中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 專家觀點(diǎn) >

敏捷網(wǎng)絡(luò)的安全衛(wèi)士—華為敏捷交換機(jī)

2014-04-22 09:26:17   作者:華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線交換機(jī)產(chǎn)品管理部 劉碧   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線交換機(jī)產(chǎn)品管理部 劉碧

  互聯(lián)網(wǎng)發(fā)展和IT技術(shù)的普及,為社會(huì)的發(fā)展帶來了巨大的推動(dòng)力。與此同時(shí),網(wǎng)頁篡改、計(jì)算機(jī)病毒、系統(tǒng)非法入侵、數(shù)據(jù)泄密、網(wǎng)站欺騙、服務(wù)癱瘓、漏洞非法利用等信息安全事件時(shí)有發(fā)生。網(wǎng)絡(luò)攻擊和犯罪致使全球個(gè)人用戶的損失超過1000億美元,中國(guó)超過2.57億網(wǎng)民成為網(wǎng)絡(luò)犯罪受害者,直接經(jīng)濟(jì)損失超過400億美元。

  隨著手機(jī)、PAD等智能終端的普及和無線技術(shù)的滲透及發(fā)展,促進(jìn)了BYOD的興起和應(yīng)用,BYOD實(shí)現(xiàn)了企業(yè)員工使用自己熟悉的設(shè)備進(jìn)行辦公,在帶來多樣化和個(gè)性化BYOD業(yè)務(wù)體驗(yàn)的同時(shí),也帶給敏捷園區(qū)網(wǎng)絡(luò)更多的挑戰(zhàn),網(wǎng)絡(luò)安全管理需要敏捷安全的網(wǎng)絡(luò)設(shè)備。

  傳統(tǒng)網(wǎng)絡(luò)安全防范手段的不足傳統(tǒng)的網(wǎng)絡(luò)攻擊主要包括:ARP攻擊、ICMP攻擊、IP欺騙、流量攻擊和網(wǎng)絡(luò)協(xié)議攻擊等。對(duì)于此類攻擊,可通過劃分安全域、限制流量和黑白名單等方式進(jìn)行網(wǎng)絡(luò)防護(hù)。隨著攻擊手段的變化多樣,攻擊工具的更容易獲取,以及基于僵尸網(wǎng)絡(luò)DDoS攻擊的出現(xiàn),使得基于網(wǎng)絡(luò)層的攻擊層出不窮,現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段力不從心,主要表現(xiàn)在:

  · 安全路徑規(guī)劃困難,安全部署碎片化,配置步驟復(fù)雜;

  · 形成安全信息孤島、帶來海量安全事件的困擾,以及無法滿足合規(guī)性要求;

  · 網(wǎng)絡(luò)安全邊界的擴(kuò)展導(dǎo)致安全部署范圍擴(kuò)大,投資成倍增長(zhǎng)。

  網(wǎng)絡(luò)的復(fù)雜性和攻擊手段的多樣性,對(duì)網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的單點(diǎn)防護(hù)、靜態(tài)防護(hù)等思路由于其信息無法關(guān)聯(lián)分析、配置復(fù)雜和高投入,越來越無法適應(yīng)網(wǎng)絡(luò)安全的發(fā)展。由于網(wǎng)絡(luò)和安全融合、聯(lián)動(dòng)的復(fù)雜性,業(yè)界主流的網(wǎng)絡(luò)設(shè)備廠商或因技術(shù)問題或因成本原因,已逐漸縮減在此領(lǐng)域的投入,使得這些問題懸而未決,或解決不徹底,形成不了系統(tǒng)的解決方案。

  華為S12700/S9700/S7700敏捷交換機(jī)

  · 多業(yè)務(wù)虛擬化

  在如今的客戶網(wǎng)絡(luò)中,存在著不同類型的安全設(shè)備,同種類型的安全設(shè)備也會(huì)有多臺(tái),導(dǎo)致安全設(shè)備部署零散、碎片化。同時(shí)由于不同部門、不同用戶的不同業(yè)務(wù)需要不同的安全策略,各種安全策略交織在一起,致使安全路徑的規(guī)劃非常困難,可部署性和可維護(hù)性差。

  華為S12700/S9700/S7700敏捷交換機(jī)提供網(wǎng)絡(luò)安全多業(yè)務(wù)虛擬化特性,將接入、匯聚和核心交換機(jī)虛擬成一臺(tái)設(shè)備,安全設(shè)備虛擬成這臺(tái)設(shè)備的拉遠(yuǎn)插卡。用戶利用敏捷交換機(jī)S12700/S9700/S7700和安全設(shè)備之間建立的隧道,即可將業(yè)務(wù)流量引入安全服務(wù)資源池,獲取安全服務(wù)。由于通過隧道連接,則不再?gòu)?qiáng)制要求安全設(shè)備部署在特定的位置,網(wǎng)絡(luò)設(shè)備可以根據(jù)需要申請(qǐng)安全服務(wù)資源,從而實(shí)現(xiàn)安全服務(wù)資源共享,按需分配,解決安全部署碎片化的問題。

