服务
标准服务
标准服务包括以下内容
- 由 HA 防火墙对组成的托管防火墙服务
- 标准1日志记录,包括每天最多 1GB 的日志数据、最多 10GB 的日志数据配额以及每个 FW 对最多 60 天的保留时间2
- 两个可用网络接口的配置3
- 默认路由:边界网关协议 (BGP) 或静态路由
- 设置自助服务和分析器门户,包括最多三个 Equinix 创建的只读/读写用户帐户4
- 通过应用程序接口访问自助服务门户
- 定期修补和更新防火墙
- 全天候监控防火墙
- 事件管理与支持:
- 1 级优先事件:24x7
- 2 级和 3 级优先事件:工作时间
- 服务请求:工作时间
- 所有订阅均包含防火墙功能。它提供标准防火墙服务,详情请参阅服务选项。
笔记:
- 提供大范围日志记录(>10GB)作为一项收费选项。
- 如果防火墙策略启用了日志记录,则会生成更多日志,从而迅速耗尽默认的 60 天分析数据保留时间和 10GB 配额。可以通过更谨慎地选择启用日志记录的策略或增加配额来解决此问题。 3 双宿主互联网接入/广域网连接需要更多接口。
- 这取决于具体使用场景。如果客户自行管理防火墙,则会创建读写权限。否则,如果由 Equinix 管理防火墙,则客户只能获得只读访问权限。
服务变体
托管防火墙服务有以下两种服务类型:
托管防火墙 - 虚拟 (MFW-V)
此方案基于高可用性的主动-被动虚拟设备对,该设备安装在Equinix IBX 的托管私有云平台之上。我们提供不同的性能选项,以满足不同的吞吐量需求。此服务方案包括:
- 订购性能选项所需的 vCPU、vRAM 和存储资源
- 资源配置
- 按照订单在 IBX 中安装和配置 HA 虚拟防火墙对
- 访问自助服务门户和分析员门户
托管防火墙 - 物理 (MFW-P)
此方案基于高可用性的主动-被动物理设备对,该设备可安装在您的许可空间内,或可选地安装在IBX中的Managed Solutions许可空间内。我们提供不同的性能选项,以满足不同的吞吐量需求。此方案包括:
- 按照订购中的规定在IBX中安装和配置 HA 物理防火墙对
- 网络交换机和防火墙的物理布线(包括管理等)
- 访问自助服务门户和分析员门户
MFW-V 是最灵活的,通常也是最合适的变体。在某些特定用例中,MFW-P 是更好的选择,例如由于高吞吐量或法规要求。除了性能之外,MFW-V 和 MFW-P 服务变体之间只有细微的差别。因此,为了避免在本服务描述中重复,我们将基于 MFW-V 服务进行描述,如果 MFW-P 服务存在差异,我们将尽可能以内联文本或脚注的形式进行标注。
服务选项
服务选项是您的 MFW 服务的可选附加功能,可增强其功能。
延伸部署 (MFW-(V/P)-SD)
标准配置下,防火墙以主动/故障转移高可用性对的形式部署在单个IBX数据中心内,产品与服务至少 99.9% 的可用性。选择此选项后,防火墙将以主动/故障转移高可用性对的形式部署在两个IBX数据中心之间,产品与服务至少 99.95% 的可用性。
可以选择此选项来支持以下增强的高可用性用例:
- 双站点 WAN、互联网访问或 Equinix Fabric 连接
- 双站点 MPC
此服务选项还包括两个 IBX 数据中心之间所需的网络连接(适用于 MFW-V 服务变体)。
安全订阅
标准服务基于防火墙许可证。您还可以选择付费的入侵防御系统 (IPS) 许可证或攻击防护/反恐保护 (ATP/UTP) 套餐。下表列出了这些许可证解锁的不同功能。
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
防火墙
所有订阅均包含防火墙功能,并提供以下功能和特性:
- 网络接口
- 策略/规则(防火墙规则)
- 安全配置文件(默认的“开箱即用”配置文件)
- VPN IPsec
- VPN SSL(Web 和隧道)
- NLB(网络负载平衡)
- DoS 策略(L3/4 异常)
- 日志记录(分析器)
IPS
入侵防御服务可防御新旧漏洞,检测和阻止已知威胁和零日威胁。它还有助于基于网络的虚拟修补,并检测隐藏的恶意软件、勒索软件和其他 HTTPS 传播的攻击。
