萬(wàn)兆網(wǎng)絡(luò)安全的現(xiàn)實(shí)問(wèn)題

事實(shí)上，目前安全應(yīng)用領(lǐng)域存在著一些亟待解決的實(shí)際問(wèn)題。

一方面，許多用戶的安全設(shè)備性能還停留在千兆階段，市場(chǎng)上高性能的安全設(shè)備種類也相對(duì)較少，安全產(chǎn)品本身的帶寬和處理性能不足成為整個(gè)網(wǎng)絡(luò)的性能瓶頸。為了保障關(guān)鍵業(yè)務(wù)點(diǎn)的正常運(yùn)行，有些用戶不得不犧牲網(wǎng)絡(luò)的高性能以確保安全。

另一方面，用戶的安全意識(shí)也有待進(jìn)一步提升。當(dāng)前的網(wǎng)絡(luò)安全，已經(jīng)不再是單一手段、單一設(shè)備能夠解決，需要整體著眼，從核心到匯聚，從終端到桌面，層層部署，面面俱到。有些用戶認(rèn)為，依靠防火墻/網(wǎng)關(guān)設(shè)備以及防病毒軟件等手段，就可以應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題。而實(shí)際上，在先進(jìn)的網(wǎng)絡(luò)環(huán)境下，安全威脅來(lái)自于網(wǎng)絡(luò)的各個(gè)層面，如不加以解決，將給用戶的網(wǎng)絡(luò)帶來(lái)無(wú)處不在的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全領(lǐng)域存在的另一個(gè)實(shí)際問(wèn)題還在于，目前網(wǎng)絡(luò)安全廠商眾多，然而實(shí)力參差不齊。一些廠商的產(chǎn)品與解決方案無(wú)論從性能、完整性、策略甚至理念上，與業(yè)內(nèi)領(lǐng)導(dǎo)廠商之間存在著不小的差距，更無(wú)從期待這些廠商能引導(dǎo)用戶的安全建設(shè)向"更快、更高、更強(qiáng)"的方向發(fā)展。這從另一個(gè)角度上也影響了萬(wàn)兆時(shí)代安全的前進(jìn)腳步。

要解決這些問(wèn)題，我們需要從以下幾個(gè)方面著手來(lái)進(jìn)行。

提高設(shè)備性能

首先，隨著萬(wàn)兆帶寬給網(wǎng)絡(luò)傳輸效率帶來(lái)的跳躍式前進(jìn)，越來(lái)越多的視頻、語(yǔ)音等多媒體數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，網(wǎng)絡(luò)安全設(shè)備需要對(duì)流量進(jìn)行更深入、更全面的分析。如若安全設(shè)備的處理速度低于網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，就會(huì)成為整體網(wǎng)絡(luò)的性能瓶頸。因此，萬(wàn)兆網(wǎng)絡(luò)普及發(fā)展過(guò)程中，與之相匹配的高性能安全設(shè)備是必備基礎(chǔ)設(shè)施之一。

針對(duì)這個(gè)問(wèn)題，H3C認(rèn)為，萬(wàn)兆時(shí)代的安全面臨的性能挑戰(zhàn)，從低端防護(hù)到高端核心防護(hù)，從接入到匯聚、數(shù)據(jù)中心、核心骨干、城域網(wǎng)，等等，都需要高性能的設(shè)備來(lái)保障。在安全設(shè)備性能方面的改進(jìn)，是H3C這幾年的研發(fā)重點(diǎn)。在防火墻、IPS等基礎(chǔ)安全組件上，H3C推出了40G超萬(wàn)兆防火墻SecPath F5000-A5、入侵防御系統(tǒng)產(chǎn)品SecPath T5000-S3、應(yīng)用控制網(wǎng)關(guān)ACG8800-S3等多款高性能產(chǎn)品。從早期的基于X86通用處理器的架構(gòu)，到后來(lái)的NP架構(gòu)，F(xiàn)PGA架構(gòu)以及ASIC架構(gòu)等，其優(yōu)缺點(diǎn)各異。經(jīng)過(guò)多方測(cè)試、選型，具備良好的業(yè)務(wù)擴(kuò)展能力、軟件編程可繼承性、高性能并行處理的多核硬件平臺(tái)成為新形勢(shì)下安全網(wǎng)關(guān)硬件平臺(tái)發(fā)展的首選。#p#

安全需要端到端

在解決了網(wǎng)絡(luò)安全單點(diǎn)性能瓶頸問(wèn)題之后，要保證萬(wàn)兆IT的整體安全，H3C認(rèn)為，需要從邊界防護(hù)到整網(wǎng)防護(hù)，真正實(shí)現(xiàn)端到端的安全防護(hù)。

