秋日午后的阳光 发表于 2021-1-10 00:28
专业问题交给专业厂家的专业人士负责，这啥30W人的企业啊，安排小白负责这么专业的东西，遇到问题了上网来咨询。

还是生产环境，随便整一下就是一个网络事故。

水中的晚秋 发表于 2021-01-08 15:57

好像不是这样吧。 现在的网络架构，如果不用路由器，直接防火墙然后是核心交换机，防火墙还是配置成防火墙，我的理解对吗？

水中的晚秋 发表于 2021-1-8 23:37
情况比这个要复杂的多！ 因为已经是生产环境了，客服那水平是解决不了的。。。

谁也不敢担这个风险？

如何判断防火墙是配置成路由器状态？

sunchina 发表于 2021-1-8 23:46
最简单的，你去看看网络拓扑结构。
防火墙的上行接口和下行接口有没有再接路由器，如果没有接路由器，并且上行口接运营商，下行口接核心交换机，那肯定就是配置成路由器使用了。如果上行口或者下行口还有路由器，那十之※※就是仅当防火墙用了。

水中的晚秋 发表于 2021-1-8 23:37
情况比这个要复杂的多！ 因为已经是生产环境了，客服那水平是解决不了的。。。

谁也不敢担这个风险？

如何判断防火墙是配置成路由器状态？

nikonbeta 发表于 2021-1-8 23:32
要看你的业务系统都是啥了，一般OA，1万用户的流量不会超过200M；30W也就10G，
只要不是视频，小电影，流量不会大的。

sunchina 发表于 2021-1-8 23:29
你这是新接手的啊！先找前工程师问问吧，实在问不到就找客服吧。
如果客服到期了就要求单位续期，然后收集信息发给客服，客服会给你解释的明明白白的。
这么大的企业，网络系统客服续期的钱应该给吧？

sunchina 发表于 2021-1-8 23:25
不知道E8000是不是把NAT功能阉割了（运营商可能用不到NAT），USG9580是支持NAT的。
30W+的用户100G端口够用吗？我觉得这都是一个城市人用户量了。我估计得配好几个100G端口吧？没有见过那么大的用户量，自己猜的。

水中的晚秋 发表于 2021-1-8 21:12
是个NB的财富500强， 现在怀疑防火墙是当路由器了。 这个应该不是应用工程师，是防火墙工程师来负责的，但不幸，好像配置成路由器了，然后目前所有的应用已经在上面配置了，就是ACL.

咋整？

谁用过防火墙Assurance 软件，比如Tufin, 或者Skybox?

谢谢！！！！

nikonbeta 发表于 2021-1-8 22:04
从流程上看，对30W+用户的流量值要有一个估算，加上冗余系数，然后根据这个估算值看看需要多强的防火墙
一般说来，实际流量大约是这个估值的30%不到。
至于吞吐量，都会是性能过剩，你用不了的。
你们和营运商之间的互联带宽要多大？100G，够了吧？USG9580的性能够了。
防火墙在出口，必然是双机吧？要注意：
1、必须配置成双主模式，或者堆叠，千万别用主备模式；因为营运商一侧是黑盒子，不知道会出啥问题；
2、这时务必务必注意，双机之间互联的级联线必须跨板卡多条线路级联；
3、H3C给你们提供服务的工程师绝对是年轻菜鸟，也就是说原厂工程师也会犯低级错误，对他们的话要打个疑虑；
4、要提防光纤只断了收或者发一芯的情况，让厂家给出解决办法；
5、网络是网络，安全是安全，严格说起来，这两个职责互斥，就像出纳和会计不能同一人一样，千万别网络和安全都有你来管；
6、IP碎片攻击是安全设备防护的，不应该由防火墙防护，也就是防火墙没必要检测TCP状态；
7、你们必然会配置IPv6的，两个厂家的防火墙好像都不能nat，只能透明模式或路由模式；所以，负载均衡是必要的 ...

