“安全渗透”折射企业网发展

2008-04-02 10:57:44来源：互联网阅读 ()

　“一直以来，我们不间断的投入大量的人力物力，通过在网络中增加各类安全设备，期望能够有效的提高网络的安全防御能力，抑制攻击的发生和病毒的泛滥，但现在看来，收效甚微，这正是困扰我们的问题。” 很多的企业网络的管理维护人员经常会有上述的感受。

　　如何整体提高企业网络的安全品质？如何增强企业网络的安全融合能力，变被动防范为主动防御？如何实现从单点的网络安全防御到全局的安全渗透网络的转变，提高企业网络的安全应变能力？这是每个企业网络的建设者、管理者、维护者亟待解决的难题。

　　从网络安全到安全网络

　　如果我们回忆起十年前，甚至五年前的黑客、病毒或者网络攻击者，我们会感觉他们当初的攻击手段是如此“淳朴、天真、可爱”。但十年之后的今天，一切都在改变，网络遭受攻击的频率增加，攻击的手段和病毒的泛滥趋于复杂，传统安全防范手段难以彻底的解决网络的安全隐患。尽管网络中部署了大批的安全设备，但这些部件多而庞杂，如防火墙、入侵检测系统、深度防御系统、安全网关等各组件孤军作战，同时物理安全、网络安全、数据安全、业务安全层面分离，难以有效兼顾，形成协同作战的能力，致使业务平台、网络平台、管理平台的安全策略缺乏整体性和有效性，难以形成全局的安全防御协作能力，这也就是企业网络当前面临的网络安全状况。

　　华为3Com一直关注着企业网络的建设中存在的安全需求。通过对全球企业信息化及数据通讯网络建设的充分理解，利用先进实用的数据通讯技术与全线产品的有机结合，针对行业、企业的网络建设特色需求及现状提出下一代企业网NGeN（Next Generation e-Network）的建设模式，并在NGeN架构下提出了安全渗透网络（Safe Pervasive Network，SPN）的安全网络解决思路。如上图所示。

　　NGeN是为网络界描述未来网络共同使用的一个全新概念。实际上它好像一把大伞，是基于IP分组技术而不断演进的智能、安全、可控的集成平台，以业务应用为主体，以完善的智能网络技术、立体安全技术和灵活的资源策略调度为基础，以高效管理控制为手段，面向企业用户提供端到端的高度融合的数据、语音、视频等多服务通信能力的网络实体。华为3Com公司从企业用户业务应用与网络、安全、管理的协作关系，将NGeN网络架构划分为业务应用模块、管理控制模块、自适应基础网络功能模块、立体安全模块四个组成部分。

　　华为3Com公司认为，安全并非网络固有的属性，作为一个独立的功能实体与网络相辅相成，时至今日，网络与安全走的如此之近，充分说明了两者之间的相互依赖程度之深。NGeN中的立体安全模块秉承华为3Com公司i3SAFE理念，i3SAFE从网络层次、时间和空间三个纬度，向用户提供端到端集成安全防护和安全服务，是华为3Com安全理念的集中体现，其主要由路由器、以太网交换机、IDS/IPS防火墙、网管、安全策略中心等多个网络设备、组件或技术支撑，由安全认证、访问控制、过滤检测、扫描、IDS检测、VPN、审计分析、安全策略服务管理等多方面构成完善的防护体系，彻底的实现了从网络安全到安全网络的重大转变，NGeN中的各功能模块最终将通过开放的API接口进行安全策略的联动，利用安全策略中心完成安全资源的动态调整与分配，实现了从单点布局的被动网络安全防范到立体的主动安全网络防御体系。

　　从安全网络到安全渗透网络

　　众所周知，打造安全网络不可能一步到位，恰如建造一个无法攻破的网络堡垒，整个建设过程涉及到网络实体的物理安全、网络安全、数据安全及业务安全，它需要逐步对传统网络的改造和多层面的安全渗透与融合。因此，在NGeN架构中，作为与自适应基础网络模块、管理控制模块、业务应用模块垂直交叉的立体安全模块，最终实现将以安全渗透网络（Safe Pervasive Network，SPN）为核心，通过融合设备安全联动、线路安全保护、网络安全防御、用户安全控制、数据及业务安全策略、智能安全管理等多个组件，逐步丰富与完善，向用户提供全方位、立体化的端到端的融合安全防护和安全服务。如下图所示。

　　在安全网络的建设过程中利用华为3Com的安全渗透网络技术，围绕安全策略中心为核心，在自适应基础网络的水平层面上将各类安全设备如SecPath系列防火墙、SecEngine IDS/IPS入侵监测系统、SecBlade及路由交换等各类网络设备的进行深层联动，实现线速的安全联动，当基础网络中任一设备遭受黑客攻击或病毒感染时，均可快速作出反映，通过安全策略调用，实现实时安全防御，保护基础网络的纯洁性与可用性；在NGeN的垂直层面上通过开放的API接口实现安全网络模块与管理控制模块、业务应用模块的的交叉渗透，配合线速安全联动、端点准入防御（Endpoint Admission Defense， EAD）、VLAN、IP VPN、MPLS VPN等安全技术，实现多层面的深度安全策略规划、部署，逐步渗透到NGeN的自适应基础网络、管理控制和业务应用等每个层面。无论是企业网络内外的业务驱动，还是对应网络内外的攻击和病毒泛滥，均可实时获得最新的安全策略更新，进行迅速的安全验证和防御，真正实现了从被动的单点安全防范到全局的主动全局安全渗透防御。

　　网络与安全的渗透与融合

　　网络中安全策略的部署很难一劳永逸，也不可能实现一招致命之绝技，恰如“流水不腐，户枢不蠹”道理一样，安全网络策略的部署与实现，需要一个渐进的过程，只有通过不断向网络中渗透最新、最及时的安全元素，动态而又准确地生成高效的安全策略，才能够及时准确地对网络中的安全威胁和病毒感染进行快速反应，真正做到网络与安全要素的长期渗透和最终的融合。