華為企業(yè)網絡產品線交換機產品管理部 劉碧

　　互聯(lián)網發(fā)展和IT技術的普及，為社會的發(fā)展帶來了巨大的推動力。與此同時，網頁篡改、計算機病毒、系統(tǒng)非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發(fā)生。網絡攻擊和犯罪致使全球個人用戶的損失超過1000億美元，中國超過2.57億網民成為網絡犯罪受害者，直接經濟損失超過400億美元。

　　隨著手機、PAD等智能終端的普及和無線技術的滲透及發(fā)展，促進了BYOD的興起和應用，BYOD實現(xiàn)了企業(yè)員工使用自己熟悉的設備進行辦公，在帶來多樣化和個性化BYOD業(yè)務體驗的同時，也帶給敏捷園區(qū)網絡更多的挑戰(zhàn)，網絡安全管理需要敏捷安全的網絡設備。

　　傳統(tǒng)網絡安全防范手段的不足傳統(tǒng)的網絡攻擊主要包括：ARP攻擊、ICMP攻擊、IP欺騙、流量攻擊和網絡協(xié)議攻擊等。對于此類攻擊，可通過劃分安全域、限制流量和黑白名單等方式進行網絡防護。隨著攻擊手段的變化多樣，攻擊工具的更容易獲取，以及基于僵尸網絡DDoS攻擊的出現(xiàn)，使得基于網絡層的攻擊層出不窮，現(xiàn)有的網絡安全防護手段力不從心，主要表現(xiàn)在：

　　· 安全路徑規(guī)劃困難，安全部署碎片化，配置步驟復雜；

　　· 形成安全信息孤島、帶來海量安全事件的困擾，以及無法滿足合規(guī)性要求；

　　· 網絡安全邊界的擴展導致安全部署范圍擴大，投資成倍增長。

　　網絡的復雜性和攻擊手段的多樣性，對網絡安全提出了更高的要求。傳統(tǒng)的單點防護、靜態(tài)防護等思路由于其信息無法關聯(lián)分析、配置復雜和高投入，越來越無法適應網絡安全的發(fā)展。由于網絡和安全融合、聯(lián)動的復雜性，業(yè)界主流的網絡設備廠商或因技術問題或因成本原因，已逐漸縮減在此領域的投入，使得這些問題懸而未決，或解決不徹底，形成不了系統(tǒng)的解決方案。

　　華為S12700/S9700/S7700敏捷交換機

　　· 多業(yè)務虛擬化

　　在如今的客戶網絡中，存在著不同類型的安全設備，同種類型的安全設備也會有多臺，導致安全設備部署零散、碎片化。同時由于不同部門、不同用戶的不同業(yè)務需要不同的安全策略，各種安全策略交織在一起，致使安全路徑的規(guī)劃非常困難，可部署性和可維護性差。

　　華為S12700/S9700/S7700敏捷交換機提供網絡安全多業(yè)務虛擬化特性，將接入、匯聚和核心交換機虛擬成一臺設備，安全設備虛擬成這臺設備的拉遠插卡。用戶利用敏捷交換機S12700/S9700/S7700和安全設備之間建立的隧道，即可將業(yè)務流量引入安全服務資源池，獲取安全服務。由于通過隧道連接，則不再強制要求安全設備部署在特定的位置，網絡設備可以根據需要申請安全服務資源，從而實現(xiàn)安全服務資源共享，按需分配，解決安全部署碎片化的問題。

　　網絡中不同的用戶擁有不同的權限和安全防護措施，其業(yè)務所需要的安全服務也各不相同，采用統(tǒng)一的引流策略則會引起安全資源的浪費或防護不足�；�于敏捷交換機的業(yè)務智能分流，可對不同用戶的不同業(yè)務進行可視化業(yè)務編排，安全路徑規(guī)劃和配置步驟變得十分簡單。

　　將安全設備虛擬成敏捷交換機S12700/S9700/S7700的一個槽位vslot（Virtual-Slot），每個不同的服務類型設備或板卡通過不同的隧道與敏捷交換機建立連接。敏捷交換機S12700/S9700/S7700基于用戶身份和可視化業(yè)務編排選擇所需要的安全服務，即將業(yè)務流量引入不同的隧道，從而進入安全設備；安全設備處理完成后，通過原隧道回注給敏捷交換機，此時敏捷交換機根據業(yè)務編排策略，再次判斷是否還需要其它的安全服務，以決定是否將流量引入另一個隧道，享受不同的安全服務，從而實現(xiàn)多次分流。

　　對于不同的用戶和業(yè)務，其分流方式和安全路徑規(guī)劃各不相同，比如某用戶業(yè)務流量經過防火墻處理后，需要再經過IPS處理，而另一用戶只需要經過防火墻處理，不需經過IPS。通過業(yè)務編排可以針對不同用戶設定不同的安全策略，靈活多變。多業(yè)務虛擬化、可視化的業(yè)務編排，簡化了路徑規(guī)劃，實現(xiàn)業(yè)務路徑按需調度，通過隧道為不同的部門和租戶提供不同的服務，解決了部署碎片化和配置步驟復雜的問題。

　　· 安全事件協(xié)同

　　為了保障企業(yè)網絡的安全暢通，企業(yè)一般在網絡中配置了防火墻、防病毒、入侵檢測、終端管理、漏洞掃描、行為審計等一系列安全系統(tǒng)和設備。隨著各項安全工作的深入開展，也暴露出了諸多的問題，如：