  網(wǎng)絡(luò)中不同的用戶擁有不同的權(quán)限和安全防護(hù)措施,其業(yè)務(wù)所需要的安全服務(wù)也各不相同,采用統(tǒng)一的引流策略則會(huì)引起安全資源的浪費(fèi)或防護(hù)不足。基于敏捷交換機(jī)的業(yè)務(wù)智能分流,可對(duì)不同用戶的不同業(yè)務(wù)進(jìn)行可視化業(yè)務(wù)編排,安全路徑規(guī)劃和配置步驟變得十分簡(jiǎn)單。

  將安全設(shè)備虛擬成敏捷交換機(jī)S12700/S9700/S7700的一個(gè)槽位vslot(Virtual-Slot),每個(gè)不同的服務(wù)類型設(shè)備或板卡通過不同的隧道與敏捷交換機(jī)建立連接。敏捷交換機(jī)S12700/S9700/S7700基于用戶身份和可視化業(yè)務(wù)編排選擇所需要的安全服務(wù),即將業(yè)務(wù)流量引入不同的隧道,從而進(jìn)入安全設(shè)備;安全設(shè)備處理完成后,通過原隧道回注給敏捷交換機(jī),此時(shí)敏捷交換機(jī)根據(jù)業(yè)務(wù)編排策略,再次判斷是否還需要其它的安全服務(wù),以決定是否將流量引入另一個(gè)隧道,享受不同的安全服務(wù),從而實(shí)現(xiàn)多次分流。

  對(duì)于不同的用戶和業(yè)務(wù),其分流方式和安全路徑規(guī)劃各不相同,比如某用戶業(yè)務(wù)流量經(jīng)過防火墻處理后,需要再經(jīng)過IPS處理,而另一用戶只需要經(jīng)過防火墻處理,不需經(jīng)過IPS。通過業(yè)務(wù)編排可以針對(duì)不同用戶設(shè)定不同的安全策略,靈活多變。多業(yè)務(wù)虛擬化、可視化的業(yè)務(wù)編排,簡(jiǎn)化了路徑規(guī)劃,實(shí)現(xiàn)業(yè)務(wù)路徑按需調(diào)度,通過隧道為不同的部門和租戶提供不同的服務(wù),解決了部署碎片化和配置步驟復(fù)雜的問題。

  · 安全事件協(xié)同

  為了保障企業(yè)網(wǎng)絡(luò)的安全暢通,企業(yè)一般在網(wǎng)絡(luò)中配置了防火墻、防病毒、入侵檢測(cè)、終端管理、漏洞掃描、行為審計(jì)等一系列安全系統(tǒng)和設(shè)備。隨著各項(xiàng)安全工作的深入開展,也暴露出了諸多的問題,如:

  - 信息安全孤島:?jiǎn)吸c(diǎn)的安全信息無法準(zhǔn)確判斷是否為安全事件,采用靜態(tài)的安全策略會(huì)導(dǎo)致誤判或漏判;

  - 海量安全事件的困擾:各種告警日志不停上報(bào),人為檢索并判斷成為不可能完成的任務(wù);

  - 合規(guī)的強(qiáng)制性要求:如信息安全等級(jí)保護(hù)法、銀監(jiān)會(huì)指引、薩班斯法案、ISO27001等都對(duì)統(tǒng)一安全管理、安全審計(jì)有專門的條款進(jìn)行說明等。

  敏捷交換機(jī)S12700/S9700/S7700可以作為安全信息的收集者。將網(wǎng)絡(luò)中的安全事件,如ARP攻擊、ICMP攻擊、IP欺騙、路由振蕩和協(xié)議攻擊等記錄在日志中,并將用戶的MAC地址、IP地址和接入端口等信息上報(bào)至控制中心,提供網(wǎng)絡(luò)原始安全信息。

  敏捷交換機(jī)S12700/S9700/S7700也可以作為安全信息聯(lián)動(dòng)的執(zhí)行者。網(wǎng)絡(luò)中的敏捷交換機(jī)、安全設(shè)備和應(yīng)用系統(tǒng)檢測(cè)到一個(gè)攻擊事件,立即上報(bào)控制中心;控制中心分析安全事件的發(fā)生點(diǎn)、MAC地址和IP地址信息,并將阻斷、隔離等相應(yīng)規(guī)則下發(fā)至攻擊點(diǎn)的敏捷交換機(jī),實(shí)現(xiàn)控制中心和網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng),防止攻擊和病毒的進(jìn)一步擴(kuò)散。

