華為企業(yè)網(wǎng)絡(luò )產(chǎn)品線(xiàn)交換機產(chǎn)品管理部 劉碧
互聯(lián)網(wǎng)發(fā)展和IT技術(shù)的普及,為社會(huì )的發(fā)展帶來(lái)了巨大的推動(dòng)力。與此同時(shí),網(wǎng)頁(yè)篡改、計算機病毒、系統非法入侵、數據泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。網(wǎng)絡(luò )攻擊和犯罪致使全球個(gè)人用戶(hù)的損失超過(guò)1000億美元,中國超過(guò)2.57億網(wǎng)民成為網(wǎng)絡(luò )犯罪受害者,直接經(jīng)濟損失超過(guò)400億美元。
隨著(zhù)手機、PAD等智能終端的普及和無(wú)線(xiàn)技術(shù)的滲透及發(fā)展,促進(jìn)了BYOD的興起和應用,BYOD實(shí)現了企業(yè)員工使用自己熟悉的設備進(jìn)行辦公,在帶來(lái)多樣化和個(gè)性化BYOD業(yè)務(wù)體驗的同時(shí),也帶給敏捷園區網(wǎng)絡(luò )更多的挑戰,網(wǎng)絡(luò )安全管理需要敏捷安全的網(wǎng)絡(luò )設備。
傳統網(wǎng)絡(luò )安全防范手段的不足傳統的網(wǎng)絡(luò )攻擊主要包括:ARP攻擊、ICMP攻擊、IP欺騙、流量攻擊和網(wǎng)絡(luò )協(xié)議攻擊等。對于此類(lèi)攻擊,可通過(guò)劃分安全域、限制流量和黑白名單等方式進(jìn)行網(wǎng)絡(luò )防護。隨著(zhù)攻擊手段的變化多樣,攻擊工具的更容易獲取,以及基于僵尸網(wǎng)絡(luò )DDoS攻擊的出現,使得基于網(wǎng)絡(luò )層的攻擊層出不窮,現有的網(wǎng)絡(luò )安全防護手段力不從心,主要表現在:
· 安全路徑規劃困難,安全部署碎片化,配置步驟復雜;
· 形成安全信息孤島、帶來(lái)海量安全事件的困擾,以及無(wú)法滿(mǎn)足合規性要求;
· 網(wǎng)絡(luò )安全邊界的擴展導致安全部署范圍擴大,投資成倍增長(cháng)。
網(wǎng)絡(luò )的復雜性和攻擊手段的多樣性,對網(wǎng)絡(luò )安全提出了更高的要求。傳統的單點(diǎn)防護、靜態(tài)防護等思路由于其信息無(wú)法關(guān)聯(lián)分析、配置復雜和高投入,越來(lái)越無(wú)法適應網(wǎng)絡(luò )安全的發(fā)展。由于網(wǎng)絡(luò )和安全融合、聯(lián)動(dòng)的復雜性,業(yè)界主流的網(wǎng)絡(luò )設備廠(chǎng)商或因技術(shù)問(wèn)題或因成本原因,已逐漸縮減在此領(lǐng)域的投入,使得這些問(wèn)題懸而未決,或解決不徹底,形成不了系統的解決方案。
華為S12700/S9700/S7700敏捷交換機
· 多業(yè)務(wù)虛擬化
在如今的客戶(hù)網(wǎng)絡(luò )中,存在著(zhù)不同類(lèi)型的安全設備,同種類(lèi)型的安全設備也會(huì )有多臺,導致安全設備部署零散、碎片化。同時(shí)由于不同部門(mén)、不同用戶(hù)的不同業(yè)務(wù)需要不同的安全策略,各種安全策略交織在一起,致使安全路徑的規劃非常困難,可部署性和可維護性差。
華為S12700/S9700/S7700敏捷交換機提供網(wǎng)絡(luò )安全多業(yè)務(wù)虛擬化特性,將接入、匯聚和核心交換機虛擬成一臺設備,安全設備虛擬成這臺設備的拉遠插卡。用戶(hù)利用敏捷交換機S12700/S9700/S7700和安全設備之間建立的隧道,即可將業(yè)務(wù)流量引入安全服務(wù)資源池,獲取安全服務(wù)。由于通過(guò)隧道連接,則不再強制要求安全設備部署在特定的位置,網(wǎng)絡(luò )設備可以根據需要申請安全服務(wù)資源,從而實(shí)現安全服務(wù)資源共享,按需分配,解決安全部署碎片化的問(wèn)題。
