說起流量，此次北京冬奧會(huì)大家所熟知的“超級(jí)頂流”至少有兩個(gè)：賽場(chǎng)之內(nèi)，非滑雪運(yùn)動(dòng)員谷愛凌莫屬，無論是勇奪兩金一銀的頂尖競(jìng)技水平，還是韭菜盒子、商品代言，都成為了人們茶余飯后津津樂道的話題；賽場(chǎng)之外，那一定是白白胖胖的冰墩墩了，其火爆程度使得“一戶一墩”的美好愿望和“一墩難求”的骨感現(xiàn)實(shí)形成了鮮明的對(duì)比。

除此之外，還有一樣?xùn)|西大家可能相對(duì)陌生一些，但也絕對(duì)配得上“頂流”一詞：它們承載著冬奧會(huì)相關(guān)信息系統(tǒng)的所有網(wǎng)絡(luò)流量，并且還要盡可能把其中的惡意流量攔截下來，攔截時(shí)還不能影響冬奧相關(guān)業(yè)務(wù)的正常開展。

它們中有負(fù)責(zé)組網(wǎng)互聯(lián)的，有負(fù)責(zé)惡意流量攔截的，還有負(fù)責(zé)加密流量解密的，總之它們有一個(gè)共同的名字：網(wǎng)絡(luò)邊界設(shè)備。

48小時(shí)，300+SD-WAN設(shè)備組網(wǎng)上線

據(jù)統(tǒng)計(jì)，北京冬奧會(huì)設(shè)置了7個(gè)大項(xiàng)、15個(gè)分項(xiàng)、109個(gè)小項(xiàng)，吸引了來自91個(gè)國(guó)家和地區(qū)的超過2800名運(yùn)動(dòng)員參賽。

所有外籍運(yùn)動(dòng)員來到中國(guó)后都會(huì)遇到一個(gè)窘境：沒有相關(guān)的身份信息。因此，所有需要實(shí)名認(rèn)證的事情如酒店入住等就會(huì)比較麻煩。

但顯而易見，所有運(yùn)動(dòng)員的身份信息都是在奧組委處注冊(cè)報(bào)名過的，只不過冬奧的網(wǎng)絡(luò)系統(tǒng)處于隔離網(wǎng)環(huán)境。想要解決這個(gè)問題，就得把互聯(lián)網(wǎng)和冬奧的網(wǎng)絡(luò)連接起來。

然而，一旦冬奧的網(wǎng)絡(luò)接入了互聯(lián)網(wǎng)，就會(huì)直接面對(duì)各種來自互聯(lián)網(wǎng)的安全威脅，比如釣魚網(wǎng)站、勒索病毒、挖礦木馬等等。

所以，組網(wǎng)方案一定要和網(wǎng)絡(luò)安全融合內(nèi)生。那么，有沒有這種方案呢？

2022年1月5日，小寒。剛剛結(jié)束元旦假期的奇安信副總裁、邊界安全負(fù)責(zé)人吳亞東立馬接到了一個(gè)極富挑戰(zhàn)性的任務(wù)：北京冬奧組委決定采用奇安信安全SD-WAN完成組網(wǎng)。

顧名思義，安全SD-WAN就是同時(shí)具備了組網(wǎng)和安全防護(hù)兩個(gè)方面的能力。

作為時(shí)下最流行的組網(wǎng)設(shè)備，SD-WAN的核心能力就是以軟件定義的方式，將不同地域的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、云服務(wù)系統(tǒng)等連接起來，并且實(shí)現(xiàn)網(wǎng)絡(luò)流量的可視、可管。而奇安信安全SD-WAN則是在此基礎(chǔ)上，內(nèi)置了端到端安全防護(hù)能力，提供惡意流量防護(hù)、防病毒、上網(wǎng)行為管理等。

在第一時(shí)間與冬奧組委完成溝通后，奇安信邊界安全團(tuán)隊(duì)獲取到組網(wǎng)業(yè)務(wù)需求如下：通過SD-WAN連接冬奧場(chǎng)館各個(gè)業(yè)務(wù)系統(tǒng)并實(shí)現(xiàn)數(shù)據(jù)交互，打通運(yùn)維人員遠(yuǎn)程訪問云平臺(tái)后端業(yè)務(wù)系統(tǒng)的路徑，聯(lián)結(jié)雙網(wǎng)絡(luò)中心區(qū)域與機(jī)場(chǎng)、車站、酒店與醫(yī)院進(jìn)行人員數(shù)據(jù)調(diào)度。