  敏捷交換機(jī)S12700/S9700/S7700還可以作為安全策略的控制者。當(dāng)敏捷交換機(jī)作為核心或者匯聚設(shè)備時(shí),如只在核心或匯聚層執(zhí)行安全動(dòng)作,則攻擊和病毒仍可以通過接入交換機(jī)擴(kuò)散、傳播,從而影響網(wǎng)絡(luò)安全。為了進(jìn)一步縮小攻擊或病毒的影響范圍,敏捷交換機(jī)可以將安全動(dòng)作,如阻斷、隔離下發(fā)至接入交換機(jī)和AP設(shè)備,從接入層進(jìn)行控制,就近隔離,提升網(wǎng)絡(luò)安全事件的協(xié)同能力。

  敏捷交換機(jī)S12700/S9700/S7700作為安全信息的收集者、聯(lián)動(dòng)策略的執(zhí)行者和策略的控制者,為安全事件協(xié)同提供了中樞,保障了敏捷園區(qū)網(wǎng)絡(luò)的安全。

  以敏捷交換機(jī)為核心的網(wǎng)絡(luò)安全融合

  移動(dòng)辦公(BYOD)、Web2.0應(yīng)用的普及,使得網(wǎng)絡(luò)的安全邊界日漸模糊,越來越多的網(wǎng)絡(luò)安全事件來自局域網(wǎng)內(nèi)部,傳統(tǒng)網(wǎng)絡(luò)只在網(wǎng)絡(luò)出口或關(guān)鍵資產(chǎn)處部署安全設(shè)備的做法已經(jīng)無法提供完整的安全保障。將安全特性部署在每一個(gè)業(yè)務(wù)流和每一臺(tái)服務(wù)器中,已成為企業(yè)的必然選擇,此時(shí)安全設(shè)備已成為網(wǎng)絡(luò)基礎(chǔ)設(shè)備,需要大量部署在核心、匯聚甚至在接入層,提升了網(wǎng)絡(luò)投資成本,且使用獨(dú)立設(shè)備部署,組網(wǎng)也不夠方便靈活。

  通過敏捷交換機(jī)S12700/S9700/S7700融合安全板卡的方式,可有效提升敏捷網(wǎng)絡(luò)的業(yè)務(wù)效率,降低項(xiàng)目的總投資成本。敏捷交換機(jī)為此開發(fā)了多塊安全板卡,如NGFW板卡、IPS板卡和ASG板卡等,集成了防火墻/NAT、IPSec、GRE、URL過濾及防垃圾郵件、Anti-DDoS、AV、IPS等功能。支持超過30種威脅檢測(cè)類別,如攻擊、廣告、審計(jì)、后門程序、惡意代碼欺騙及木馬、病毒和蠕蟲等;支持近50種協(xié)議檢測(cè),如AFP、AIM、DHCP、DNS、SNMP、SOCK、SSH、TELNET和FTP等;支持近400家廠商及機(jī)構(gòu)的約1000種產(chǎn)品的威脅防護(hù);支持豐富的日志管理,如日志的存儲(chǔ)、備份和導(dǎo)出,基于IP、時(shí)間段和關(guān)鍵字的日志過濾和查詢;支持豐富的報(bào)表類型,如攻擊事件趨勢(shì)、攻擊事件排行、實(shí)時(shí)流量統(tǒng)計(jì)和大類協(xié)議排行等;配合多業(yè)務(wù)虛擬化特性,可更加簡(jiǎn)單地實(shí)現(xiàn)服務(wù)資源池化、業(yè)務(wù)編排等;同時(shí)敏捷交換機(jī)融合安全板卡的解決方案投資成本相對(duì)較低,可有效降低客戶TCO。

  敏捷交換機(jī)S12700/S9700/S7700提供的開放業(yè)務(wù)平臺(tái)OSP(Open Service Platform),其硬件是一塊基于x86架構(gòu)的板卡,通過交換網(wǎng)與交換機(jī)實(shí)現(xiàn)高速交換。可運(yùn)行Windows、SUSE和VMware操作系統(tǒng),并與業(yè)界知名廠商合作,如與CheckPoint合作IPS,與Websense合作安全網(wǎng)關(guān),以及與F5合作負(fù)載均衡等特性,為客戶提供更多的選擇。開放業(yè)務(wù)平臺(tái)提供USB接口、VGA接口和硬盤,客戶可根據(jù)需要在此硬件平臺(tái)上開發(fā)集成所需要的功能,可作為安全設(shè)備使用,也可以作為網(wǎng)管、認(rèn)證服務(wù)器使用,具有良好的可擴(kuò)展性。

  華為敏捷網(wǎng)絡(luò)架構(gòu)下的敏捷交換機(jī)S12700/S9700/S7700,為應(yīng)對(duì)有線無線融合環(huán)境下的網(wǎng)絡(luò)安全沖擊,更好地適應(yīng)敏捷網(wǎng)絡(luò)的One-switch部署模式,在集成的NGFW板卡上融合了多業(yè)務(wù)虛擬化、安全事件協(xié)同方案,極大提升了敏捷交換機(jī)在敏捷園區(qū)架構(gòu)下的安全防護(hù)能力,有效滿足客戶敏捷安全、易部署的訴求。

分享到: 收藏

專題