網(wǎng)絡(luò )中不同的用戶(hù)擁有不同的權限和安全防護措施,其業(yè)務(wù)所需要的安全服務(wù)也各不相同,采用統一的引流策略則會(huì )引起安全資源的浪費或防護不足。基于敏捷交換機的業(yè)務(wù)智能分流,可對不同用戶(hù)的不同業(yè)務(wù)進(jìn)行可視化業(yè)務(wù)編排,安全路徑規劃和配置步驟變得十分簡(jiǎn)單。
將安全設備虛擬成敏捷交換機S12700/S9700/S7700的一個(gè)槽位vslot(Virtual-Slot),每個(gè)不同的服務(wù)類(lèi)型設備或板卡通過(guò)不同的隧道與敏捷交換機建立連接。敏捷交換機S12700/S9700/S7700基于用戶(hù)身份和可視化業(yè)務(wù)編排選擇所需要的安全服務(wù),即將業(yè)務(wù)流量引入不同的隧道,從而進(jìn)入安全設備;安全設備處理完成后,通過(guò)原隧道回注給敏捷交換機,此時(shí)敏捷交換機根據業(yè)務(wù)編排策略,再次判斷是否還需要其它的安全服務(wù),以決定是否將流量引入另一個(gè)隧道,享受不同的安全服務(wù),從而實(shí)現多次分流。
對于不同的用戶(hù)和業(yè)務(wù),其分流方式和安全路徑規劃各不相同,比如某用戶(hù)業(yè)務(wù)流量經(jīng)過(guò)防火墻處理后,需要再經(jīng)過(guò)IPS處理,而另一用戶(hù)只需要經(jīng)過(guò)防火墻處理,不需經(jīng)過(guò)IPS。通過(guò)業(yè)務(wù)編排可以針對不同用戶(hù)設定不同的安全策略,靈活多變。多業(yè)務(wù)虛擬化、可視化的業(yè)務(wù)編排,簡(jiǎn)化了路徑規劃,實(shí)現業(yè)務(wù)路徑按需調度,通過(guò)隧道為不同的部門(mén)和租戶(hù)提供不同的服務(wù),解決了部署碎片化和配置步驟復雜的問(wèn)題。
· 安全事件協(xié)同
為了保障企業(yè)網(wǎng)絡(luò )的安全暢通,企業(yè)一般在網(wǎng)絡(luò )中配置了防火墻、防病毒、入侵檢測、終端管理、漏洞掃描、行為審計等一系列安全系統和設備。隨著(zhù)各項安全工作的深入開(kāi)展,也暴露出了諸多的問(wèn)題,如:
- 信息安全孤島:?jiǎn)吸c(diǎn)的安全信息無(wú)法準確判斷是否為安全事件,采用靜態(tài)的安全策略會(huì )導致誤判或漏判;
- 海量安全事件的困擾:各種告警日志不停上報,人為檢索并判斷成為不可能完成的任務(wù);
- 合規的強制性要求:如信息安全等級保護法、銀監會(huì )指引、薩班斯法案、ISO27001等都對統一安全管理、安全審計有專(zhuān)門(mén)的條款進(jìn)行說(shuō)明等。
敏捷交換機S12700/S9700/S7700可以作為安全信息的收集者。將網(wǎng)絡(luò )中的安全事件,如ARP攻擊、ICMP攻擊、IP欺騙、路由振蕩和協(xié)議攻擊等記錄在日志中,并將用戶(hù)的MAC地址、IP地址和接入端口等信息上報至控制中心,提供網(wǎng)絡(luò )原始安全信息。
敏捷交換機S12700/S9700/S7700也可以作為安全信息聯(lián)動(dòng)的執行者。網(wǎng)絡(luò )中的敏捷交換機、安全設備和應用系統檢測到一個(gè)攻擊事件,立即上報控制中心;控制中心分析安全事件的發(fā)生點(diǎn)、MAC地址和IP地址信息,并將阻斷、隔離等相應規則下發(fā)至攻擊點(diǎn)的敏捷交換機,實(shí)現控制中心和網(wǎng)絡(luò )設備的聯(lián)動(dòng),防止攻擊和病毒的進(jìn)一步擴散。
敏捷交換機S12700/S9700/S7700還可以作為安全策略的控制者。當敏捷交換機作為核心或者匯聚設備時(shí),如只在核心或匯聚層執行安全動(dòng)作,則攻擊和病毒仍可以通過(guò)接入交換機擴散、傳播,從而影響網(wǎng)絡(luò )安全。為了進(jìn)一步縮小攻擊或病毒的影響范圍,敏捷交換機可以將安全動(dòng)作,如阻斷、隔離下發(fā)至接入交換機和AP設備,從接入層進(jìn)行控制,就近隔離,提升網(wǎng)絡(luò )安全事件的協(xié)同能力。
