華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線交換機(jī)產(chǎn)品管理部 劉碧

　　互聯(lián)網(wǎng)發(fā)展和IT技術(shù)的普及，為社會(huì)的發(fā)展帶來了巨大的推動(dòng)力。與此同時(shí)，網(wǎng)頁篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。網(wǎng)絡(luò)攻擊和犯罪致使全球個(gè)人用戶的損失超過1000億美元，中國(guó)超過2.57億網(wǎng)民成為網(wǎng)絡(luò)犯罪受害者，直接經(jīng)濟(jì)損失超過400億美元。

　　隨著手機(jī)、PAD等智能終端的普及和無線技術(shù)的滲透及發(fā)展，促進(jìn)了BYOD的興起和應(yīng)用，BYOD實(shí)現(xiàn)了企業(yè)員工使用自己熟悉的設(shè)備進(jìn)行辦公，在帶來多樣化和個(gè)性化BYOD業(yè)務(wù)體驗(yàn)的同時(shí)，也帶給敏捷園區(qū)網(wǎng)絡(luò)更多的挑戰(zhàn)，網(wǎng)絡(luò)安全管理需要敏捷安全的網(wǎng)絡(luò)設(shè)備。

　　傳統(tǒng)網(wǎng)絡(luò)安全防范手段的不足傳統(tǒng)的網(wǎng)絡(luò)攻擊主要包括：ARP攻擊、ICMP攻擊、IP欺騙、流量攻擊和網(wǎng)絡(luò)協(xié)議攻擊等。對(duì)于此類攻擊，可通過劃分安全域、限制流量和黑白名單等方式進(jìn)行網(wǎng)絡(luò)防護(hù)。隨著攻擊手段的變化多樣，攻擊工具的更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮，現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段力不從心，主要表現(xiàn)在：

　　· 安全路徑規(guī)劃困難，安全部署碎片化，配置步驟復(fù)雜；

　　· 形成安全信息孤島、帶來海量安全事件的困擾，以及無法滿足合規(guī)性要求；

　　· 網(wǎng)絡(luò)安全邊界的擴(kuò)展導(dǎo)致安全部署范圍擴(kuò)大，投資成倍增長(zhǎng)。

　　網(wǎng)絡(luò)的復(fù)雜性和攻擊手段的多樣性，對(duì)網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的單點(diǎn)防護(hù)、靜態(tài)防護(hù)等思路由于其信息無法關(guān)聯(lián)分析、配置復(fù)雜和高投入，越來越無法適應(yīng)網(wǎng)絡(luò)安全的發(fā)展。由于網(wǎng)絡(luò)和安全融合、聯(lián)動(dòng)的復(fù)雜性，業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠商或因技術(shù)問題或因成本原因，已逐漸縮減在此領(lǐng)域的投入，使得這些問題懸而未決，或解決不徹底，形成不了系統(tǒng)的解決方案。

　　華為S12700/S9700/S7700敏捷交換機(jī)

　　· 多業(yè)務(wù)虛擬化

　　在如今的客戶網(wǎng)絡(luò)中，存在著不同類型的安全設(shè)備，同種類型的安全設(shè)備也會(huì)有多臺(tái)，導(dǎo)致安全設(shè)備部署零散、碎片化。同時(shí)由于不同部門、不同用戶的不同業(yè)務(wù)需要不同的安全策略，各種安全策略交織在一起，致使安全路徑的規(guī)劃非常困難，可部署性和可維護(hù)性差。

　　華為S12700/S9700/S7700敏捷交換機(jī)提供網(wǎng)絡(luò)安全多業(yè)務(wù)虛擬化特性，將接入、匯聚和核心交換機(jī)虛擬成一臺(tái)設(shè)備，安全設(shè)備虛擬成這臺(tái)設(shè)備的拉遠(yuǎn)插卡。用戶利用敏捷交換機(jī)S12700/S9700/S7700和安全設(shè)備之間建立的隧道，即可將業(yè)務(wù)流量引入安全服務(wù)資源池，獲取安全服務(wù)。由于通過隧道連接，則不再?gòu)?qiáng)制要求安全設(shè)備部署在特定的位置，網(wǎng)絡(luò)設(shè)備可以根據(jù)需要申請(qǐng)安全服務(wù)資源，從而實(shí)現(xiàn)安全服務(wù)資源共享，按需分配，解決安全部署碎片化的問題。

　　網(wǎng)絡(luò)中不同的用戶擁有不同的權(quán)限和安全防護(hù)措施，其業(yè)務(wù)所需要的安全服務(wù)也各不相同，采用統(tǒng)一的引流策略則會(huì)引起安全資源的浪費(fèi)或防護(hù)不足。基于敏捷交換機(jī)的業(yè)務(wù)智能分流，可對(duì)不同用戶的不同業(yè)務(wù)進(jìn)行可視化業(yè)務(wù)編排，安全路徑規(guī)劃和配置步驟變得十分簡(jiǎn)單。

