安全插卡,讓網(wǎng)絡(luò)“如虎添翼”

1、安全插卡，讓網(wǎng)絡(luò)“如虎添翼”隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在的網(wǎng)絡(luò)應(yīng)用早已從最初的郵件收發(fā)、即時(shí)通信演變成各種各樣的 數(shù)字娛樂、電子商務(wù)大行其道，隨之而來的就是各種網(wǎng)絡(luò)問題的層出不窮。如近年出現(xiàn)的熊 貓燒香等病毒的泛濫、艷照門事件以及不斷爆發(fā)的門戶網(wǎng)站被攻擊事件等。上述種種事件都 說明，現(xiàn)在的網(wǎng)絡(luò)安全面臨著病毒更毒，黑客更黑。不僅僅是各種DDoS攻擊、間諜軟件、 網(wǎng)游木馬、流氓軟件、病毒郵件在不斷肆虐，還有性質(zhì)極為嚴(yán)重的網(wǎng)絡(luò)銀行釣魚和針對(duì)性很 強(qiáng)的木馬、蠕蟲病毒的不斷出現(xiàn)。因此，如何保證網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為網(wǎng)絡(luò)管理人員 最為頭痛和最為棘手的問題。可以肯定的說，目前用戶對(duì)于網(wǎng)絡(luò)服務(wù)的要求已經(jīng)大大提高

2、了，不但要求滿足大流量的數(shù)據(jù) 傳輸，還要求網(wǎng)絡(luò)不能出現(xiàn)中斷或故障。要想把安全技術(shù)融于網(wǎng)絡(luò)，安全技術(shù)必須和高速的 網(wǎng)絡(luò)設(shè)施相匹配；同時(shí)，還要簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，?jiǎn)化對(duì)網(wǎng)絡(luò)的管理，方便網(wǎng)絡(luò)用戶的使用，以 確保應(yīng)用和互聯(lián)的網(wǎng)絡(luò)安全。安全命脈在“四接口”通過近幾年對(duì)網(wǎng)絡(luò)安全的研究，我們不難發(fā)現(xiàn)，網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)問題，歸結(jié)起來主要在 四個(gè)環(huán)節(jié)上：一、內(nèi)部網(wǎng)絡(luò)與外界的接口，如通過Internet的互聯(lián)，在接入口處從外面引入的安全網(wǎng) 絡(luò)風(fēng)險(xiǎn)問題；二、在內(nèi)網(wǎng)各節(jié)點(diǎn)之間的互聯(lián)，容易造成區(qū)域的安全風(fēng)險(xiǎn)問題；三、通過WLAN、VPN等多種非傳統(tǒng)接入手段，接入到內(nèi)部網(wǎng)絡(luò)中所帶來的安全風(fēng)險(xiǎn)問題。四、關(guān)鍵的數(shù)據(jù)中心或服務(wù)器區(qū)，容

3、易遭受到有目的的攻擊。當(dāng)然，網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)問題不止這些，還有像安全接入、安全隔離、安全過濾和安全 管理等方面的問題。對(duì)于進(jìn)入萬兆時(shí)代的網(wǎng)絡(luò)應(yīng)用而言，如何規(guī)避這些來自安全的風(fēng)險(xiǎn)，無 疑是一種挑戰(zhàn)?！翱ā弊『诵慕粨Q的安全在內(nèi)部網(wǎng)絡(luò)中，普遍都是通過使用高性能交換機(jī)來實(shí)現(xiàn)互聯(lián)互通。盡管如此，有了交換 機(jī)的高性能，也不能確保網(wǎng)絡(luò)沒有安全風(fēng)險(xiǎn)的存在。內(nèi)部網(wǎng)絡(luò)需要安全的接入和安全的防護(hù)。 那么，如何在高性能的網(wǎng)絡(luò)中，嵌入并融合安全技術(shù)，這是一個(gè)熱門課題。對(duì)于這個(gè)課題，各家都有不同的解決之道。H3C基于多年來在網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品研發(fā)方 面的深厚積累和先進(jìn)技術(shù)，創(chuàng)新性的在高性能的萬兆核心交換機(jī)中推出了包括FW

4、插卡、IPS 插卡、SSL VPN等7種業(yè)務(wù)插卡。所有SecBlade插卡均可以部署在H3C的中高端系列交換 機(jī)中，在網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上實(shí)現(xiàn)高性能的安全保障。在高性能的萬兆核心交換機(jī)中直接嵌入SecBlade安全模塊的做法，這對(duì)于H3C來說，不僅 是一種安全理念，更是從核心交換就實(shí)施安全措施的一種創(chuàng)新。創(chuàng)新之處在于：要想把安全 技術(shù)融于網(wǎng)絡(luò)，安全技術(shù)必須和高速的網(wǎng)絡(luò)設(shè)備相匹配；同時(shí)，還要簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，?jiǎn)化對(duì) 網(wǎng)絡(luò)的管理，方便網(wǎng)絡(luò)用戶的使用，以確保應(yīng)用和互聯(lián)的網(wǎng)絡(luò)安全。安全插卡的六大特性l高性能所有的H3C SecBlade業(yè)務(wù)模塊都采用了業(yè)界最領(lǐng)先的多核CPU+ASIC+FPGA的高性能硬件 架構(gòu)