這也就是說，主備數(shù)據(jù)中心、主備網(wǎng)絡(luò)中心、各競(jìng)賽場(chǎng)館以及相關(guān)的機(jī)場(chǎng)、酒店、車站、醫(yī)院等等凡是和冬奧相關(guān)聯(lián)的地方，都要用SD-WAN把網(wǎng)絡(luò)連起來。

滿足冬奧組網(wǎng)和安全方面的需求，奇安信安全SD-WAN自然不在話下。第四代SecOS操作系統(tǒng)和異步并行處理的專利技術(shù)，為安全網(wǎng)關(guān)提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)處理能力和高效安全的加密4G傳輸通路，最大限度保證冬奧相關(guān)系統(tǒng)的業(yè)務(wù)連續(xù)性和安全性。

然而，真正的挑戰(zhàn)并不在歷經(jīng)多次打磨的產(chǎn)品上。

吳亞東初步估算了一下，面對(duì)如此多的網(wǎng)絡(luò)節(jié)點(diǎn)，起碼要部署300+臺(tái)設(shè)備。即便立馬開始行動(dòng)，剩下時(shí)間最多就半個(gè)月。更棘手的是，為滿足場(chǎng)館設(shè)備進(jìn)場(chǎng)進(jìn)度要求，SD-WAN設(shè)備需從1月20日開始部署，23日正式上線運(yùn)行，滿打滿算也就96個(gè)小時(shí)。

顯然，這是一個(gè)巨大的工程。

短暫思考之后，吳亞東就留下了一句話：“趁設(shè)備還沒進(jìn)場(chǎng)，抓緊搭建環(huán)境測(cè)試吧，這樣現(xiàn)場(chǎng)部署調(diào)試的坑會(huì)少一點(diǎn)?！?/p>

接下來的十幾天，邊界安全團(tuán)隊(duì)辦公區(qū)夜夜燈火通明，定制化功能、業(yè)務(wù)系統(tǒng)聯(lián)結(jié)交互測(cè)試有條不紊進(jìn)行著。

1月20日，滿載奇安信安全SD-WAN設(shè)備的貨車，緩緩開到了西直門外南路26號(hào)院奇安信安全中心的樓下，進(jìn)場(chǎng)部署的日子到了。

受益于前期進(jìn)行的業(yè)務(wù)模擬測(cè)試與1:1環(huán)境搭建環(huán)境驗(yàn)證，交付師傅們的安裝調(diào)試過程十分順利，于1月22日晚在48小時(shí)內(nèi)上線了300+SD-WAN安全組網(wǎng)設(shè)備并進(jìn)行交付運(yùn)營(yíng)。

“奇安信安全SD-WAN零配置上線的能力，大幅度節(jié)省了一線交付團(tuán)隊(duì)的安裝調(diào)試時(shí)間?！眳莵問|自豪地介紹到，4G上線的方式，使其能夠自動(dòng)注冊(cè)安全網(wǎng)關(guān)并從管控平臺(tái)獲取網(wǎng)絡(luò)配置和安全策略配置，同時(shí)基于設(shè)備的角色和WAN/LAN接口屬性，自動(dòng)化構(gòu)建Overlay網(wǎng)絡(luò)。并且，當(dāng)網(wǎng)絡(luò)接口發(fā)生變更時(shí)，整個(gè)Overlay網(wǎng)絡(luò)會(huì)自動(dòng)形成新的Overlay網(wǎng)絡(luò)拓?fù)?，從而降低了組網(wǎng)開通業(yè)務(wù)的復(fù)雜度，實(shí)現(xiàn)分鐘級(jí)部署安裝。

為保證網(wǎng)絡(luò)接入的安全性，奇安信安全SD-WAN還使用了雙向證書認(rèn)證的SSL連接，整個(gè)配置以及控制通道均采用SSL加密通道，可以做到防止不受信任的CPE設(shè)備接入用戶的SD-WAN網(wǎng)絡(luò)、防止針對(duì)CPE設(shè)備和管控平臺(tái)的中間人攻擊以及加密管控平臺(tái)與CPE設(shè)備之間的加密通信。

流量防護(hù)，加解密的戰(zhàn)爭(zhēng)

盡管奇安信安全SD-WAN天生就具備了安全能力，但其核心仍然是組網(wǎng)，說到網(wǎng)絡(luò)邊界的流量防護(hù)主力，防火墻的能力依然無與倫比。