高级恶意软件防护服务
防病毒、僵尸网络 IP/域安全、移动安全、Sandbox云、病毒爆发防护以及内容解除和重建。
应用控制
应用程序控制允许快速创建策略来允许、拒绝或限制对应用程序或整个类别的应用程序的访问。
网络安全
Web 内容过滤通过拦截包含特定单词或模式的网页来控制对 Web 内容的访问。这有助于防止访问包含可疑内容的网页。可以指定单词、短语、模式、通配符和 Perl 正则表达式来匹配网页上的内容。
性能选项
您可以从 MFW-V 和 MFW-P 服务变体的一系列性能选项中进行选择,以根据所需的吞吐量选择正确的类型。
MFW-V 性能选项
防火墙的性能(以 Gbps 吞吐量计算)取决于所选的许可证、分配给虚拟设备的 vRAM 和 vCPU 资源以及防火墙上启用的功能。性能选项范围从 S 到 XL。下表列出了性能和所需资源。
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
笔记:
- 服务中包含 VM 资源。
- 最大吞吐量是指防火墙能够处理的总入站和出站流量(“吞吐量”)。显示的值基于供应商提供的测试数据。根据规则集、使用的功能以及客户的具体流量,实际达到的最大容量可能会有所不同。这只是一个估计值。
- 使用 UDP(512 字节)数据包测量防火墙吞吐量。
- 使用企业流量混合模型测量 IPS 性能。
- 威胁防护性能是根据企业流量组合,通过 IPS、应用程序控制和恶意软件防护进行衡量的。
MFW-P 性能选项
可根据要求提供物理防火墙的尺寸,并且假设将记录在解决方案文档中。
日志存储扩展 (MFW-LSE)
每对托管防火墙服务的标准服务包含每天最多 1GB 的日志数据和 10GB 的日志数据存储。这些日志数据可用于安全分析和/或保留目的。如果客户希望存储更多日志数据,可以将其作为附加选项订购。
外部记录 (MFW-EXL)
默认情况下,此服务会将日志记录到自助服务分析器 (Self-Service Analyzer)。如果需要外部日志目标,此选项会通过Equinix托管日志网关将自助服务分析器的数据馈送到客户提供的外部 SIEM。此选项只能与Equinix托管日志网关组合订购。托管日志网关不包含在托管防火墙服务中,因此需要单独订购。
客户 ID 提供商/身份验证 (MFW-CPA)
默认情况下,客户可以通过自助服务门户添加本地用户。可选择添加外部客户身份提供商(客户提供的身份验证)并用于身份验证。
专用门户 (MFW-DSSP/DLAP)
专用自助服务门户 (MFW-DSSP)
- 标准服务使用中央自助服务门户。
- 您也可以选择订购专用管理门户。例如,如果需要符合非标准合规性、法律法规等要求,而中央门户无法提供此类服务。
- 此选项需要专用日志分析门户。
专用日志分析门户 (MFW-DLAP)
- 标准服务使用中央日志分析门户。
- 您还可以选择订购专用的日志分析门户。例如,如果需要满足非标准合规性、法律法规要求,或者需要提供超出标准服务能力范围的日志记录等,而中央门户无法提供此类服务。
服务请求
除标准服务外,如果已选择相应的服务选项,以下功能/配置可在安装时或通过服务请求(收费选项)申请。以下服务请求可订购。部分服务请求也可自助提供:
- MFW-SR-ANW:添加/移除其他网络 – 防火墙默认配置最多两个子网。通过此选项,可以添加其他子网,例如提供额外的DMZ、在不同层级之间进行防火墙隔离或添加额外的WAN连接。
- MFW-SR-AVD:添加/移除其他虚拟域 (仅限 MFW-P) – 标准防火墙配置一个用于管理的虚拟域 (VDOM) 和一个用于(生产)流量的虚拟域 (VDOM)。可以配置其他虚拟域 (VDOM) 以提供额外的隔离,例如,隔离生产、测试和开发环境,以及/或者为每个防火墙分别设置不同的互联网和广域网策略。
- MFW-SR-AU:在自助服务门户上添加/删除其他用户 – 此服务默认包含三个由 Equinix 创建的用户帐户。如有需要,可创建其他用户帐户。
- MFW-SR-SPC:添加/删除/更改安全配置文件(附加/自定义)——创建客户安全配置文件(入侵防御系统、网页过滤等)。需要有效的订阅。
