摘要:随着国家对信息安全、网络安全的逐步重视,以及各企业对节约运营成本的需求急迫,在保证网络安全的前提下,使用经济、可靠、高性能的国产网络设备,替代国外产品,已成为各企业在网络建设中必然的趋势。本文基于黑龙江邮政在实际的关键网络节点上部署高性价比的国产网络设备的使用情况,简述国产设备在邮政内部网络的可应用的环境,进而对国产设备的使用前景进行展望。
关键词:国产设备;深信服;F5
中图分类号:F626文献标识码:B文章编号:1672-6200(2015)05-0057-03
1引言
黑龙江邮政互联网环境是黑龙江邮政公司的一个重要的网络门户和业务支撑网络平台。在设备老化、网络出现瓶颈的情况下,作者根据实际网络情况,参照国外网络产品的参数指标,选择性能和口碑俱佳的内业主流的国产设备替代国外产品,对黑龙江邮政互联网网络环境进行升级,取得了良好的使用效果。并通过对升级前后的网络指标对比分析,以及在使用中发现国产设备的不足之处,为邮政企业在关键网络节点使用国产设备提出了使用建议。同时根据当前国情,对国产设备替代国外产品的趋势进行了阐述。
2国产网络设备主流厂商简介
目前,我国网络产品行业正处于发展期,产业已初具规模,产品门类较为齐全,基本建立了技术研发、产品生产和销售体系。在部分主流产品上,已初步满足目前国家信息化建设的基本需求,为国家信息化体系建设奠定了一定的基础。路由器、交换机、防火墙、负载均衡、防病毒、防入侵等多个主流产品格局已初步形成,出现了综合集成和一体化管理平台等新技术的产品和应用。
2.1路由器、交换机厂商
在高端产品方面,华为、中兴等民营通信企业,其产品广泛应用于世界各地通信运营商,产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,近几年逐渐向行业领域拓展。在中低端产品方面,迈普、锐捷等国产产品,近几年逐步在银行、保险、政府、运营商、军队、电力等行业领域内占据较大市场份额。
2.2防火墙厂商
天融信、山石、网御等拥有自主知识产权的网络层防火墙产品,以其优秀的性价比,近年来逐渐在各政府和企业中替代cisco和juniper等国外产品。
2.3VPN、负载均衡设备厂商
深信服作为国家《SSLVPN技术规范》标准核心制定者之一,其SSLVPN解决方案已在政府、金融、运营商、能源、教育、大中型企业等各个领域都得到了广泛应用。深信服负载均衡产品(AD)在国内应用交付产品中也具有较大的市场份额。
2.4入侵防御或入侵检测厂商
绿盟是中国最早从事网络安全业务的企业之一,专注于网络安全、应用安全与WEB安全领域,专注于网络入侵检测与防护、抗拒绝服务、安全评估及漏洞管理、WEB应用防护和安全审计及日志管理。绿盟建立并维护的全球最大中文漏洞库,已经成为业界广泛参考的标准。其安全产品通过国际知名测评机构WestCoastLabs、NSSLabs等专项测试,并在测试中表现优异。
3黑龙江邮政实际使用案例
3.1网络结构说明
黑龙江邮政互联网环境,是黑龙江邮政的一个重要网络平台,其承载着以宣传邮政政策、业内动态为主要内容的黑龙江邮政公司门户网站,也有由黑龙江邮政易通公司开发的、为对俄贸易提供服务的中俄边贸网为主的电商网站。该平台还为企业提供包括物资集中采购、商投管理、落地配管理等BS架构的业务支撑管理系统,同时承载着黑龙江邮政易通公司开发的新华社短信、手机在线缴费、物流运输、仓储、配送、特许经营等业务拓展平台。该网络环境为黑龙江邮政的业务发展起到了关键性作用,是黑龙江邮政一个不可缺少的业务管理平台。网络结构上在内网区,使用Cisco3550作为核心交换机,通过划分不同VLAN隔离各系统及WEB应用,使用H3C3600做级联交换机和区域交换机实现网络扩展。在联网接入区,由于黑龙江地理位置的特殊性,采用双运营双线路接入互联网(联通、电信各20Mbps),实现地域用户的快速访问,同时双线路可实现相互备份。使用东软防火墙(Neteye4032)作为互联网双线路接入和区域隔离。防火墙配置明细路由,实现不同运营商的互联互访;使用NAT转换,为用户提供互联网访问服务;使用端口级的访问控制策略,严格控制外部和内部访问,保障内网区的数据安全。在应用负载均衡方面,部署单臂模式的F5Big-IP-1500负载均衡交换机,做为各业务系统应用服务器的负载均衡,保障应用的可用性。该网络环境,目前共有系统30多个,服务器近100台。根据流量监测,日均网络流量在8Mbps左右/条,峰值在12Mbps/条,日均网络连接在4万左右/天,日均并发连续数在5000个左右。
3.2网络环境中存在的问题
该网络环境始建于2005年,由于建设较早,网络设备使用当时省邮政中心闲置设备进行搭建。然而随着业务的发展,访问用户的增加,平台经常出现问题,如防火墙NAT地址失效、不同运营商用户访问路由失效、系统在进行大数据传输时网络延迟过大等问题,百兆交换机、F5的承载能力出现网络瓶颈。如今,现有的设备已经不能满足业务的扩展需要要求,企业急需对平台进行升级。
