网络安全一体化解决方案

　　在网络安全融合的趋势下，市场上融合了安全功能的交换机、路由器越来越多。如何选择、规划以及部署一体化的网络安全解决方案？

　　企业网络中的安全解决方案基本分为五大类：边界防护、内网控制、数据中心保护、远程安全接入和员工行为监管。在这些解决方案中，网络安全一体化应用最多是数据中心保护和边界防护。

图1：数据中心核心交换与安全融合方案示意图

　　如上图所示，某用户数据中心通过部署网络安全融合方案，通过安全插卡的方式在一台核心交换机中完成了安全功能部署，从而取代了过去像“串糖葫芦”似的串联部署在网络中的大量安全设备（比如防火墙、IPS、LB、流量清洗设备等）。从交换机任何一个端口进来的数据，都会通过背板和内部高速接口进入这些安全插卡进行分析和过滤，保证最终从出端口转发出去的数据流将是干净的、安全的、可靠的。由于各板卡之间都是通过内部数十GE的高速接口处理，转发效率要远远高于过去多个安全设备之间的交互方式。因此，网络安全融合后的一体化方案不仅降低了设备数量，减少了网络的故障点和部署与维护成本，同时提升了数据交互的效率。

　　网络安全的融合方案已经在众多大型企业数据中心得到广泛应用，如太钢集团、兴业银行等部署了H3C网络安全一体化解决方案。

　　网络边界防护类似，可以在出口核心交换机上部署防火墙板卡、入侵检测板卡和行为审计等板卡，简化网络出口结构，提高数据转发效率。

　　网络安全融合的最佳选择

　　经过多年的发展，安全设备逐渐由“神秘的黑盒子”转变为标准化的硬件产品。很多芯片公司推出了集成式的防火墙芯片，最新的防火墙产品也开始使用标准的ASIC交换芯片。核心硬件的标准化，为网络设备中集成安全功能的快速普及提供了基础。

　　面对标准化的硬件设备，作为安全产品的使用者，客户最需要关注的应该是产品的产量（商用化程度）、质量（包括厂家的服务质量）和生命周期（厂家的研发实力和持续发展能力），这需要设备厂商在研发、可持续发展以及产品的商用化程度等方面具有很强的实力,而这是能够提供完整解决方案的大型网络设备公司（如Cisco、Juniper、H3C等）才能具备的，。

　　另外，从技术发展趋势看，未来对核心设备最基本的要求可能就是4-7层交换机，安全功能所需要的庞大的状态表可以借助TCAM、多层HASH等现在应用在核心网络设备上的技术去查询，而现在网络设备基于MAC、IP地址转发的机制也许可以增加类似安全设备处理机制中的基于协议类型、基于状态信息来转发。这种技术层面深度融合的前提是对网络和安全都有很深的理解，这同样是具备完整解决方案能力的网络设备公司的绝对长处。

　　所以说，主流网络厂商提供的网络安全一体化解决方案是用户的最佳选择。

　　融合并非一蹴而就

　　虽然网络安全融合是大势所趋，但是专门的安全产品在目前依然不可或缺。比如UTM（即统一威胁管理）。

　　UTM是多种安全功能融合之后的设备。相信在几年之后，这个概念会再往前走一步，因为UTM和三层交换的融合、UTM和高性能路由器的融合也将成为趋势，并且成功的可能性会更大。目前，UTM最大的障碍在于多功能和高性能的互斥，如果放到一个高性能交换路由设备上去考虑，也许这些就不再是问题。唯一可能存在的应该是成本问题，而元器件的持续降价以及集成功能带来的机会成本降低都将有助于解决这个问题。在成本合理的情况下，这种设备无疑是未来网络建设的首选产品。

　　但是，要实现这种融合仍然需要一段时间，尤其是在网络的边缘与接入层。因为这类设备需要在边缘大量部署，在专用芯片的成本没有降到一定程度的情况下，可能还是网络设备和安全设备分别采购成本更低。

　　在目前网络安全还未完全融合的情况下，需要对安全盒式设备和安全插卡的选择有清晰认识。下表为了这两类产品的市场定位区别：

　　结束语

　　安全问题层出不穷，攻击威胁花样翻新，这需要设备厂商对安全技术和产品不断研究，持续创新。网络安全融合将是大势所趋，并必然成为近几年数据通信业界的热门话题以及发展方向。