敏捷网络的安全卫士华为敏捷交换机

发布时间：2020-07-21 18:09:16 阅读：次来源：袖扣厂家

华为企业网络产品线交换机产品管理部刘碧

互联网发展和IT技术的普及，为社会的发展带来了巨大的推动力。与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。网络攻击和犯罪致使全球个人用户的损失超过1000亿美元，中国超过2.57亿网民成为网络犯罪受害者，直接经济损失超过400亿美元。

随着手机、PAD等智能终端的普及和无线技术的渗透及发展，促进了BYOD的兴起和应用，BYOD实现了企业员工使用自己熟悉的设备进行办公，在带来多样化和个性化BYOD业务体验的同时，也带给敏捷园区网络更多的挑战，网络安全管理需要敏捷安全的网络设备。

传统网络安全防范手段的不足传统的网络攻击主要包括：ARP攻击、ICMP攻击、IP欺骗、流量攻击和网络协议攻击等。对于此类攻击，可通过划分安全域、限制流量和黑白名单等方式进行网络防护。随着攻击手段的变化多样，攻击工具的更容易获取，以及基于僵尸网络DDoS攻击的出现，使得基于网络层的攻击层出不穷，现有的网络安全防护手段力不从心，主要表现在：

· 安全路径规划困难，安全部署碎片化，配置步骤复杂；

· 形成安全信息孤岛、带来海量安全事件的困扰，以及无法满足合规性要求；

· 网络安全边界的扩展导致安全部署范围扩大，投资成倍增长。

网络的复杂性和攻击手段的多样性，对网络安全提出了更高的要求。传统的单点防护、静态防护等思路由于其信息无法关联分析、配置复杂和高投入，越来越无法适应网络安全的发展。由于网络和安全融合、联动的复杂性，业界主流的网络设备厂商或因技术问题或因成本原因，已逐渐缩减在此领域的投入，使得这些问题悬而未决，或解决不彻底，形成不了系统的解决方案。

华为S12700/S9700/S7700敏捷交换机· 多业务虚拟化在如今的客户网络中，存在着不同类型的安全设备，同种类型的安全设备也会有多台，导致安全设备部署零散、碎片化。同时由于不同部门、不同用户的不同业务需要不同的安全策略，各种安全策略交织在一起，致使安全路径的规划非常困难，可部署性和可维护性差。

华为S12700/S9700/S7700敏捷交换机提供网络安全多业务虚拟化特性，将接入、汇聚和核心交换机虚拟成一台设备，安全设备虚拟成这台设备的拉远插卡。用户利用敏捷交换机S12700/S9700/S7700和安全设备之间建立的隧道，即可将业务流量引入安全服务资源池，获取安全服务。由于通过隧道连接，则不再强制要求安全设备部署在特定的位置，网络设备可以根据需要申请安全服务资源，从而实现安全服务资源共享，按需分配，解决安全部署碎片化的问题。

网络中不同的用户拥有不同的权限和安全防护措施，其业务所需要的安全服务也各不相同，采用统一的引流策略则会引起安全资源的浪费或防护不足。基于敏捷交换机的业务智能分流，可对不同用户的不同业务进行可视化业务编排，安全路径规划和配置步骤变得十分简单。

将安全设备虚拟成敏捷交换机S12700/S9700/S7700的一个槽位vslot（Virtual-Slot），每个不同的服务类型设备或板卡通过不同的隧道与敏捷交换机建立连接。敏捷交换机S12700/S9700/S7700基于用户身份和可视化业务编排选择所需要的安全服务，即将业务流量引入不同的隧道，从而进入安全设备；安全设备处理完成后，通过原隧道回注给敏捷交换机，此时敏捷交换机根据业务编排策略，再次判断是否还需要其它的安全服务，以决定是否将流量引入另一个隧道，享受不同的安全服务，从而实现多次分流。

对于不同的用户和业务，其分流方式和安全路径规划各不相同，比如某用户业务流量经过防火墙处理后，需要再经过IPS处理，而另一用户只需要经过防火墙处理，不需经过IPS。通过业务编排可以针对不同用户设定不同的安全策略，灵活多变。多业务虚拟化、可视化的业务编排，简化了路径规划，实现业务路径按需调度，通过隧道为不同的部门和租户提供不同的服务，解决了部署碎片化和配置步骤复杂的问题。

· 安全事件协同

为了保障企业网络的安全畅通，企业一般在网络中配置了防火墙、防病毒、入侵检测、终端管理、漏洞扫描、行为审计等一系列安全系统和设备。随着各项安全工作的深入开展，也暴露出了诸多的问题，如：

