華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線交換機產(chǎn)品管理部 劉碧

　　互聯(lián)網(wǎng)發(fā)展和IT技術(shù)的普及，為社會的發(fā)展帶來了巨大的推動力。與此同時，網(wǎng)頁篡改、計算機病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。網(wǎng)絡(luò)攻擊和犯罪致使全球個人用戶的損失超過1000億美元，中國超過2.57億網(wǎng)民成為網(wǎng)絡(luò)犯罪受害者，直接經(jīng)濟損失超過400億美元。

　　隨著手機、PAD等智能終端的普及和無線技術(shù)的滲透及發(fā)展，促進了BYOD的興起和應(yīng)用，BYOD實現(xiàn)了企業(yè)員工使用自己熟悉的設(shè)備進行辦公，在帶來多樣化和個性化BYOD業(yè)務(wù)體驗的同時，也帶給敏捷園區(qū)網(wǎng)絡(luò)更多的挑戰(zhàn)，網(wǎng)絡(luò)安全管理需要敏捷安全的網(wǎng)絡(luò)設(shè)備。

　　傳統(tǒng)網(wǎng)絡(luò)安全防范手段的不足傳統(tǒng)的網(wǎng)絡(luò)攻擊主要包括：ARP攻擊、ICMP攻擊、IP欺騙、流量攻擊和網(wǎng)絡(luò)協(xié)議攻擊等。對于此類攻擊，可通過劃分安全域、限制流量和黑白名單等方式進行網(wǎng)絡(luò)防護。隨著攻擊手段的變化多樣，攻擊工具的更容易獲取，以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn)，使得基于網(wǎng)絡(luò)層的攻擊層出不窮，現(xiàn)有的網(wǎng)絡(luò)安全防護手段力不從心，主要表現(xiàn)在：

　　· 安全路徑規(guī)劃困難，安全部署碎片化，配置步驟復(fù)雜；

　　· 形成安全信息孤島、帶來海量安全事件的困擾，以及無法滿足合規(guī)性要求；

　　· 網(wǎng)絡(luò)安全邊界的擴展導(dǎo)致安全部署范圍擴大，投資成倍增長。

　　網(wǎng)絡(luò)的復(fù)雜性和攻擊手段的多樣性，對網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的單點防護、靜態(tài)防護等思路由于其信息無法關(guān)聯(lián)分析、配置復(fù)雜和高投入，越來越無法適應(yīng)網(wǎng)絡(luò)安全的發(fā)展。由于網(wǎng)絡(luò)和安全融合、聯(lián)動的復(fù)雜性，業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠商或因技術(shù)問題或因成本原因，已逐漸縮減在此領(lǐng)域的投入，使得這些問題懸而未決，或解決不徹底，形成不了系統(tǒng)的解決方案。

　　華為S12700/S9700/S7700敏捷交換機

　　· 多業(yè)務(wù)虛擬化

　　在如今的客戶網(wǎng)絡(luò)中，存在著不同類型的安全設(shè)備，同種類型的安全設(shè)備也會有多臺，導(dǎo)致安全設(shè)備部署零散、碎片化。同時由于不同部門、不同用戶的不同業(yè)務(wù)需要不同的安全策略，各種安全策略交織在一起，致使安全路徑的規(guī)劃非常困難，可部署性和可維護性差。

　　華為S12700/S9700/S7700敏捷交換機提供網(wǎng)絡(luò)安全多業(yè)務(wù)虛擬化特性，將接入、匯聚和核心交換機虛擬成一臺設(shè)備，安全設(shè)備虛擬成這臺設(shè)備的拉遠插卡。用戶利用敏捷交換機S12700/S9700/S7700和安全設(shè)備之間建立的隧道，即可將業(yè)務(wù)流量引入安全服務(wù)資源池，獲取安全服務(wù)。由于通過隧道連接，則不再強制要求安全設(shè)備部署在特定的位置，網(wǎng)絡(luò)設(shè)備可以根據(jù)需要申請安全服務(wù)資源，從而實現(xiàn)安全服務(wù)資源共享，按需分配，解決安全部署碎片化的問題。