　　將安全設(shè)備虛擬成敏捷交換機(jī)S12700/S9700/S7700的一個(gè)槽位vslot（Virtual-Slot），每個(gè)不同的服務(wù)類型設(shè)備或板卡通過不同的隧道與敏捷交換機(jī)建立連接。敏捷交換機(jī)S12700/S9700/S7700基于用戶身份和可視化業(yè)務(wù)編排選擇所需要的安全服務(wù)，即將業(yè)務(wù)流量引入不同的隧道，從而進(jìn)入安全設(shè)備；安全設(shè)備處理完成后，通過原隧道回注給敏捷交換機(jī)，此時(shí)敏捷交換機(jī)根據(jù)業(yè)務(wù)編排策略，再次判斷是否還需要其它的安全服務(wù)，以決定是否將流量引入另一個(gè)隧道，享受不同的安全服務(wù)，從而實(shí)現(xiàn)多次分流。

　　對(duì)于不同的用戶和業(yè)務(wù)，其分流方式和安全路徑規(guī)劃各不相同，比如某用戶業(yè)務(wù)流量經(jīng)過防火墻處理后，需要再經(jīng)過IPS處理，而另一用戶只需要經(jīng)過防火墻處理，不需經(jīng)過IPS。通過業(yè)務(wù)編排可以針對(duì)不同用戶設(shè)定不同的安全策略，靈活多變。多業(yè)務(wù)虛擬化、可視化的業(yè)務(wù)編排，簡(jiǎn)化了路徑規(guī)劃，實(shí)現(xiàn)業(yè)務(wù)路徑按需調(diào)度，通過隧道為不同的部門和租戶提供不同的服務(wù)，解決了部署碎片化和配置步驟復(fù)雜的問題。

　　· 安全事件協(xié)同

　　為了保障企業(yè)網(wǎng)絡(luò)的安全暢通，企業(yè)一般在網(wǎng)絡(luò)中配置了防火墻、防病毒、入侵檢測(cè)、終端管理、漏洞掃描、行為審計(jì)等一系列安全系統(tǒng)和設(shè)備。隨著各項(xiàng)安全工作的深入開展，也暴露出了諸多的問題，如：

　　- 信息安全孤島：?jiǎn)吸c(diǎn)的安全信息無法準(zhǔn)確判斷是否為安全事件，采用靜態(tài)的安全策略會(huì)導(dǎo)致誤判或漏判；

　　- 海量安全事件的困擾：各種告警日志不停上報(bào)，人為檢索并判斷成為不可能完成的任務(wù)；

　　- 合規(guī)的強(qiáng)制性要求：如信息安全等級(jí)保護(hù)法、銀監(jiān)會(huì)指引、薩班斯法案、ISO27001等都對(duì)統(tǒng)一安全管理、安全審計(jì)有專門的條款進(jìn)行說明等。

　　敏捷交換機(jī)S12700/S9700/S7700可以作為安全信息的收集者。將網(wǎng)絡(luò)中的安全事件，如ARP攻擊、ICMP攻擊、IP欺騙、路由振蕩和協(xié)議攻擊等記錄在日志中，并將用戶的MAC地址、IP地址和接入端口等信息上報(bào)至控制中心，提供網(wǎng)絡(luò)原始安全信息。

　　敏捷交換機(jī)S12700/S9700/S7700也可以作為安全信息聯(lián)動(dòng)的執(zhí)行者。網(wǎng)絡(luò)中的敏捷交換機(jī)、安全設(shè)備和應(yīng)用系統(tǒng)檢測(cè)到一個(gè)攻擊事件，立即上報(bào)控制中心；控制中心分析安全事件的發(fā)生點(diǎn)、MAC地址和IP地址信息，并將阻斷、隔離等相應(yīng)規(guī)則下發(fā)至攻擊點(diǎn)的敏捷交換機(jī)，實(shí)現(xiàn)控制中心和網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)，防止攻擊和病毒的進(jìn)一步擴(kuò)散。

　　敏捷交換機(jī)S12700/S9700/S7700還可以作為安全策略的控制者。當(dāng)敏捷交換機(jī)作為核心或者匯聚設(shè)備時(shí)，如只在核心或匯聚層執(zhí)行安全動(dòng)作，則攻擊和病毒仍可以通過接入交換機(jī)擴(kuò)散、傳播，從而影響網(wǎng)絡(luò)安全。為了進(jìn)一步縮小攻擊或病毒的影響范圍，敏捷交換機(jī)可以將安全動(dòng)作，如阻斷、隔離下發(fā)至接入交換機(jī)和AP設(shè)備，從接入層進(jìn)行控制，就近隔離，提升網(wǎng)絡(luò)安全事件的協(xié)同能力。