水中的晚秋 发表于 2021-1-8 21:12
是个NB的财富500强， 现在怀疑防火墙是当路由器了。 这个应该不是应用工程师，是防火墙工程师来负责的，但不幸，好像配置成路由器了，然后目前所有的应用已经在上面配置了，就是ACL.

咋整？

谁用过防火墙Assurance 软件，比如Tufin, 或者Skybox?

谢谢！！！！

sunchina 发表于 2021-1-8 11:43
确实在国内菊花的售后非常好。
你是运营商用户吧？E8000是运营商版，企业版是USG 9580。
据说M9000的性能更好一些，最高支持3.2T的防火墙吞吐量，USG 9580最高只有1.92T。
菊花发布过更强的USG 12000，最高可以支持4.8T，但是好像一直没有产品出来。

我没用过这么高端的设备，M9000和E8000你都用过，感觉如何？哪个更易用？哪个更稳定？

sunchina 发表于 2021-1-8 10:20
CheckPoint防火墙的具体配置我不太清楚，但是一般防火墙都有三种模式：路由模式、透明模式、旁挂模式。

路由模式就是把防火墙当路由器用，一般用于中小型网络。
透明模式就是把防火墙连接在路由器和交换机之间，只负责防火墙功能，不负责路由器功能。
旁挂模式一般是旁挂交换机，监控流量，发现问题事后补救。

30万人的特大型企业，如果用在网络核心，应该是透明模式吧？而且得用防火墙集群了。

不太明白你为什么要把防火墙当路由器用，在成本和性能上是不划算的。

而且买这么贵的防火墙，没有应用工程师负责解决问题吗？

nikonbeta 发表于 2021-1-8 10:37
严重不同意
Btw，既然LZ啥都不懂，还是选择一家售后好的企业吧。也就是，如果是在国内，首推菊花

nikonbeta 发表于 2021-1-8 10:45
是的，如果不是用在需要大量路由分发的场景。仅仅是企业用，因为企业在互联网的末端，不会有大量路由分发，路由计算，就直接用防火墙了吧
H3C M9000，我负责的网络中有2台，
个人建议用菊花的E8000，我负责的网络中有18台，

sunchina 发表于 2021-1-7 20:11
……

sunchina 发表于 2021-1-8 10:20
CheckPoint防火墙的具体配置我不太清楚，但是一般防火墙都有三种模式：路由模式、透明模式、旁挂模式。

路由模式就是把防火墙当路由器用，一般用于中小型网络。
透明模式就是把防火墙连接在路由器和交换机之间，只负责防火墙功能，不负责路由器功能。
旁挂模式一般是旁挂交换机，监控流量，发现问题事后补救。

30万人的特大型企业，如果用在网络核心，应该是透明模式吧？而且得用防火墙集群了。

不太明白你为什么要把防火墙当路由器用，在成本和性能上是不划算的。

而且买这么贵的防火墙，没有应用工程师负责解决问题吗？

水中的晚秋 发表于 2021-01-07 22:29

非常感谢！！！
这个CheckPoint防火墙是给一个大型企业用的，全球有30万人。

问题： CheckPoint防火墙如...

sunchina 发表于 2021-1-7 20:11
路由器和防火墙没有本质的区别，只是防火墙增加了安全功能，所以导致防火墙需要消耗大量的资源，从而相同配置的防火墙性能低于路由器。

路由器由于注重路由，所以可以支持很多路由协议；防火墙注重安全，支持的路由协议会少一些，但是安全功能会多一些。不过普通家庭和中小企业也用不到那些路由协议。

你完全可以买一台防火墙当路由器用。
还有，高端路由器一般只支持命令行，但是防火墙一般全系列都支持web配置，更加易用。

现代的路由器一般会增加一些防火墙功能，而现代的防火墙一般又会增加一些上网行为管理功能。