網(wǎng)絡(luò)安全體系是一個(gè)層次復(fù)雜、涉及面非常廣的系統(tǒng)，要想真正發(fā)揮安全體系的最大效能，必須從整體出發(fā)，將安全覆蓋到每個(gè)環(huán)節(jié)。分布式理念的應(yīng)用為安全建設(shè)帶來(lái)了新思路：通過(guò)將安全控制延伸到每一個(gè)終端節(jié)點(diǎn)，采用端點(diǎn)控制和分層安全過(guò)濾技術(shù)，降低安全事件集中爆發(fā)的隱患和風(fēng)險(xiǎn)。

我們以H3C為例，H3C創(chuàng)新性地將"分布式理念"應(yīng)用到安全建設(shè)中，在網(wǎng)絡(luò)架構(gòu)和硬件架構(gòu)上成功地解決整網(wǎng)安全的超萬(wàn)兆性能需求：通過(guò)分布式網(wǎng)絡(luò)架構(gòu)將安全特性滲透到網(wǎng)絡(luò)各級(jí)節(jié)點(diǎn)，分散安全性能壓力(從核心到邊緣);通過(guò)分布式硬件架構(gòu)實(shí)現(xiàn)超萬(wàn)兆安全處理平臺(tái)，保證關(guān)鍵匯聚節(jié)點(diǎn)超萬(wàn)兆線速安全處理能力。H3C還將安全控制延伸到每一個(gè)終端節(jié)點(diǎn)，采用端點(diǎn)接入控制和分層安全過(guò)濾技術(shù)，不僅解決了安全事件集中爆發(fā)的隱患和風(fēng)險(xiǎn)，而且將原有獨(dú)立、分散的計(jì)算、通信和存儲(chǔ)資源變成一個(gè)整體，每一個(gè)節(jié)點(diǎn)的性能提升，都將會(huì)提升整網(wǎng)安全性能。

基礎(chǔ)到應(yīng)用，全面防護(hù)

對(duì)于萬(wàn)兆IT時(shí)代的安全來(lái)說(shuō)，各種業(yè)務(wù)的爆炸式增長(zhǎng)，更多安全威脅不是來(lái)自網(wǎng)絡(luò)外部，而是隱藏在用戶IT網(wǎng)絡(luò)的各個(gè)角落，因此，從基礎(chǔ)防護(hù)到應(yīng)用防護(hù)，實(shí)現(xiàn)全面七層防護(hù)，是必不可少的手段。

目前，H3C已成為全球安全產(chǎn)品系列最全的廠家之一，不僅涵蓋防火墻、IPS、UTM等硬件設(shè)備，更推出了針對(duì)4~7層的安全處理設(shè)備，如應(yīng)用加速、廣域網(wǎng)優(yōu)化、負(fù)載均衡、網(wǎng)絡(luò)審計(jì)、流量監(jiān)控分析等多種設(shè)備，幫助用戶將閑置的網(wǎng)絡(luò)資產(chǎn)盤活，實(shí)現(xiàn)網(wǎng)絡(luò)資源的優(yōu)化，讓整個(gè)體系源于安全，但又高于安全。

此外，安全產(chǎn)品必須保證專業(yè)的安全防護(hù)能力。由于安全技術(shù)點(diǎn)多而且相對(duì)分散，針對(duì)單個(gè)功能點(diǎn)也有基于開源代碼的實(shí)現(xiàn)和專業(yè)化廠商的實(shí)現(xiàn)。單純的僅僅依靠單廠商的力量無(wú)法兼顧到各項(xiàng)技術(shù)的完美實(shí)現(xiàn)。H3C提出OAA開放應(yīng)用架構(gòu)，通過(guò)開放合作，與業(yè)界知名廠商建立廣泛合作，為用戶提供業(yè)界最頂級(jí)的解決方案是最為合理的選擇。

H3C同時(shí)還強(qiáng)調(diào)，在萬(wàn)兆網(wǎng)絡(luò)高效、快速的發(fā)展趨勢(shì)下，整體安全防護(hù)與管理的復(fù)雜性不斷上升，網(wǎng)絡(luò)作為整個(gè)社會(huì)的基礎(chǔ)設(shè)備，人們對(duì)于網(wǎng)絡(luò)的可管理性需求越來(lái)越高，因此構(gòu)建一個(gè)簡(jiǎn)化的安全管理機(jī)制與安全策略顯得尤為重要。好的網(wǎng)絡(luò)安全設(shè)備能夠簡(jiǎn)化統(tǒng)一管理，從而減少維護(hù)人員的工作量，否則，用戶不僅需要專門的人員對(duì)安全設(shè)備進(jìn)行管理，給企業(yè)造成成本上的負(fù)擔(dān)，而且企業(yè)的整體網(wǎng)絡(luò)安全得不到保障。

【編輯推薦】

1. 專題：萬(wàn)兆網(wǎng)絡(luò)的發(fā)展與趨勢(shì)
2. SMC 萬(wàn)兆網(wǎng)絡(luò)交換機(jī)進(jìn)入Web2.0市場(chǎng)