时候还会出现“卡”的现象。因此,华为USG9500系列高端防火墙在致力于安全防护的同时,还带了更多优化流量、提升用户网络访问体验的特性。
华为USG9500系列高端防火墙主要针对两大应用场景进行了流量优化,以不断提升端到端用户上网体验。其中USG9500系列在企业园区位置部署时(即企业网络内部访问外部业务流量时),客户亟待解决的问题就是根据业务模型的需要,分担流量到不同的出口上,从而避免在高峰时段出现拥塞的现象。基于此,USG9500系列结合独有的对于Layer 7业务的深度感知技术,推出智能选路解决方案,有效保证了关键业务的上网速率和应用体验。
而谈到智能选路解决方案,其中的智能出站探测和出站透明DNS代理两大创新技术尤其值得关注。对此,刘东徽举例谈到,企业/教育/广电网络出口,通常租赁多条链路,业务上网访问特定应用(例如微信)时,在不同的运营商(电信、联通)都会部署有应用服务器,但是由于租赁链路带宽,链路承载流量多少,以及应用服务器部署位置和性能等等原因,会造成访问应用的速度有快有慢,那么如何提升上网访问速率,提升用户体验呢?答案就是“智能出站探测”——对于访问的特定目的IP地址,自动优先选择响应时延最小的地址进行访问,从而保证用户上网访问的应用,到达特定应用的访问全部为最优路径,实现用户上网质量和体验的大幅提升。
当然,还有一种情况,同样是在租赁多条链路的企业/教育/广电网络出口,由于客户端PC配置的外部默认DNS服务器地址,往往为电信(我国南方)或者联通(我国北方)的地址,因此总体上用户上网流量会倾向于从其中一家的ISP链路中上网,这就会造成在上网用户数量大时,该条链路极容易发生拥塞。而通过“出站透明DNS代理”——配置适当的权重,合理的分配流量到不同ISP的链路转发;同时通过修改截取DNS报文,修改默认DNS地址来均衡各链路出口的流量,从而避免拥塞,提升整体上网体验。
此外,利用深度解析引擎的优势,USG9500系列还可基于用户或用户组(Who)、时间段(When)、应用(What)和链路(Where)四个维度,对业务流量进行识别和控制,全景解析网络出口业务流量,并进行4W立体管控,从而进一步确保关键业务的上网用户体验。
而USG9500系列在数据中心关口位置部署时(即企业网络外部业务访问内部流量时),特别是数据中心内有多台服务器提供相同的应用服务时,流量分担不均就成为了影响业务体验的主要原因。为此,USG9500系列还提供了“入站负载均衡”能力,刘东徽继续举例谈到,在企业、广电网络中,对外发布的WWW资源一般都对外公布多个服务器地址,当有外网用户访问WWW网址时,在DNS服务解析的时候,DNS服务器可能对电信的用户返回一个联通的公网IP,从而导致外网用户在访问该网站时,绕道到联通访问,增加业务访问延迟,并且增加网间流量的结算成本。而USG9500系列的“入站负载均衡”方案采用“源去源回”的设计思路,如果用户是来自电信的网络,则防火墙会推送给用户电信的DNS对应的IP,如果是联通的用户则推送联通的地址,以智能DNS保证用户访问体验。
此外,USG9500系列还具备L4负载均衡能力,可对内部制定的服务器进行健康忙闲状态检查;同时可根据轮询、权重、服务器响应时延等算法分流业务流量,从而确保企业内所有的计算资源可以充分的利用起来,访问效率也会因此大幅提升。
大设备 易操作
虽然是一款定位高端的T级防火墙,但华为USG9500系列在后期维护和易操作方面同样表现出色,刘东徽介绍到:“USG9500系列提供了CLI、WebUI、SNMP等多种手段操作,既可通过单台设备自带的sWEB系统登录维护,也可通过华为eSight专业网管软件统一维护,从而有效降低后期运维的工作量;与此同时,针对企业原有安全策略难以维护、简化的问题,USG9500系列通过命中率分析,冗余分析等实现了策略精简,至少可以帮助运维人员减少30%的工作量,从而进一步节约了运维成本。”
华为安全 不断前行
华为安全经过10余年的积累和发展,产品和解决方案已经全面覆盖网络和应用安全领域,产品性能获得了业界的高度认可。而基于“要安全防护,更要极速访问体验”的目标,以USG9500系列为代表的华为防火墙系列产品仍在持续更新升级,用创新技术打造更丰富的特性,不断提升着用户的端到端上网体验。这样的华为让我们有理由相信,在未来的安全领域,华为必将成为市场的领导者。
发表评论