【IT168 专稿】我国东北地区的大型制造企业A，员工总数超过10万人，总资产近400亿人民币。企业A原网络系统共有三个Internet出口，在网络中配置了两台链路负载均衡设备在主备模式下工作，在此三个Internet链路之间进行负载均衡，同时实现Internet出口的高可用性。

    从安全角度来看，该用户的内部网络主要可以划分为两个安全域——DMZ区和LAN区。该用户为这两个区分别配置了一组防火墙，从物理上进行隔离。每组防火墙以其厂家的专用协议工作在Cluster负载均衡模式下，同时通过一台二层交换机将两组防火墙和链路负载均衡设备连接起来，实现安全域与外部的通信。

    网络安全结构存在的主要问题

    企业A认为当前的网络安全结构主要存在以下几方面的问题。

    结构复杂，管理成本高。

    在目前仅仅提供防火墙安全应用的状况下，企业A已经使用了5台设备。于是，除了需要管理5台设备，企业A的路由及交换的设计也非常复杂，特别是IP Cluster的技术对外部网络环境的要求较高，需要对4台防火墙进行非常复杂的设置，而且安全策略配置的工作量也很大。

    单点防范，无综合安全防范的能力。

    在目前架构下，任何一个用户所面临的安全威胁是全方位的，不仅需要针对访问控制的防火墙设备，并且还需要网络防病毒、防攻击、员工上网行为控制、审计等多方面的安全防护设备。

    扩展性严重不足

    目前，该系统结构基本没有扩展能力，即当用户面临系统需求增加时，如原有设备性能不足、需要增加新的安全域、增加新的安全应用防护时，在现有的结构下，整个安全系统均需要重建，必须重新购买新的安全设备，原有设备丧失作用。

    系统复杂度高，稳定性差

    当前的系统结构复杂，需要管理多台设备，配置许多的路由及防火墙负载均衡Cluster等。并且，用户反映防火墙负载均衡在实际运行时不稳定，这实际上也与配置Cluster时的复杂度有关。

    用户的选择

    针对用户目前网络中存在的问题，Crossbeam公司提出了基于下一代安全平台X80的解决方案，并得到了用户认可和采用。

    X80是 Crossbeam 公司为实现全面的网络、邮件和 Web 安全性而开发的旗舰级高端安全平台。X80可提供丰富的安全功能、极高的可靠性、高吞吐能力及综合的安全防护，包括集成的负载均衡和流排序功能等 Crossbeam 的专利技术； 在 X 系列设备上内置了来自 Check Point、ISS、趋势科技及 Websense 等公司的多种非常先进的安全引擎，提供先进的高性能高可靠性综合安全防护。

    在X80中，各模块的功能是分离的，每种模块各负其责，然后通过机架无源背板全交叉总线及Crossbeam专利的实时调度操作系统XOS实现有机的集成。Crossbeam X 系列提供不同的设备模块，包括网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。其中每个APM模块即可视为一台独立的安全设备，每个APM拥有独立的处理器、内存、总线。NPM作为数据流的调度者，可以以硬件方式在多个APM之间实现负载均衡。当多个APM运行同一种安全应用时，每增加一个APM，性能即可线性扩展。当X80安全平台上加载了多种安全应用时，NPM还可以针对数据流的特征实现数据流的灵活调度。

    最终，用户通过一台高端综合安全硬件网关X80安全平台替换了原有网络中的四台防火墙和一台交换机，在保证系统高可靠性、高可用性的同时提升了性能，在不修改原有网络架构的前提下增加了新的安全功能，包括防病毒、IPS、企业员工上网行为控制，为用户提供了更好的综合性安全防护，在X80内部进行了冗余板卡配置，提高了安全系统的可靠性、稳定性。