“我們?cè)跀?shù)據(jù)中心骨干網(wǎng)出口處，部署了近80臺(tái)防火墻?！眳莵問|說，奇安信新一代智慧防火墻集成了一體化威脅防護(hù)引擎，可對(duì)500余萬流行病毒、5000余種漏洞利用攻擊和1000余種間諜軟件行為等提供高性能防護(hù)。

在這樣嚴(yán)密的防護(hù)下，不加任何偽裝的明文攻擊流量幾乎無機(jī)可乘。

然而，明文流量早已成為過去式。統(tǒng)計(jì)顯示，在冬奧期間所有奇安信新一代智慧防火墻濾過的流量中，加密流量超過了80%。

和明文流量傳輸所不同的是，密文傳輸?shù)闹饕康氖欠乐沽髁拷俪?、中間人攻擊等手段造成的信息泄露。但加密流量同樣讓網(wǎng)絡(luò)攻擊隱藏在其中，Gartner的一項(xiàng)研究數(shù)據(jù)顯示，2019年以來就超過半數(shù)的惡意軟件攻擊使用了加密流量。

更令人擔(dān)憂的是，自從2020年全球爆發(fā)新冠疫情以來，加密流量的威脅增加了5倍。

有加密自然就有解密。事實(shí)上，在加密流量滿天飛的今天，流量解密可以說是防火墻的必修課之一。

但是流量解密是一個(gè)技術(shù)活，并不是誰來都能干的。且不說解密的水平怎么樣，單是解密的效率就夠讓人喝一壺的。

根據(jù)NSS實(shí)驗(yàn)室的一項(xiàng)測(cè)試結(jié)果顯示，很少有安全設(shè)備能夠在不嚴(yán)重影響網(wǎng)絡(luò)性能的情況下檢查加密數(shù)據(jù)。平均而言，深度包檢測(cè)的性能損失為60%，連接率平均下降了92%，響應(yīng)時(shí)間則增加了高達(dá)672%。然而，一些需要被分析的流量卻根本沒有被這些安全設(shè)備所處理。

這樣的效率和性能損失對(duì)于一般企業(yè)而言都很難接受，更不要說對(duì)網(wǎng)絡(luò)連續(xù)性要求近乎嚴(yán)苛的冬奧會(huì)了，畢竟電視機(jī)前的觀眾誰也不想把優(yōu)美的冰雪競(jìng)技，當(dāng)成是幻燈片來看。

為了解決這個(gè)問題，奇安信新一代智慧防火墻引入了高性能SSL流量解密卡，其內(nèi)置的加解密引擎，能夠?qū)⒔饷苄阅芴嵘?0倍。

這很大程度上得歸功于異步調(diào)度。說起異步調(diào)度，那么它的同胞兄弟同步調(diào)度就不得不提。

所謂同步調(diào)度就是在程序繼續(xù)執(zhí)行之前需要等待同步方法執(zhí)行完畢返回結(jié)果，而異步調(diào)度就是在被調(diào)用之后立即返回以便同時(shí)執(zhí)行其它操作。

舉個(gè)簡(jiǎn)單的例子。當(dāng)儲(chǔ)戶去銀行辦理業(yè)務(wù)，叫號(hào)完畢之后一直在大廳等待業(yè)務(wù)辦理完畢再起身離開的就是同步調(diào)度；叫號(hào)完畢之后出去吃個(gè)飯，等到差不到到自己號(hào)了再來柜臺(tái)辦業(yè)務(wù)的就是異步調(diào)度。

顯然，對(duì)于儲(chǔ)戶而言，異步調(diào)度要比同步調(diào)度效率高很多。那么同理，面對(duì)冬奧會(huì)期間高并發(fā)的流量，異步調(diào)度能夠把解密引擎和CPU的利用率提升到最高，從而降低網(wǎng)絡(luò)擁堵發(fā)生的可能性。

這些經(jīng)過解密的流量在經(jīng)過防火墻初步過濾之后，還會(huì)以流量鏡像的方式，借助明文旁路模式、SSL解密的明文隧道模式同步給旁路檢測(cè)設(shè)備（如IDS/NTA），進(jìn)一步進(jìn)行深度包檢測(cè)和元數(shù)據(jù)提取。

“這種防火墻解密+旁路檢測(cè)明文旁路模式是奇安信的首創(chuàng)，大幅提升了流量側(cè)威脅發(fā)現(xiàn)的效率和準(zhǔn)確率?！眳莵問|說。