　　敏捷交換機(jī)S12700/S9700/S7700作為安全信息的收集者、聯(lián)動(dòng)策略的執(zhí)行者和策略的控制者，為安全事件協(xié)同提供了中樞，保障了敏捷園區(qū)網(wǎng)絡(luò)的安全。

　　以敏捷交換機(jī)為核心的網(wǎng)絡(luò)安全融合

　　移動(dòng)辦公（BYOD）、Web2.0應(yīng)用的普及，使得網(wǎng)絡(luò)的安全邊界日漸模糊，越來越多的網(wǎng)絡(luò)安全事件來自局域網(wǎng)內(nèi)部，傳統(tǒng)網(wǎng)絡(luò)只在網(wǎng)絡(luò)出口或關(guān)鍵資產(chǎn)處部署安全設(shè)備的做法已經(jīng)無法提供完整的安全保障。將安全特性部署在每一個(gè)業(yè)務(wù)流和每一臺(tái)服務(wù)器中，已成為企業(yè)的必然選擇，此時(shí)安全設(shè)備已成為網(wǎng)絡(luò)基礎(chǔ)設(shè)備，需要大量部署在核心、匯聚甚至在接入層，提升了網(wǎng)絡(luò)投資成本，且使用獨(dú)立設(shè)備部署，組網(wǎng)也不夠方便靈活。

　　通過敏捷交換機(jī)S12700/S9700/S7700融合安全板卡的方式，可有效提升敏捷網(wǎng)絡(luò)的業(yè)務(wù)效率，降低項(xiàng)目的總投資成本。敏捷交換機(jī)為此開發(fā)了多塊安全板卡，如NGFW板卡、IPS板卡和ASG板卡等，集成了防火墻/NAT、IPSec、GRE、URL過濾及防垃圾郵件、Anti-DDoS、AV、IPS等功能。支持超過30種威脅檢測(cè)類別，如攻擊、廣告、審計(jì)、后門程序、惡意代碼欺騙及木馬、病毒和蠕蟲等；支持近50種協(xié)議檢測(cè)，如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等；支持近400家廠商及機(jī)構(gòu)的約1000種產(chǎn)品的威脅防護(hù)；支持豐富的日志管理，如日志的存儲(chǔ)、備份和導(dǎo)出，基于IP、時(shí)間段和關(guān)鍵字的日志過濾和查詢；支持豐富的報(bào)表類型，如攻擊事件趨勢(shì)、攻擊事件排行、實(shí)時(shí)流量統(tǒng)計(jì)和大類協(xié)議排行等；配合多業(yè)務(wù)虛擬化特性，可更加簡(jiǎn)單地實(shí)現(xiàn)服務(wù)資源池化、業(yè)務(wù)編排等；同時(shí)敏捷交換機(jī)融合安全板卡的解決方案投資成本相對(duì)較低，可有效降低客戶TCO。

　　敏捷交換機(jī)S12700/S9700/S7700提供的開放業(yè)務(wù)平臺(tái)OSP（Open Service Platform），其硬件是一塊基于x86架構(gòu)的板卡，通過交換網(wǎng)與交換機(jī)實(shí)現(xiàn)高速交換。可運(yùn)行Windows、SUSE和VMware操作系統(tǒng)，并與業(yè)界知名廠商合作，如與CheckPoint合作IPS，與Websense合作安全網(wǎng)關(guān)，以及與F5合作負(fù)載均衡等特性，為客戶提供更多的選擇。開放業(yè)務(wù)平臺(tái)提供USB接口、VGA接口和硬盤，客戶可根據(jù)需要在此硬件平臺(tái)上開發(fā)集成所需要的功能，可作為安全設(shè)備使用，也可以作為網(wǎng)管、認(rèn)證服務(wù)器使用，具有良好的可擴(kuò)展性。

　　華為敏捷網(wǎng)絡(luò)架構(gòu)下的敏捷交換機(jī)S12700/S9700/S7700，為應(yīng)對(duì)有線無線融合環(huán)境下的網(wǎng)絡(luò)安全沖擊，更好地適應(yīng)敏捷網(wǎng)絡(luò)的One-switch部署模式，在集成的NGFW板卡上融合了多業(yè)務(wù)虛擬化、安全事件協(xié)同方案，極大提升了敏捷交換機(jī)在敏捷園區(qū)架構(gòu)下的安全防護(hù)能力，有效滿足客戶敏捷安全、易部署的訴求。