　　- 信息安全孤島：單點的安全信息無法準確判斷是否為安全事件，采用靜態(tài)的安全策略會導致誤判或漏判；

　　- 海量安全事件的困擾：各種告警日志不停上報，人為檢索并判斷成為不可能完成的任務；

　　- 合規(guī)的強制性要求：如信息安全等級保護法、銀監(jiān)會指引、薩班斯法案、ISO27001等都對統(tǒng)一安全管理、安全審計有專門的條款進行說明等。

　　敏捷交換機S12700/S9700/S7700可以作為安全信息的收集者。將網絡中的安全事件，如ARP攻擊、ICMP攻擊、IP欺騙、路由振蕩和協(xié)議攻擊等記錄在日志中，并將用戶的MAC地址、IP地址和接入端口等信息上報至控制中心，提供網絡原始安全信息。

　　敏捷交換機S12700/S9700/S7700也可以作為安全信息聯(lián)動的執(zhí)行者。網絡中的敏捷交換機、安全設備和應用系統(tǒng)檢測到一個攻擊事件，立即上報控制中心；控制中心分析安全事件的發(fā)生點、MAC地址和IP地址信息，并將阻斷、隔離等相應規(guī)則下發(fā)至攻擊點的敏捷交換機，實現(xiàn)控制中心和網絡設備的聯(lián)動，防止攻擊和病毒的進一步擴散。

　　敏捷交換機S12700/S9700/S7700還可以作為安全策略的控制者。當敏捷交換機作為核心或者匯聚設備時，如只在核心或匯聚層執(zhí)行安全動作，則攻擊和病毒仍可以通過接入交換機擴散、傳播，從而影響網絡安全。為了進一步縮小攻擊或病毒的影響范圍，敏捷交換機可以將安全動作，如阻斷、隔離下發(fā)至接入交換機和AP設備，從接入層進行控制，就近隔離，提升網絡安全事件的協(xié)同能力。

　　敏捷交換機S12700/S9700/S7700作為安全信息的收集者、聯(lián)動策略的執(zhí)行者和策略的控制者，為安全事件協(xié)同提供了中樞，保障了敏捷園區(qū)網絡的安全。

　　以敏捷交換機為核心的網絡安全融合

　　移動辦公（BYOD）、Web2.0應用的普及，使得網絡的安全邊界日漸模糊，越來越多的網絡安全事件來自局域網內部，傳統(tǒng)網絡只在網絡出口或關鍵資產處部署安全設備的做法已經無法提供完整的安全保障。將安全特性部署在每一個業(yè)務流和每一臺服務器中，已成為企業(yè)的必然選擇，此時安全設備已成為網絡基礎設備，需要大量部署在核心、匯聚甚至在接入層，提升了網絡投資成本，且使用獨立設備部署，組網也不夠方便靈活。

　　通過敏捷交換機S12700/S9700/S7700融合安全板卡的方式，可有效提升敏捷網絡的業(yè)務效率，降低項目的總投資成本。敏捷交換機為此開發(fā)了多塊安全板卡，如NGFW板卡、IPS板卡和ASG板卡等，集成了防火墻/NAT、IPSec、GRE、URL過濾及防垃圾郵件、Anti-DDoS、AV、IPS等功能。支持超過30種威脅檢測類別，如攻擊、廣告、審計、后門程序、惡意代碼欺騙及木馬、病毒和蠕蟲等；支持近50種協(xié)議檢測，如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等；支持近400家廠商及機構的約1000種產品的威脅防護；支持豐富的日志管理，如日志的存儲、備份和導出，基于IP、時間段和關鍵字的日志過濾和查詢；支持豐富的報表類型，如攻擊事件趨勢、攻擊事件排行、實時流量統(tǒng)計和大類協(xié)議排行等；配合多業(yè)務虛擬化特性，可更加簡單地實現(xiàn)服務資源池化、業(yè)務編排等；同時敏捷交換機融合安全板卡的解決方案投資成本相對較低，可有效降低客戶TCO。

　　敏捷交換機S12700/S9700/S7700提供的開放業(yè)務平臺OSP（Open Service Platform），其硬件是一塊基于x86架構的板卡，通過交換網與交換機實現(xiàn)高速交換�？蛇\行Windows、SUSE和VMware操作系統(tǒng)，并與業(yè)界知名廠商合作，如與CheckPoint合作IPS，與Websense合作安全網關，以及與F5合作負載均衡等特性，為客戶提供更多的選擇。開放業(yè)務平臺提供USB接口、VGA接口和硬盤，客戶可根據需要在此硬件平臺上開發(fā)集成所需要的功能，可作為安全設備使用，也可以作為網管、認證服務器使用，具有良好的可擴展性。

　　華為敏捷網絡架構下的敏捷交換機S12700/S9700/S7700，為應對有線無線融合環(huán)境下的網絡安全沖擊，更好地適應敏捷網絡的One-switch部署模式，在集成的NGFW板卡上融合了多業(yè)務虛擬化、安全事件協(xié)同方案，極大提升了敏捷交換機在敏捷園區(qū)架構下的安全防護能力，有效滿足客戶敏捷安全、易部署的訴求。