敏捷交換機S12700/S9700/S7700作為安全信息的收集者、聯(lián)動(dòng)策略的執行者和策略的控制者,為安全事件協(xié)同提供了中樞,保障了敏捷園區網(wǎng)絡(luò )的安全。
以敏捷交換機為核心的網(wǎng)絡(luò )安全融合
移動(dòng)辦公(BYOD)、Web2.0應用的普及,使得網(wǎng)絡(luò )的安全邊界日漸模糊,越來(lái)越多的網(wǎng)絡(luò )安全事件來(lái)自局域網(wǎng)內部,傳統網(wǎng)絡(luò )只在網(wǎng)絡(luò )出口或關(guān)鍵資產(chǎn)處部署安全設備的做法已經(jīng)無(wú)法提供完整的安全保障。將安全特性部署在每一個(gè)業(yè)務(wù)流和每一臺服務(wù)器中,已成為企業(yè)的必然選擇,此時(shí)安全設備已成為網(wǎng)絡(luò )基礎設備,需要大量部署在核心、匯聚甚至在接入層,提升了網(wǎng)絡(luò )投資成本,且使用獨立設備部署,組網(wǎng)也不夠方便靈活。
通過(guò)敏捷交換機S12700/S9700/S7700融合安全板卡的方式,可有效提升敏捷網(wǎng)絡(luò )的業(yè)務(wù)效率,降低項目的總投資成本。敏捷交換機為此開(kāi)發(fā)了多塊安全板卡,如NGFW板卡、IPS板卡和ASG板卡等,集成了防火墻/NAT、IPSec、GRE、URL過(guò)濾及防垃圾郵件、Anti-DDoS、AV、IPS等功能。支持超過(guò)30種威脅檢測類(lèi)別,如攻擊、廣告、審計、后門(mén)程序、惡意代碼欺騙及木馬、病毒和蠕蟲(chóng)等;支持近50種協(xié)議檢測,如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等;支持近400家廠(chǎng)商及機構的約1000種產(chǎn)品的威脅防護;支持豐富的日志管理,如日志的存儲、備份和導出,基于IP、時(shí)間段和關(guān)鍵字的日志過(guò)濾和查詢(xún);支持豐富的報表類(lèi)型,如攻擊事件趨勢、攻擊事件排行、實(shí)時(shí)流量統計和大類(lèi)協(xié)議排行等;配合多業(yè)務(wù)虛擬化特性,可更加簡(jiǎn)單地實(shí)現服務(wù)資源池化、業(yè)務(wù)編排等;同時(shí)敏捷交換機融合安全板卡的解決方案投資成本相對較低,可有效降低客戶(hù)TCO。
敏捷交換機S12700/S9700/S7700提供的開(kāi)放業(yè)務(wù)平臺OSP(Open Service Platform),其硬件是一塊基于x86架構的板卡,通過(guò)交換網(wǎng)與交換機實(shí)現高速交換。可運行Windows、SUSE和VMware操作系統,并與業(yè)界知名廠(chǎng)商合作,如與CheckPoint合作IPS,與Websense合作安全網(wǎng)關(guān),以及與F5合作負載均衡等特性,為客戶(hù)提供更多的選擇。開(kāi)放業(yè)務(wù)平臺提供USB接口、VGA接口和硬盤(pán),客戶(hù)可根據需要在此硬件平臺上開(kāi)發(fā)集成所需要的功能,可作為安全設備使用,也可以作為網(wǎng)管、認證服務(wù)器使用,具有良好的可擴展性。
華為敏捷網(wǎng)絡(luò )架構下的敏捷交換機S12700/S9700/S7700,為應對有線(xiàn)無(wú)線(xiàn)融合環(huán)境下的網(wǎng)絡(luò )安全沖擊,更好地適應敏捷網(wǎng)絡(luò )的One-switch部署模式,在集成的NGFW板卡上融合了多業(yè)務(wù)虛擬化、安全事件協(xié)同方案,極大提升了敏捷交換機在敏捷園區架構下的安全防護能力,有效滿(mǎn)足客戶(hù)敏捷安全、易部署的訴求。
