万兆网络安全的现实问题
事实上,目前安全应用领域存在着一些亟待解决的实际问题。
一方面,许多用户的安全设备性能还停留在千兆阶段,市场上高性能的安全设备种类也相对较少,安全产品本身的带宽和处理性能不足成为整个网络的性能瓶颈。为了保障关键业务点的正常运行,有些用户不得不牺牲网络的高性能以确保安全。
另一方面,用户的安全意识也有待进一步提升。当前的网络安全,已经不再是单一手段、单一设备能够解决,需要整体着眼,从核心到汇聚,从终端到桌面,层层部署,面面俱到。有些用户认为,依靠防火墙/网关设备以及防病毒软件等手段,就可以应对网络安全问题。而实际上,在先进的网络环境下,安全威胁来自于网络的各个层面,如不加以解决,将给用户的网络带来无处不在的风险。
网络安全领域存在的另一个实际问题还在于,目前网络安全厂商众多,然而实力参差不齐。一些厂商的产品与解决方案无论从性能、完整性、策略甚至理念上,与业内领导厂商之间存在着不小的差距,更无从期待这些厂商能引导用户的安全建设向“更快、更高、更强”的方向发展。这从另一个角度上也影响了万兆时代安全的前进脚步。
要解决这些问题,我们需要从以下几个方面着手来进行。
提高设备性能
首先,随着万兆带宽给网络传输效率带来的跳跃式前进,越来越多的视频、语音等多媒体数据在网络上传输,网络安全设备需要对流量进行更深入、更全面的分析。如若安全设备的处理速度低于网络数据的传输速度,就会成为整体网络的性能瓶颈。因此,万兆网络普及发展过程中,与之相匹配的高性能安全设备是必备基础设施之一。
针对这个问题,H3C认为,万兆时代的安全面临的性能挑战,从低端防护到高端核心防护,从接入到汇聚、数据中心、核心骨干、城域网,等等,都需要高性能的设备来保障。在安全设备性能方面的改进,是H3C这几年的研发重点。在防火墙、IPS等基础安全组件上,H3C推出了40G超万兆防火墙SecPath F5000-A5、入侵防御系统产品SecPath T5000-S3、应用控制网关ACG8800-S3等多款高性能产品。从早期的基于X86通用处理器的架构,到后来的NP架构,FPGA架构以及ASIC架构等,其优缺点各异。经过多方测试、选型,具备良好的业务扩展能力、软件编程可继承性、高性能并行处理的多核硬件平台成为新形势下安全网关硬件平台发展的首选。
安全需要端到端
在解决了网络安全单点性能瓶颈问题之后,要保证万兆IT的整体安全,H3C认为,需要从边界防护到整网防护,真正实现端到端的安全防护。
网络安全体系是一个层次复杂、涉及面非常广的系统,要想真正发挥安全体系的最大效能,必须从整体出发,将安全覆盖到每个环节。分布式理念的应用为安全建设带来了新思路:通过将安全控制延伸到每一个终端节点,采用端点控制和分层安全过滤技术,降低安全事件集中爆发的隐患和风险。
我们以H3C为例,H3C创新性地将“分布式理念”应用到安全建设中,在网络架构和硬件架构上成功地解决整网安全的超万兆性能需求:通过分布式网络架构将安全特性渗透到网络各级节点,分散安全性能压力(从核心到边缘);通过分布式硬件架构实现超万兆安全处理平台,保证关键汇聚节点超万兆线速安全处理能力。H3C还将安全控制延伸到每一个终端节点,采用端点接入控制和分层安全过滤技术,不仅解决了安全事件集中爆发的隐患和风险,而且将原有独立、分散的计算、通信和存储资源变成一个整体,每一个节点的性能提升,都将会提升整网安全性能。
基础到应用,全面防护
对于万兆IT时代的安全来说,各种业务的爆炸式增长,更多安全威胁不是来自网络外部,而是隐藏在用户IT网络的各个角落,因此,从基础防护到应用防护,实现全面七层防护,是必不可少的手段。
目前,H3C已成为全球安全产品系列最全的厂家之一,不仅涵盖防火墙、IPS、UTM等硬件设备,更推出了针对4~7层的安全处理设备,如应用加速、广域网优化、负载均衡、网络审计、流量监控分析等多种设备,帮助用户将闲置的网络资产盘活,实现网络资源的优化,让整个体系源于安全,但又高于安全。
此外,安全产品必须保证专业的安全防护能力。由于安全技术点多而且相对分散,针对单个功能点也有基于开源代码的实现和专业化厂商的实现。单纯的仅仅依靠单厂商的力量无法兼顾到各项技术的完美实现。H3C提出OAA开放应用架构,通过开放合作,与业界知名厂商建立广泛合作,为用户提供业界最顶级的解决方案是最为合理的选择。
H3C同时还强调,在万兆网络高效、快速的发展趋势下,整体安全防护与管理的复杂性不断上升,网络作为整个社会的基础设备,人们对于网络的可管理性需求越来越高,因此构建一个简化的安全管理机制与安全策略显得尤为重要。好的网络安全设备能够简化统一管理,从而减少维护人员的工作量,否则,用户不仅需要专门的人员对安全设备进行管理,给企业造成成本上的负担,而且企业的整体网络安全得不到保障。