統(tǒng)一編排，智能引流

與此同時(shí)，在網(wǎng)絡(luò)邊界執(zhí)行防護(hù)任務(wù)的，還遠(yuǎn)遠(yuǎn)不止防火墻一種。

比如防毒墻，主要用于發(fā)現(xiàn)流量中混入的惡意軟件；再比如Web應(yīng)用防火墻，主要是針對(duì)Web應(yīng)用層識(shí)別惡意攻擊命令……

所有這些設(shè)備構(gòu)成了網(wǎng)絡(luò)邊界的縱深防御體系，黑客要想攻進(jìn)來，就得突破一道有一道的防線。就像抗美援朝第五次戰(zhàn)役中的種子山阻擊戰(zhàn)，志愿軍189師9000人一把芝麻撒在200個(gè)小陣地上，也得讓“聯(lián)合國(guó)軍”拔五天。

圖：電視劇《跨過鴨綠江》

但這么多的安全設(shè)備也帶來一個(gè)問題——所有設(shè)備都是串聯(lián)接入到冬奧網(wǎng)絡(luò)系統(tǒng)中的。學(xué)過物理的都知道，一旦串聯(lián)電路中任意一個(gè)元器件發(fā)生斷路，整個(gè)電路也就斷了。想要找出故障點(diǎn)，就得逐個(gè)元器件進(jìn)行排查。

而且這么多的網(wǎng)絡(luò)設(shè)備，一定會(huì)消耗大量的帶寬資源。試想一條網(wǎng)絡(luò)出口上，如果設(shè)置了這么多的“安檢機(jī)構(gòu)”，其效率肯定會(huì)大打折扣。

顯然，這給冬奧網(wǎng)絡(luò)連續(xù)性帶來了很大的挑戰(zhàn)。

“這也是我們防火墻的高明之處?！眳莵問|說到，基于奇安信自主研發(fā)的鯤鵬網(wǎng)絡(luò)操作平臺(tái)，奇安信智慧防火墻具備了強(qiáng)大的物理安全網(wǎng)元服務(wù)鏈編排能力。

通俗來說，奇安信智慧防火墻具備了“指揮流量”的能力，其好處是不言而喻的。

首先，經(jīng)過防火墻解密的流量在由操作系統(tǒng)引流之后，可以自動(dòng)分發(fā)至串接的各個(gè)安全設(shè)備，這樣一來后續(xù)的安全設(shè)備就不用再對(duì)加密流量進(jìn)行單獨(dú)解密，從而降低了網(wǎng)絡(luò)資源消耗和負(fù)載。即便是拋開解密效率不談，也大幅提升了整個(gè)鏈路的運(yùn)行效率。

其次，整個(gè)鏈路的流量可以實(shí)現(xiàn)“按需分配”。假設(shè)某個(gè)網(wǎng)絡(luò)出口的帶寬是5G，鏈路中部署了兩臺(tái)IPS，其中一臺(tái)的處理能力是2G，另一臺(tái)是4G，那么在帶寬滿載的情況下，如果按照流量平均分配原則，其中一臺(tái)WAF就超負(fù)載了，必然會(huì)造成阻塞現(xiàn)象，而在智能流量調(diào)度下就不存在這個(gè)問題，2G的IPS就處理2G的流量，剩下的交給4G那臺(tái)就好了。

即便是某一臺(tái)設(shè)備發(fā)生了故障，奇安信智慧防火墻也會(huì)將流量智能牽引至沒有發(fā)生故障的設(shè)備中。

第三，經(jīng)由編排的流量能夠可視化展現(xiàn)，方便運(yùn)維人家進(jìn)行集中管控和運(yùn)維。一旦某點(diǎn)出現(xiàn)故障，可以第一時(shí)間找出故障點(diǎn)并進(jìn)行修復(fù)。

“冬奧對(duì)于奇安信來說是一次綜合測(cè)試，防火墻、SD-WAN負(fù)責(zé)答的是網(wǎng)絡(luò)邊界部分?！眳莵問|說，“經(jīng)過數(shù)十年的發(fā)展，作為老三樣的防火墻歷久彌新，終于有了現(xiàn)在‘智慧’的風(fēng)貌。不變的是，無論是否面對(duì)冬奧會(huì)，它始終是網(wǎng)絡(luò)邊界最值得信賴的防守尖兵，與其他設(shè)備一起組成了牢固的縱深防線。”