　　網(wǎng)絡(luò)中不同的用戶擁有不同的權(quán)限和安全防護措施，其業(yè)務(wù)所需要的安全服務(wù)也各不相同，采用統(tǒng)一的引流策略則會引起安全資源的浪費或防護不足�；�于敏捷交換機的業(yè)務(wù)智能分流，可對不同用戶的不同業(yè)務(wù)進行可視化業(yè)務(wù)編排，安全路徑規(guī)劃和配置步驟變得十分簡單。

　　將安全設(shè)備虛擬成敏捷交換機S12700/S9700/S7700的一個槽位vslot（Virtual-Slot），每個不同的服務(wù)類型設(shè)備或板卡通過不同的隧道與敏捷交換機建立連接。敏捷交換機S12700/S9700/S7700基于用戶身份和可視化業(yè)務(wù)編排選擇所需要的安全服務(wù)，即將業(yè)務(wù)流量引入不同的隧道，從而進入安全設(shè)備；安全設(shè)備處理完成后，通過原隧道回注給敏捷交換機，此時敏捷交換機根據(jù)業(yè)務(wù)編排策略，再次判斷是否還需要其它的安全服務(wù)，以決定是否將流量引入另一個隧道，享受不同的安全服務(wù)，從而實現(xiàn)多次分流。

　　對于不同的用戶和業(yè)務(wù)，其分流方式和安全路徑規(guī)劃各不相同，比如某用戶業(yè)務(wù)流量經(jīng)過防火墻處理后，需要再經(jīng)過IPS處理，而另一用戶只需要經(jīng)過防火墻處理，不需經(jīng)過IPS。通過業(yè)務(wù)編排可以針對不同用戶設(shè)定不同的安全策略，靈活多變。多業(yè)務(wù)虛擬化、可視化的業(yè)務(wù)編排，簡化了路徑規(guī)劃，實現(xiàn)業(yè)務(wù)路徑按需調(diào)度，通過隧道為不同的部門和租戶提供不同的服務(wù)，解決了部署碎片化和配置步驟復(fù)雜的問題。

　　· 安全事件協(xié)同

　　為了保障企業(yè)網(wǎng)絡(luò)的安全暢通，企業(yè)一般在網(wǎng)絡(luò)中配置了防火墻、防病毒、入侵檢測、終端管理、漏洞掃描、行為審計等一系列安全系統(tǒng)和設(shè)備。隨著各項安全工作的深入開展，也暴露出了諸多的問題，如：

　　- 信息安全孤島：單點的安全信息無法準確判斷是否為安全事件，采用靜態(tài)的安全策略會導(dǎo)致誤判或漏判；

　　- 海量安全事件的困擾：各種告警日志不停上報，人為檢索并判斷成為不可能完成的任務(wù)；

　　- 合規(guī)的強制性要求：如信息安全等級保護法、銀監(jiān)會指引、薩班斯法案、ISO27001等都對統(tǒng)一安全管理、安全審計有專門的條款進行說明等。

　　敏捷交換機S12700/S9700/S7700可以作為安全信息的收集者。將網(wǎng)絡(luò)中的安全事件，如ARP攻擊、ICMP攻擊、IP欺騙、路由振蕩和協(xié)議攻擊等記錄在日志中，并將用戶的MAC地址、IP地址和接入端口等信息上報至控制中心，提供網(wǎng)絡(luò)原始安全信息。

　　敏捷交換機S12700/S9700/S7700也可以作為安全信息聯(lián)動的執(zhí)行者。網(wǎng)絡(luò)中的敏捷交換機、安全設(shè)備和應(yīng)用系統(tǒng)檢測到一個攻擊事件，立即上報控制中心；控制中心分析安全事件的發(fā)生點、MAC地址和IP地址信息，并將阻斷、隔離等相應(yīng)規(guī)則下發(fā)至攻擊點的敏捷交換機，實現(xiàn)控制中心和網(wǎng)絡(luò)設(shè)備的聯(lián)動，防止攻擊和病毒的進一步擴散。

　　敏捷交換機S12700/S9700/S7700還可以作為安全策略的控制者。當敏捷交換機作為核心或者匯聚設(shè)備時，如只在核心或匯聚層執(zhí)行安全動作，則攻擊和病毒仍可以通過接入交換機擴散、傳播，從而影響網(wǎng)絡(luò)安全。為了進一步縮小攻擊或病毒的影響范圍，敏捷交換機可以將安全動作，如阻斷、隔離下發(fā)至接入交換機和AP設(shè)備，從接入層進行控制，就近隔離，提升網(wǎng)絡(luò)安全事件的協(xié)同能力。