- MFW-SR-S2S:添加/删除/更改 VPN(站点到站点)连接 – 通过网关到网关 IP-SEC VPN 在两个位置或站点之间建立安全的(加密的)互联网连接。
- MFW-SR-C2S:添加/移除/更改 VPN (SSL) 连接 – 使用 SSL VPN 通过互联网安全地访问受防火墙保护的系统。用户身份验证需要由客户管理系统或支持服务提供。
- MFW-SR-CERT:添加/删除/更改 SSL 证书 – 创建证书签名请求 (CSR) 并实施证书。
- MFW-SR-SLB:添加/移除/更改服务器负载均衡 – 支持基于多种负载均衡策略(包括静态(故障转移)、轮询和加权)在多个后端服务器之间进行基本流量负载均衡。支持 L3 (IP)、L4 (TCP/UDP) 和 L7 (HTTP、HTTPS、SSL/TLS、IMAPS、POP3S、SMTPS)。SLB 可卸载大多数 SSL/TLS 版本,最高支持 TLS 1.3。
- MFW-SR-DP(-E):添加/移除/更改拒绝服务 (DoS) 策略 – 启用拒绝服务 (DoS) 策略,可以检查到达防火墙的网络流量在第 3 层和第 4 层是否存在异常模式,这通常表明存在攻击。选择此选项后,将配置默认阈值。
- MFW-QT-FVP:更改防火墙变体性能 - 更改变体性能的选项。
- MFW-QT-LSE:日志存储扩展变更 – 可选择扩展标准日志数据存储容量。标准服务包含每日最多 1GB 的日志数据,以及每个托管防火墙服务对最多 10GB 的日志数据存储,用于安全分析和/或数据保留。如果客户希望存储更多日志数据,可以作为附加选项订购。
某些变更可通过下表所示的自助服务实施,或可通过服务门户网站请求 Equinix 作为服务请求实施。
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
笔记:
1 每月可申请一次。
如果服务请求未列在上表中,客户可在服务请求模块中选择其他请求。Equinix 将进行影响分析,以确定是否能实施变更、相关成本及准备时间,并将与请求者共享以获得批准。
服务划分和支持服务
MFW-V 服务变体只能与托管私有云 (MPC) 组合订购,因此可作为解决方案中的安全组件。MFW-P 服务变体只能作为包含 MPC 和/或其他Equinix产品的托管解决方案的一部分订购。
Equinix全权负责订单及Equinix服务请求中规定的标准服务及服务选项组合。Equinix 不对任何用于管理或使用服务的客户端软件或客户端互联网连接负责。
MFW-V 分界和支持服务
对于虚拟防火墙,以下服务边界适用:
- 防火墙上用于生产流量的逻辑网络接口
- 用于管理和分析器门户的 UI 和 API
MFW-V 延伸选项
- 除了 MPC 服务之外,客户还需要订购扩展 MPC 服务选项作为支持服务。
MFW-P 分界和支持服务
防火墙上的物理网络接口是从托管防火墙服务角度来看的划分,包括根据 Equinix 提供的规范连接到客户电源和网络基础设施的电源和网络电缆。
在客户许可空间中部署
MFW-P 只能与以下支持服务一起订购:
- 托管交换机(至少对于控制台和管理连接)
- MPC 外部网络服务选项(如果包含 MPC)
- Cross Connects到Equinix Managed Solutions管理平台
客户必须提供:
- 在 IBX 中托管防火墙的许可空间和权力
- 客户机架中的双 PDU 按照 Equinix 提供的规格
- 根据 Equinix 提供的规格连接 Equinix 设备的交换机端口
在 Equinix 托管解决方案许可空间中部署
MFW-P 只能与以下支持服务一起订购:
- MPC 外部网络服务选项(如果包含 MPC)
- 基础设施端口
MFW-P 延伸选项
- 客户需要在客户许可空间之间订购连接作为支持服务。
- 其他要求根据具体情况单独确定。
购买单位
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
注: UOM - 计量单位