【IT168 专稿】我国东北地区的大型制造企业A,员工总数超过10万人,总资产近400亿人民币。企业A原网络系统共有三个Internet出口,在网络中配置了两台链路负载均衡设备在主备模式下工作,在此三个Internet链路之间进行负载均衡,同时实现Internet出口的高可用性。
从安全角度来看,该用户的内部网络主要可以划分为两个安全域——DMZ区和LAN区。该用户为这两个区分别配置了一组防火墙,从物理上进行隔离。每组防火墙以其厂家的专用协议工作在Cluster负载均衡模式下,同时通过一台二层交换机将两组防火墙和链路负载均衡设备连接起来,实现安全域与外部的通信。
网络安全结构存在的主要问题
企业A认为当前的网络安全结构主要存在以下几方面的问题。
结构复杂,管理成本高。
在目前仅仅提供防火墙安全应用的状况下,企业A已经使用了5台设备。于是,除了需要管理5台设备,企业A的路由及交换的设计也非常复杂,特别是IP Cluster的技术对外部网络环境的要求较高,需要对4台防火墙进行非常复杂的设置,而且安全策略配置的工作量也很大。
单点防范,无综合安全防范的能力。
在目前架构下,任何一个用户所面临的安全威胁是全方位的,不仅需要针对访问控制的防火墙设备,并且还需要网络防病毒、防攻击、员工上网行为控制、审计等多方面的安全防护设备。
扩展性严重不足
目前,该系统结构基本没有扩展能力,即当用户面临系统需求增加时,如原有设备性能不足、需要增加新的安全域、增加新的安全应用防护时,在现有的结构下,整个安全系统均需要重建,必须重新购买新的安全设备,原有设备丧失作用。
系统复杂度高,稳定性差
当前的系统结构复杂,需要管理多台设备,配置许多的路由及防火墙负载均衡Cluster等。并且,用户反映防火墙负载均衡在实际运行时不稳定,这实际上也与配置Cluster时的复杂度有关。