3.3升级改造的内容
本次升级主要是对防火墙、核心交换机、负载均衡设备进行升级。核心网络层计划由百兆提升至千兆,负载均衡产品计划由1500系列提升至1600系列,防火墙网络吞吐量由200M提高到800M,并发连接数处理能力由50万提高到100万以上。根据升级计划,如果选用业内主流产品(例如交换机采用H3C或者cisco,防火墙选用Juniper,负载均衡使用F5或者Radware),投入资金较大,省内无法负担,因此考虑采用低价格的国内设备进行试验性替换,从而满足平台的升级需要。根据升级的目标,参照国内外各厂商设备参数,综合对比,最终我局决定核心交换机选用华为的S5700作为替代,区域交换机选用迈普的MP4100,防火墙选用天融信的NFGW4000UF,负载均衡设备选用深信服的AD1600。
4测试数据对比分析
4.1整体体验效果
经过为期半年的试用,整体上对黑龙江邮政互联网环境进行国产化升级后,网络运行平稳,用户使用效果良好,原有网络存在的问题得到了解决,基本上达到了预期目的。在使用效果上:用户访问速度有所提升,页面展示更加快捷迅速;各类大数据查询结果,能够更快速的显现;不同运营商互访问题得到解决,减少了手工维护量。在负载均衡效果上:负载均衡策略和分配比例与替换前基本保持一致,承载连接数量提高,各服务器的性能和资源得到了充分的利用,能够快速判断服务器的健康状态,保障应用的可用性。在核心网数据传输上:由于从百兆平台升级为千兆平台,内部数据传输和交换能力大大提高,也一定程度上提高了报表、查询等操作的网络响应速度。
4.2部分测试数据对比
由于测试条件和测试工具有限,因此只对负载均衡、交换机设备的一些直观数据进行监测,交换机由于是百兆到千兆的升级,前后无对比性,因此只做整体体验性分析,不做单项数据分析。(1)根据检测数据,国产产品基本上能够满足黑龙江省邮政互联网环境升级的需要。国产产品上应用了较多自主研发的核心技术,例如硬件加密算法更符合国家的信息安全规范;产品也是基于国内市场量身定制,更能符合国内的用户需求。此外,在稳定性以及主体功能实现上,国内外产品差距不大,只是国内外产品的侧重点不同,例如:深信服产品侧重于对服务器的健康、稳定性检查以及智能分析方面,同时提供速度优化保障;F5主要关注于减少服务器压力以及对服务器安全保障方面;Radware侧重于对服务器速度的优化和管理,提示服务器访问速度。(2)在使用过程中,也发现了一些国产设备问题。首先在功能方面,国内的产品过多于做一体化解决平台,产品跨界较严重,同一产品上或多或少地集成了一些安全功能,产品不专一,设备的性能往往被浪费到不用的功能资源上。其次,部分国产产品在配置操作上,逻辑关系不清楚,配置复杂,不像国外产品配置逻辑关系清楚明了,此外在细节的处理上,对比国外产品有一定的差距。(3)虽然存在一些问题,但国产产品相比国外产品,更符合中国的实际网络情况,更了解国内用户的使用需求。在安全方面,使用较多自主研发的核心技术,使用符合国密标准的加密算法;售后服务较为便捷、完善。根据我省在实际环境中的替代使用,作为一种替换方案,作者觉得国内产品在结构不复杂、拓展需求不特别高的关键网络环境,在网络稳定性、网络的吞吐能力、数据并发处理能力上都不弱于国外产品,完全能满足到企业的运营需要。但由于国产设备核心技术上与国外产品还是存在差距的,国产厂商过于注重多功能融合,因此考虑在核心层的下一层级或在网络边界层面使用国产产品。
5结束语
随着国家对网络安全的重视,业内人员已经提出了去IOE(IBM,Oracler,EMC),国产产品代替国外产品这是大趋势,这次替代不是指在IT系统架构中的某一个环节,某一个部件,某一个局部范围搞进口替代,而是整个IT系统基础架构,包括网络系统,计算机系统,操作系统到基础软件系统都要重建。在关键行业使用IT设备,可以保证IT系统减少因为"人为因素"出现信息风险的可能性。虽然使用国产IT设备不一定绝对安全,但相对单纯使用国外设备而言,风险却可以减低很多。另外国产设备和信息安全之间并不能简单的划等号。例如很多国产IT产品中的CPU、操作系统等核心系统实际上仍然是由国外厂商提供。因此,从某种程度上而言,所谓的信息安全并不能得到完全的保证。如何在替代过程中,保持原有网络的稳定又能达到预期的目的,这是由各硬件厂商的产品所决定的。作为一个网络工程师,我们的目标就是在众多的国内产品中,选取最稳定、性能最优的产品,更多地使用有用自主知识产权和核心技术的网络产品,应用到邮政网络中,使邮政网络在这个必然趋势下能够平稳过渡,确保整个邮政网络的信息安全。
参考文献
[1]企业网D1NET《网络信息安全形势不容乐观国产化浪潮成主流趋势》
[2]刘国华《网络系统的信息安全技术浅析》
作者:侯瑞李洪亮单位:黑龙江省邮政公司信息技术局
相关专题:河南农业大学学报 干旱地区农业研究官网