1、数据中心防火墙和负载均衡解决方案(华为)2011/07/06概述数据中心是数据大集中而形成的集成 IT 应用环境,通过网络互联,成为数据计算与存储的中心来承载各种 IT 应用业务。通过数据中心的建设,企业能够实现对 IT 信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT 系统建设成本。 安全和高效是数据中心网络运行中需要解决的两个核心问题: 其一,数据中心网络面对着各种混杂流量,恶意攻击流量往往混杂在正常的流量之中,同时由内部和外部攻击导致的窃密也屡见不鲜。安全问题是始终是数据中心的一大挑战。 其二,承担基础运算任务的服务器,其性能差异很大,业务处理繁忙程度都
2、或多或少影响着系统最终的服务性能。如何通过有效合理的业务调度,充分发挥硬件整体的最佳性能是数据中心的另外一大挑战。 为此,华为提出了数据中心防火墙和负载均衡解决方案,以解决数据中心安全性与服务器使用效率的问题。方案介绍 数据中心按照其功能区划分可以分为 Internet 服务器区、Intranet 服务器区和Extranet 服务器区。 Internet 服务器区中布放了支持 Internet 业务开展的服务器群,通常可以按照功能模块进一步划分为 web 应用服务器区、业务处理和中间件服务器区和数据库服务器区。在 web 应用服务器组和业务处理服务器组中需要部署负载均衡器和防火墙。Intran
3、net 服务器区中布放了支持了企业内部 IT 运作需要的服务器;Extranet 服务器区中部署了提供给合作厂商进行访问的服务器。同样,在这些区域也需要部署负载均衡器和防火墙。 一个具体的部署实例如下图所示: 根据业务需要,在不同分区的汇聚交换机(S9306)上合理部署负载均衡和防火墙单板,来有效支撑相应的服务器群的业务展开需要;在核心的汇聚交换机(S9312)上也配置防火墙单板为不同的功能分区间的流量进行有效控制。 方案特点 基于多核的先进硬件架构 通过应用多核 CPU 能够提供基于软件的灵活业务处理能力,满足应用智能化的需求;通过各种硬件加速引擎的协同工作,来确保高性能业务处理能力。相比通
4、用CPU, S9300 汇聚交换机的业务处理 CPU 集成了多种硬件加速引擎,能够将业务分离给专用的硬件加速引擎处理,从而提高并行处理性能。 通过这些专有硬件引擎的支持,并结合高效可靠的软件处理,结合华为内部强大的路由、安全软件平台 VRP,S9300 能够充分发掘硬件的能力。S9300 防火墙和负载均衡单板能够提供每槽位 10GE 线速的处理能力,并保持强大的应用感知能力。 内嵌设计支持可靠、灵活的部署和扩容 S9300 防火墙和负载均衡单板作为系统的业务板内嵌于交换机,利用系统背板实现可靠高速的业务连接,与通过光纤、电缆外联的独立设备相比,其可靠性更高;同时,通过灵活选配业务单板,系统可以
5、平滑地支持网络扩展,无需对网络拓扑进行改变。 功能强大、易于维护,业务需求匹配度高 传统的防火墙根据其工作原理可以分为包过滤防火墙、代理防火墙和状态防火墙三种。当前主流是向状态防火墙方向发展,S9300 防火墙单板就是状态防火墙单板,可提供强大的保护和过滤功能。 负载均衡器则是需要根据服务器的性能、CPU 占用率、业务应用的连续性等原则来将远端用户请求合理的分散发布到各服务器上的功能硬件。当服务器出现异常时,负载均衡器能够准确感知故障,并将其从可提供业务服务器中剔除。 绿色环保 秉承 S9300 一贯的绿色节能的设计理念,在防火墙和负载均衡器的硬件设计上也充分考虑了节能设计,选取的业界先进的多核引擎能够提供很高的性能功耗比。客户收益 华为数据中心防火墙和负载均衡解决方案,将有助于客户构建安全高效的数据中心网络,同时,具有方便运行维护、绿色环保等特色,在有效保护客户投资基础上,支持平滑的企业业务扩展。