网络安全一体化解决方案(上) | Chinadu`s Blog

在网络安全威胁日益增加的今天,IP网络用户对安全的要求越来越高,这使得网络的基础承载协议和上层应用协议都不约而同的将发展目标定位在安全特性上。

自2002年SNMPV3版本推出后,所有的网络设备标书都将“支持SNMP V3”作为基本要求之一。V3相对于V1/V2的{zd0}区别就是增加了更多的安全特性。SNMP作为最早最基本的IP网络协议,以安全特性作为{zj2}发展目标,可见网络承载和协议安全的发展最终会紧密重叠在一起。

再如IPv6,相比于IPv4, 它除了有“能让每一粒沙子都分配一个IP地址”的优势之外,就是安全方面有了质的飞跃,比如其协议族中自带了IPSec协议。从IPv6的理念中可以看出,下一代互联网最需要解决的问题之一就是安全。IPv6的安全框架结构充分说明,安全特性永远是承载网络不可分割的一部分。

不难看出, 网络和安全的融合是不可逆转的技术趋势,它是用户业务发展的必然结果,以满足用户日益复杂的网络建设和业务需要。两者的融合具体体现在网络设备(主要是指交换机、路由器、MSTP等基础通信设备)和安全设备(主要是指防火墙、IPS、行为审计网关等)的融合,如H3C、Cisco、华为等都推出了基于网络设备的系列安全插卡,就是这种趋势下的一种外在体现。但网络安全的融合绝不应该仅仅是安全插卡,未来的融合将会逐渐出现在目前盒式设备所应用的领域。

网络安全融合的原因

基于核心网络设备的安全插卡可以有效提升整网业务效率

以下面三个例子分析:

1)??????? 传统的园区网络中,不同的部门会各自独立部署防火墙设备。当部门之间进行业务互访时,性能较低的防火墙很有可能使整网的传输效率下降。因为根据木桶原理,整网的性能由最差性能的设备决定,因此原本全千兆汇聚的网络有可能因为某些部门的百兆防火墙而性能剧降,原本万兆骨干网络可能只能发挥千兆性能。

2)??????? 网络中的安全威胁日益增多,防火墙的安全策略也日趋复杂。如一个大型校园网中,在安全设备上部署的安全策略(即ACL)条数可能会超过3000条,这无疑会大大增加全网数据传输的时延和设备配置的复杂度。

3)??????? 由于分散管理,当一些新业务出现时,如果各部门的防火墙没有及时更新策略,就很可能会阻止这些业务流量。

在网络的核心层交换机上集中部署防火墙模块可以很好的解决以上问题。

1)??????? 借助核心设备的高速率端口和大吞吐量,避免安全设备成为网络瓶颈。

2)??????? 利用核心设备的硬件处理能力xxACL匹配的时延。

3)??????? 在核心交换机上可以统一配置ACL策略,避免多次重复配置带来的错误。

安全不再仅仅是在网络边界需要考虑的问题

在过去,网络应用相对简单,网络威胁的种类也少,一般只在网络的边界上有安全需求,做好了边界安全防护就做好了网络和业务的安全,因此安全设备是独立于网络之中的。但随着移动办公、WEB2.0的大量普及,网络的界线日益模糊。在这样的情况下,只有将安全特性在每一个业务流和每一台服务器中部署才有意义,这就是为什么互联网企业很少在网络中部署IPS/IDS甚至防火墙的原因。

再以金融行业为例。以前,无论是银行还是证券公司,在他们的组网规范中防火墙往往被明确规定为网络的边界设备,如果不在网络出口上部署独立的防火墙则是不符合规定的。而从去年开始,一些集成于交换机的防火墙插卡等安全板卡(如H3C的SecBlade系列板卡)在众多银行和证券公司得到了大量应用。这说明网络边界已经逐渐模糊,安全将不仅仅出现在网络的边界上。

没有边界的情况下如何做到安全?在每一个数据链路上都部署一串安全设备并不现实,而部署在数据交互的核心位置则能取得事半功倍的效果,在核心位置部署高性能的独立安全产品或者在核心交换路由设备上融合安全插卡都是很好的解决方案。

基于交换路由设备的安全部署方案适合未来业务的发展

云计算、搜索服务等新的业务模型需要在网络内部部署大量的安全设备,这些xx的应用场合对安全设备在高性能、多端口、零丢包等特性上提出非常高的要求,单独的安全设备目前还无能为力。

比如在云计算的网络中,服务器之间的横向交互数据会大量增加,xx改变了目前数据中心以纵向数据交互为主的流量模型。在横向流量模型下,经常会出现多对一的数据转发,如果不加控制,那么数据接收侧的丢包问题肯定会非常严重。同样,在搜索业务中,由于数百台搜索服务器会同时输出搜索结果,所以核心交换设备也会面临大量丢包的风险。为保证零丢包,网络设备的一般通过硬件多QoS队列、流量反压、大Buffer等方式解决。但这些技术都属于核心交换路由设备的xx技术,目前业界的安全设备几乎都还不能支持。

所以,在网络核心位置上部署独立的安全设备虽然能够在一定程度上解决网络中的安全问题,却很难解决新业务对网络承载的整体要求。目前的安全插卡可以借助核心网络设备上的高密度端口、大Buffer设计、多QoS硬件队列等等来保证,既保证了网络安全又不会影响业务开展。随着更高性能的芯片出现,在核心交换路由设备上增加L4-L7层的安全功能成为必然的选择。将来核心网络设备的大部分业务插卡都应该默认支持安全特性,而不再需要使用单独的安全插卡。

降低项目的总体拥有成本

网络和安全的融合体现在现阶段最明显的优势就是:维护方便、管理简单、节省成本。

通常,在一个网络建设项目中,1/3的成本是设备采购,而2/3的成本来自于部署和后期的管理维护。网络安全融合方案可以减少设备数量、降低能耗、降低配置部署的工作量、更方便地进行网络扩容和升级、减少维护人员数量,这些特性带来的管理维护方面的优势可以明显降低后期的维护成本,从而降低项目的总体拥有成本。

由此可见,网络和安全的融合不是技术推动(技术只是保障和手段),而是业务的需要,它是满足用户需求的必然选择。一些网络安全设备厂商推出安全插卡产品,无疑代表着IP网络发展的方向。但这仅仅是融合的开始,体现这种发展趋势的外在形式会越来越丰富而且更新的速度会日益加快。

郑重声明:资讯 【网络安全一体化解决方案(上) | Chinadu`s Blog】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——