- 信息安全孤岛：单点的安全信息无法准确判断是否为安全事件，采用静态的安全策略会导致误判或漏判；

- 海量安全事件的困扰：各种告警日志不停上报，人为检索并判断成为不可能完成的任务；

- 合规的强制性要求：如信息安全等级保护法、银监会指引、萨班斯法案、ISO27001等都对统一安全管理、安全审计有专门的条款进行说明等。

敏捷交换机S12700/S9700/S7700可以作为安全信息的收集者。将网络中的安全事件，如ARP攻击、ICMP攻击、IP欺骗、路由振荡和协议攻击等记录在日志中，并将用户的MAC地址、IP地址和接入端口等信息上报至控制中心，提供网络原始安全信息。

敏捷交换机S12700/S9700/S7700也可以作为安全信息联动的执行者。网络中的敏捷交换机、安全设备和应用系统检测到一个攻击事件，立即上报控制中心；控制中心分析安全事件的发生点、MAC地址和IP地址信息，并将阻断、隔离等相应规则下发至攻击点的敏捷交换机，实现控制中心和网络设备的联动，防止攻击和病毒的进一步扩散。

敏捷交换机S12700/S9700/S7700还可以作为安全策略的控制者。当敏捷交换机作为核心或者汇聚设备时，如只在核心或汇聚层执行安全动作，则攻击和病毒仍可以通过接入交换机扩散、传播，从而影响网络安全。为了进一步缩小攻击或病毒的影响范围，敏捷交换机可以将安全动作，如阻断、隔离下发至接入交换机和AP设备，从接入层进行控制，就近隔离，提升网络安全事件的协同能力。

敏捷交换机S12700/S9700/S7700作为安全信息的收集者、联动策略的执行者和策略的控制者，为安全事件协同提供了中枢，保障了敏捷园区网络的安全。

以敏捷交换机为核心的网络安全融合移动办公（BYOD）、Web2.0应用的普及，使得网络的安全边界日渐模糊，越来越多的网络安全事件来自局域网内部，传统网络只在网络出口或关键资产处部署安全设备的做法已经无法提供完整的安全保障。将安全特性部署在每一个业务流和每一台服务器中，已成为企业的必然选择，此时安全设备已成为网络基础设备，需要大量部署在核心、汇聚甚至在接入层，提升了网络投资成本，且使用独立设备部署，组网也不够方便灵活。

通过敏捷交换机S12700/S9700/S7700融合安全板卡的方式，可有效提升敏捷网络的业务效率，降低项目的总投资成本。敏捷交换机为此开发了多块安全板卡，如NGFW板卡、IPS板卡和ASG板卡等，集成了防火墙/NAT、IPSec、GRE、URL过滤及防垃圾邮件、Anti-DDoS、AV、IPS等功能。支持超过30种威胁检测类别，如攻击、广告、审计、后门程序、恶意代码欺骗及木马、病毒和蠕虫等；支持近50种协议检测，如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等；支持近400家厂商及机构的约1000种产品的威胁防护；支持丰富的日志管理，如日志的存储、备份和导出，基于IP、时间段和关键字的日志过滤和查询；支持丰富的报表类型，如攻击事件趋势、攻击事件排行、实时流量统计和大类协议排行等；配合多业务虚拟化特性，可更加简单地实现服务资源池化、业务编排等；同时敏捷交换机融合安全板卡的解决方案投资成本相对较低，可有效降低客户TCO。

敏捷交换机S12700/S9700/S7700提供的开放业务平台OSP（Open Service Platform），其硬件是一块基于x86架构的板卡，通过交换网与交换机实现高速交换。可运行Windows、SUSE和VMware操作系统，并与业界知名厂商合作，如与CheckPoint合作IPS，与Websense合作安全网关，以及与F5合作负载均衡等特性，为客户提供更多的选择。开放业务平台提供USB接口、VGA接口和硬盘，客户可根据需要在此硬件平台上开发集成所需要的功能，可作为安全设备使用，也可以作为网管、认证服务器使用，具有良好的可扩展性。

华为敏捷网络架构下的敏捷交换机S12700/S9700/S7700，为应对有线无线融合环境下的网络安全冲击，更好地适应敏捷网络的One-switch部署模式，在集成的NGFW板卡上融合了多业务虚拟化、安全事件协同方案，极大提升了敏捷交换机在敏捷园区架构下的安全防护能力，有效满足客户敏捷安全、易部署的诉求。