在线体育网站使用超大规模网络安全硬件

澳大利亚博彩公司Sportsbet需要快速扩展的网络安全硬件。毕竟,Sportsbet每天需要在峰值阶段处理成千上万不同的在线客户请求。为了保证流量安全,Sportsbet使用了Crossbeam Systems的运营商级网络安全硬件,它运行的是第三方安全软件。Crossbeam X-Series机架是模块化设备,允许客户通过增加刀片而扩展容量:控制处理模块(CPM)负责整个机架系统管理;网络处理器模块(NPM)负责转发和负载均衡;而应用程序处理器模块(APM)负责运行安全应用程序的性能。对此,本站采访了Sportsbet的IT安全经理Gonzalo Ernst,了解了其Crossbeam部署情况。

记者:您可以介绍一下正在使用的Crossbeam网络安全硬件的网络情况吗?

Gonzalo Ernst:我们目前使用Crossbeam保护达尔文市主数据中心和我们的灾难恢复站点的Web基础架构的安全。我们有100多台交换机及其他网络设备,如负载均衡器和WAN加速器。Sportsbet是一个有350多名员工的成长型公司。作为澳大利亚最大的在线博彩公司之一,我们面临的峰值客户访问量是非常巨大的。

记者:您处理的是哪一种流量模式?在达到网络安全硬件处理极限时,您又是如何处理峰值负载的?

GE:通常,周三和周六是最繁忙的,因为这两天有赛马比赛。在墨尔本赛马比赛日,流量负载10倍于全年最繁忙的周六峰值,2倍于全年第二繁忙的考菲尔德比赛日流量。在春季赛马嘉年华期间,会有几天的流量高峰期,但是墨尔本赛马比赛日是全年计划中最重要的。我们的环境必须能够应对每年这一天的流量负载,而在除春季赛马嘉年华之外的全年其他时间里,容量一般保持在5-10%之间。意外的是,今天的最高流量峰值是在墨尔本赛马比赛日前一天,但是比赛开始后,流量显著下降,甚至小于周日晚上的流量。然而比赛结束之后,由于人们开始查看比赛投注结果,流量负载马上攀升到全年峰值水平。墨尔本赛马比赛确实是 “让全国为之疯狂的比赛”。

记者:您的网络具体部署了哪些Crossbeam网络安全设备?请介绍一下配置情况。例如,每一个机架上安装了多少刀片?

GE:2007年,我们就购买了Crossbeam C12设备。随着业务的增长,我们发现X-Series产品更能满足流量增长需求,它不仅能够轻松地根据需求增加防火墙刀片数量,还可以在春季赛马嘉年华期间增加额外的刀片。我们在生产机架中则实现了全面冗余,应用了4个电源、2个CPM刀片、2个NPM刀片,并对每个防火墙配备了2个以上的APM刀片。此外,还采用了多层的防火墙架构;在生产环境部署了完全冗余的X80设备,并在达尔文市部署了一台安装了空闲刀片的空闲X80机架。由于达尔文市位置较远,于是我们便实现了自空闲机制应对任何可能发生的组件故障问题。对于我们,业务的可用性是至关重要的。在达尔文市,我们还部署了一台具有相似配置的 X45刀片机架。

记者:您的Crossbeam网络安全硬件上运行了哪种第三方软件?

GE:我们主要运行的是Check Point产品,但是也有mperva WAF Web应用程序防火墙。增加Imperva是为了增加一层DDoS攻击保护,它具有优异的数据库防火墙和监控功能。

记者:是什么原因让您决定购买Crossbeam网络安全硬件,而不选择一般的服务器或供应商设备?网络安全瓶颈是什么?这些独立的设备是否过于复杂?

GE:我们在高峰期处理的流量水平要求使用高性能且可扩展的架构。因此,我们需要一个防火墙,它必须能够处理1Gbps流量、500,000多个在线连接,并且允许我们应对将来的流量增长。此外,我们要求这个环境能够处理可能发生的DDoS攻击。独立设备本身是很不错的,我们在企业办公中使用这种设备。虽然单个设备的性能在不断进步,但是它们不具备扩展灵活性。我们无法简单地增加额外APM模块来处理增大的流量负载,而且X-Series机架的冗余性也无法支持快速的故障恢复。Crossbeam X-Series的最大优点是移动应用程序刀片或网络端口故障恢复是瞬时的,不会影响流量传输。我能够在不停机的前提下对刀片进行维护和升级。

记者:在开始使用Crossbeam网络安全硬件之后,您的网络安全操作有了什么变化?

GE:在前两年未使用X-series刀片时,我们都无法处理墨尔本赛马比赛时所达到的流量水平。但是,Crossbeam产品的品质让我印象深刻。一旦配置好,所有方面都能够正常运行。我们从未遇到过意外停机或影响服务正常运行的时候,也从未被迫移动或调整任何组件,如卸下某些刀片,所有操作都可以在不停机的前提下执行。所有升级操作都非常有序,完全不会引起遗留问题。在过去使用高速防火墙时,从未有如此顺利的体验。我还记得,以前升级 Nortel Alteon交换防火墙时,总是需要应用两至三次才能够生效,每次升级都要盼着好运气的光顾。但是在使用Crossbeam产品时,我对顺利升级充满信心。

记者:您能够分享一下Crossbeam的安装经验吗?这期间是否有一些意外情况?

GE:这需要对这种刀片架构有一定的理解,在理解它的概念之后,一切就会豁然开朗。最让我惊喜的是故障恢复速度和双主动状态同步功能,移动刀片或维护都不会影响流量传输。

记者:您估计当前的Crossbeam配置是否不能满足您的网络安全需求?对此,您是否有一些规划?

GE:我们仍然有很大的增长空间,目前的机架预计能够支撑两至三年的增长。然而,我们可能会购买更多的应用刀片,甚至可能会购买10GbE网络刀片,以应对流量的增长。除此之外,其他事情就很难说了;一切都取决于流量负载,但是我们仍然有办法进行横向扩展和增加机架。