5、。這種分布式的硬件架構(gòu)保證了所有的業(yè)務(wù)能在第一時(shí)間進(jìn)行并行處理。對(duì)于現(xiàn)在大量 的應(yīng)用層安全攻擊，由于需要進(jìn)行深入的報(bào)文分析，只有這種多核CPU的硬件架構(gòu)才能真 正實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的實(shí)時(shí)處理，不會(huì)造成傳輸延遲。除此之外，由于交換機(jī)對(duì)數(shù)據(jù)報(bào)文采用分布式轉(zhuǎn)發(fā)的模式，這樣SecBlade插卡就能巧妙地 利用H3C高端交換機(jī)的背板總線技術(shù)，確保安全插卡也能實(shí)現(xiàn)與萬兆網(wǎng)絡(luò)設(shè)備的無縫對(duì)接。l高可靠性基于交換機(jī)的無阻塞技術(shù)，各種插卡通過背板總線進(jìn)行數(shù)據(jù)交換。任何一塊插卡出現(xiàn)故障， 通過H3C專利的ACFP技術(shù)，能夠確保流量都會(huì)自動(dòng)避開它，通過Bypass方式保證業(yè)務(wù)正 常運(yùn)行。由于SecBlade插卡是部署在交

6、換機(jī)上。而交換機(jī)的各種關(guān)鍵部件，包括電源、引擎、接口 板、業(yè)務(wù)板等都可以冗余部署，這就大大提高了整體的可靠性。當(dāng)所有的關(guān)鍵部件都進(jìn)行冗 余部署的時(shí)候，實(shí)際上就是兩臺(tái)設(shè)備在同時(shí)工作，并可以進(jìn)行負(fù)載分擔(dān)。此外，由于所有的插卡都可以進(jìn)行熱插拔，這也大大降低出現(xiàn)故障時(shí)更換設(shè)備的時(shí)間。l易擴(kuò)展SecBlade插卡可以插到高端交換機(jī)的任何業(yè)務(wù)槽位上，通過插卡數(shù)量的擴(kuò)展可以實(shí)現(xiàn)總 體處理性能數(shù)倍的提升，組成多功能、高密度、高安全的核心交換機(jī)。此外，多種SecBlade插卡的組合使用，可以實(shí)現(xiàn)安全交換機(jī)的模塊化設(shè)計(jì)。用戶可以 根據(jù)需求任意選擇所需的業(yè)務(wù)模塊，實(shí)現(xiàn)安全功能的平滑升級(jí)。l方便的管理和配置在SecB

7、lade插卡上，單獨(dú)有外帶的網(wǎng)絡(luò)管理口和串口（Console），可以通過Web界面實(shí)現(xiàn) 對(duì)SecBlade插卡的管理和配置，也可以通過網(wǎng)口接入到交換機(jī)的網(wǎng)管系統(tǒng)，利用網(wǎng)管軟件 實(shí)現(xiàn)對(duì)SecBlade的配置。每個(gè)SecBlade插卡的安全日志信息也能統(tǒng)一上報(bào)給H3C的安全管理平臺(tái)SecCenter。通過SecCenter的統(tǒng)一安全信息收集和篩選，提取相關(guān)的關(guān)聯(lián)信息，然后進(jìn)行統(tǒng)一管理，真正做到安全聯(lián)動(dòng)。l無限的接口相對(duì)一般盒式安全設(shè)備只能提供數(shù)量很少的接口而言，SecBlade插卡可提供無限制的接口， 這是因?yàn)榻粨Q機(jī)中所有接口的數(shù)據(jù)都可以轉(zhuǎn)發(fā)到SecBlade插卡上進(jìn)行處理。同時(shí)，通過插 卡的虛擬化技術(shù)，可以將同一塊物理業(yè)務(wù)板卡在邏輯上劃分為相互獨(dú)立的多個(gè)板卡，每個(gè)邏 輯板卡擁有完全獨(dú)立的資源和策略。而且，除了普通的以太網(wǎng)電口和光口外，基于交換機(jī) SecBlade插卡，還可以實(shí)現(xiàn)與各種POS接口、ATM接口、E1/T1 口等其他接口進(jìn)行對(duì)接。l豐富的功能目前H3C的SecBlade插卡包括萬兆防火墻模塊、IPS入侵防御模塊、LB負(fù)載均衡模塊、 NetStream網(wǎng)絡(luò)流量分析模塊、SSL VPN模塊、ACG應(yīng)用控制網(wǎng)關(guān)業(yè)務(wù)模塊以及AFC流量 清洗模塊等。這些插卡不但覆蓋了從遠(yuǎn)程安全接入、專業(yè)DDoS攻擊防御、2