网络安全 频道

UTM技术革新之山石网科SA-5050

    Hillstone SA-5050案例

    某运营商通过几年的网络建设,规模逐步扩大到近15万用户,出口带宽达10G,一共通过10台某品牌防火墙的NAT地址翻译来为用户提供上网服务。

     随着业务量的不断增加,机房原有设备已不具备扩容能力,而ISP机房的机架也几乎被众多防火墙设备占满。日益增长的网络流量和泛滥的P2P应用吞噬着网络带宽,家庭用户普遍的在线视频和多线程下载不仅占用了大量网络带宽,高峰时大量每秒新建会话数及高达上百万的并发会话都让原有防火墙设备难以承受。以上诸多问题都迫切需要解决,对此用户希望通过升级防火墙设备来解决原有设备老化、性能不足导致上网慢的问题,同时还有以下几点需求是需要在升级时满足的:

    1、高可扩展性:新设备的性能不但要强于原有防火墙设备,而且还必须具备高可扩展性,这样才能满足当前和未来几年网络发展的需求。

    2、根据公安部82号令,ISP宽带运营商需要保存至少60天的客户端上网日志。

    3、具备流量监控,会话数限制等功能。

     4、机房容量有限,目前机架已接近饱和,要求新设备比以前设备体积小。


    Hillstone山石网科提供的解决方案:

    在经过对网络的流量进行分析,与网络中原有防火墙设备的承载能力及处理器、内存占用率等数值进行全面评估后,Hillstone山石网科给出解决方案:用一台Hillstone SA-5050多核安全网关替换原有的三台防火墙,端口高度集成的Hillstone SA-5050共连接七条线,分别是三条千兆的互联网出口链路、三条千兆的内网链路及一条带外管理兼日志输出链路。开启的功能包括端口集聚、策略路由、多地址池NAT及流量监控等。Hillstone SA-5050多核安全网关拥有8G吞吐量、每秒20万新建会话和并发500万会话数的高性能,新的网络拓扑图如下:

    对于记录至少60天日志的需求,用户三条链路下数万用户的访问量巨大,平稳时段的每秒新建会话仍然会超过6000条,这个原因也致使前期日志系统测试的效果并不理想,用户上网高峰时段的日志记录量高达每秒1万多条,在如此大的数据流量下经常出现日志存储数据库无法响应的问题,对此Hillstone山石网科利用本土研发的优势,在短短一周的时间内进行多次数据库优化和调校,使得新版本下的日志系统及数据库可以承受最高每秒15000次的日志记录量,这是原有网络环境单条链路都难以实现的,而优化过的Hillstone山石网科解决方案则可以担当起传统多台设备的日志压力,解决了用户的一大难题。

    在完成传统防火墙功能的同时,Hillstone SA系列多核安全网关还为用户提供了基于设备接口流量、网络协议流量、网络协议会话、网络IP流量、网络IP会话等实时监控及历史状态查询功能,为运维工程师监控网络状态提供了很大帮助。

    对于机房机架容量饱和问题,Hillstone山石网科设备虽然性能是传统设备的多倍,但在体积上却没有成倍的增加,而是在1U的机箱内集成了高达12个千兆端口及双电源,这既成为以一换多的基础,而且为机房创造出之后扩容的空间。

0
相关文章