防火墙在网络安全体系中占据着不可撼动的位置，尤其是对银行业用户来说，防火墙的重要性更是毋庸置疑。在普遍实现了数据大集中的情况下，银行对数据中心出口的安全设备性能要求，明显高于一些普通行业，因此这也成为网络安全设备厂商实力的真实舞台。

在中国农业银行总行（以下简称：农总行）数据中心防火墙选型中，华三通信的高性能超万兆下一代防火墙展示出的性能优势，满足了农行当前业务系统的出口安全需求，在技术和架构上也展示出了别具一格的领先优势，为用户带来了更多价值。

严苛选型的收获

中国农业银行作为国有四大行之一，其企业规模和业务范畴都是超大型，23000多家境内机构、15家境外机构以及网上银行、电话银行、掌上银行等分销渠道，所有的业务都要依托总行数据中心为核心的信息化系统来处理。

2014年，中国农业银行总行数据中心为满足国家安全审查建设，针对电子认证系统建设规划，开展了“某系统国家安全审查建设项目“万兆防火墙入围选型工作。从银行业务的特点出发，农总行对设备的性能提出了明确要求：防火墙吞吐40G以上，能够实现基于用户、应用的下一代防火墙特性以及负载均衡、VPN、多种路由协议等网络特性。

H3C SecPath F5040在众多产品中表现尤为突出，最终成功入围农总行数据中心。作为下一代高性能万兆防火墙产品，H3C SecPath F5040采用了先进的最新64位多核高性能处理器和高速存储器，支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。

高可靠性是农总行最为关注的一个方面，H3C SecPath F5040防火墙采用互为冗余备份的双电源模块，支持可插拔的交、直流输入电源模块，同时支持双机状态热备，充分满足高性能网络的可靠性要求，这对于银行业务来说有非常实际的意义。

此次能够入围农总行选型，是源于华三通信的整体实力。作为新IT基础架构领域的领先厂商，华三通信不仅在网络安全领域的技术和产品保持着自己的优势，在安全应用服务方面更是有着十分丰富的经验积累，能给农行提供更多保障。

价值体现不仅在性能，还在运维

目前，已经有两台H3C SecPath F5040部署在农总行数据中心，作为数据中心出口的“屏障”，为网银业务保驾护航。对于农总行IT部门而言，华三通信防火墙设备的到来，也减轻了在系统部署和运维环节的压力。

采用双机热备，是高端用户普遍采用的一种增强系统稳定性的方法。以往农总行数据中心采用的是VRRP+HA的双机部署方式，这也是国内厂商设备的普遍方式。但这种方式的短板十分明显，由于单组VRRP需要消耗三个IP地址，如果双主方式需要两组VRRP；两台设备需要单独配置维护，部分配置需要能够自动备份。

这种传统方式无疑需要消耗很多IP地址资源，同时需要提前规划众多的地址分配以及链路协议规则。农行总行的IT部门需要投入大量精力，来了解安全技术细节，熟悉双机组网方式。

H3C SecPath F5040则改变了这一点。由于可以采用SCF集群双机技术，双机热备的两台防火墙，在网络拓扑中成为了一台设备，对外呈现单节点、单IP，而且只需一次配置，也无需担心配置备份问题。由于设备的SCF功能已经通过集群协议完成了大部分双机配置工作，维护人员只需通过简单的界面来进行部署与维护，而无需理会底层的技术细节，这样就大大提升IT部门对防火墙设备维护的工作效率。

此外，华三通信防火墙的价值体现不仅仅在这一点上。由于H3C SecPathF5040具备了IPS、AV防毒、应用流控等多种高性能的深度安全防御扩展能力。因此，除了实现网络出口的基本访问控制外，华三通信下一代防火墙可以在任何需要的时候开启高性能的多业务防护以及多种VPN接入手段，在不改变现有组网的情况下，便捷地获得更加完整的边界安全防护，同时多种安全防护业务可以在一条安全策略中统一集成，让现有网络防护更为简单易用。

结束语

对于任何一个用户来说，网络安全是一个需要不断完善、不断提升的工作。农总行数据中心的网络防火墙部署需求，也会持续提升。凭借着在业界领先的产品技术和解决方案优势，华三通信将继续在农行信息化建设中展现价值，为农行IT系统打造更坚实的屏障。