　　敏捷交換機S12700/S9700/S7700作為安全信息的收集者、聯(lián)動策略的執(zhí)行者和策略的控制者，為安全事件協(xié)同提供了中樞，保障了敏捷園區(qū)網(wǎng)絡(luò)的安全。

　　以敏捷交換機為核心的網(wǎng)絡(luò)安全融合

　　移動辦公（BYOD）、Web2.0應(yīng)用的普及，使得網(wǎng)絡(luò)的安全邊界日漸模糊，越來越多的網(wǎng)絡(luò)安全事件來自局域網(wǎng)內(nèi)部，傳統(tǒng)網(wǎng)絡(luò)只在網(wǎng)絡(luò)出口或關(guān)鍵資產(chǎn)處部署安全設(shè)備的做法已經(jīng)無法提供完整的安全保障。將安全特性部署在每一個業(yè)務(wù)流和每一臺服務(wù)器中，已成為企業(yè)的必然選擇，此時安全設(shè)備已成為網(wǎng)絡(luò)基礎(chǔ)設(shè)備，需要大量部署在核心、匯聚甚至在接入層，提升了網(wǎng)絡(luò)投資成本，且使用獨立設(shè)備部署，組網(wǎng)也不夠方便靈活。

　　通過敏捷交換機S12700/S9700/S7700融合安全板卡的方式，可有效提升敏捷網(wǎng)絡(luò)的業(yè)務(wù)效率，降低項目的總投資成本。敏捷交換機為此開發(fā)了多塊安全板卡，如NGFW板卡、IPS板卡和ASG板卡等，集成了防火墻/NAT、IPSec、GRE、URL過濾及防垃圾郵件、Anti-DDoS、AV、IPS等功能。支持超過30種威脅檢測類別，如攻擊、廣告、審計、后門程序、惡意代碼欺騙及木馬、病毒和蠕蟲等；支持近50種協(xié)議檢測，如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等；支持近400家廠商及機構(gòu)的約1000種產(chǎn)品的威脅防護；支持豐富的日志管理，如日志的存儲、備份和導(dǎo)出，基于IP、時間段和關(guān)鍵字的日志過濾和查詢；支持豐富的報表類型，如攻擊事件趨勢、攻擊事件排行、實時流量統(tǒng)計和大類協(xié)議排行等；配合多業(yè)務(wù)虛擬化特性，可更加簡單地實現(xiàn)服務(wù)資源池化、業(yè)務(wù)編排等；同時敏捷交換機融合安全板卡的解決方案投資成本相對較低，可有效降低客戶TCO。

　　敏捷交換機S12700/S9700/S7700提供的開放業(yè)務(wù)平臺OSP（Open Service Platform），其硬件是一塊基于x86架構(gòu)的板卡，通過交換網(wǎng)與交換機實現(xiàn)高速交換�？蛇\行Windows、SUSE和VMware操作系統(tǒng)，并與業(yè)界知名廠商合作，如與CheckPoint合作IPS，與Websense合作安全網(wǎng)關(guān)，以及與F5合作負載均衡等特性，為客戶提供更多的選擇。開放業(yè)務(wù)平臺提供USB接口、VGA接口和硬盤，客戶可根據(jù)需要在此硬件平臺上開發(fā)集成所需要的功能，可作為安全設(shè)備使用，也可以作為網(wǎng)管、認證服務(wù)器使用，具有良好的可擴展性。

　　華為敏捷網(wǎng)絡(luò)架構(gòu)下的敏捷交換機S12700/S9700/S7700，為應(yīng)對有線無線融合環(huán)境下的網(wǎng)絡(luò)安全沖擊，更好地適應(yīng)敏捷網(wǎng)絡(luò)的One-switch部署模式，在集成的NGFW板卡上融合了多業(yè)務(wù)虛擬化、安全事件協(xié)同方案，極大提升了敏捷交換機在敏捷園區(qū)架構(gòu)下的安全防護能力，有效滿足客戶敏捷安全、易部署的訴求。