H3C解读万兆IT时代安全

随着万兆网络从最初的市场培育期迈入了应用的高速发展期，用户在一片“风光”的背后，也不得不面临着迎来了安全问题带来的“双刃剑”，无处不在的安全威胁将万兆IT应用推入了“内忧外患”的尴尬境地。

我们知道，万兆以太网带来的不仅仅是简单的网络速度的提升，更重要的是为应用开拓了更为广阔的空间。随着万兆网络的使用与普及，人们对于网络的应用需求无论从外延和内涵上，都有了新的内容，而所面临的网络安全威胁也日新月异。如果处理不当，轻者会影响到整体网络的服务质量，更有甚者，会造成网络瘫痪、应用中止、业务停顿等灾难性后果。这样一来，用户对万兆网络的信心也会大打折扣，从某种意义上来说，就是万兆网络发展道路上的一颗巨大“绊脚石”，能否加以解决，已经成为万兆IT能否为继的重要一环。

万兆网络安全的现实问题

事实上，目前安全应用领域存在着一些亟待解决的实际问题。

一方面，许多用户的安全设备性能还停留在千兆阶段，市场上高性能的安全设备种类也相对较少，安全产品本身的带宽和处理性能不足成为整个网络的性能瓶颈。为了保障关键业务点的正常运行，有些用户不得不牺牲网络的高性能以确保安全。

另一方面，用户的安全意识也有待进一步提升。当前的网络安全，已经不再是单一手段、单一设备能够解决，需要整体着眼，从核心到汇聚，从终端到桌面，层层部署，面面俱到。有些用户认为，依靠防火墙/网关设备以及防病毒软件等手段，就可以应对网络安全问题。而实际上，在先进的网络环境下，安全威胁来自于网络的各个层面，如不加以解决，将给用户的网络带来无处不在的风险。

网络安全领域存在的另一个实际问题还在于，目前网络安全厂商众多，然而实力参差不齐。一些厂商的产品与解决方案无论从性能、完整性、策略甚至理念上，与业内领导厂商之间存在着不小的差距，更无从期待这些厂商能引导用户的安全建设向“更快、更高、更强”的方向发展。这从另一个角度上也影响了万兆时代安全的前进脚步。

要解决这些问题，H3C认为，需要从以下几个方面着手来进行。

提高设备性能

首先，随着万兆带宽给网络传输效率带来的跳跃式前进，越来越多的视频、语音等多媒体数据在网络上传输，网络安全设备需要对流量进行更深入、更全面的分析。如若安全设备的处理速度低于网络数据的传输速度，就会成为整体网络的性能瓶颈。因此，万兆网络普及发展过程中，与之相匹配的高性能安全设备是必备基础设施之一。

作为在网络安全领域占据领先位置的重要厂商，H3C认为，万兆时代的安全面临的性能挑战，从低端防护到高端核心防护，从接入到汇聚、数据中心、核心骨干、城域网，等等，都需要高性能的设备来保障。

在安全设备性能方面的改进，是H3C这几年的研发重点。在防火墙、IPS等基础安全组件上，H3C推出了40G超万兆防火墙SecPath F5000-A5、入侵防御系统产品SecPath T5000-S3、应用控制网关ACG8800-S3等多款高性能产品。这些产品的性能，足以满足大型企业、运营商和数据中心网络高性能的安全防护需求。

H3C强调，产品要做到高性能，就必须要有专业硬件平台。从早期的基于X86通用处理器的架构，到后来的NP架构，FPGA架构以及ASIC架构等，其优缺点各异。经过多方测试、选型，具备良好的业务扩展能力、软件编程可继承性、高性能并行处理的多核硬件平台成为新形势下安全网关硬件平台发展的首选。

安全需要端到端

在解决了网络安全单点性能瓶颈问题之后，要保证万兆IT的整体安全，H3C认为，需要从边界防护到整网防护，真正实现端到端的安全防护。

网络安全体系是一个层次复杂、涉及面非常广的系统，要想真正发挥安全体系的最大效能，必须从整体出发，将安全覆盖到每个环节。分布式理念的应用为安全建设带来了新思路：通过将安全控制延伸到每一个终端节点，采用端点控制和分层安全过滤技术，降低安全事件集中爆发的隐患和风险。

H3C创新性地将“分布式理念”应用到安全建设中，在网络架构和硬件架构上成功地解决整网安全的超万兆性能需求：通过分布式网络架构将安全特性渗透到网络各级节点，分散安全性能压力（从核心到边缘）；通过分布式硬件架构实现超万兆安全处理平台，保证关键汇聚节点超万兆线速安全处理能力。

H3C还将安全控制延伸到每一个终端节点，采用端点接入控制和分层安全过滤技术，不仅解决了安全事件集中爆发的隐患和风险，而且将原有独立、分散的计算、通信和存储资源变成一个整体，每一个节点的性能提升，都将会提升整网安全性能。

基础到应用，全面防护

对于万兆IT时代的安全来说，各种业务的爆炸式增长，更多安全威胁不是来自网络外部，而是隐藏在用户IT网络的各个角落，因此，H3C认为，从基础防护到应用防护，实现全面七层防护，是必不可少的手段。

目前，H3C已成为全球安全产品系列最全的厂家之一，不仅涵盖防火墙、IPS、UTM等硬件设备，更推出了针对4~7层的安全处理设备，如应用加速、广域网优化、负载均衡、网络审计、流量监控分析等多种设备，帮助用户将闲置的网络资产盘活，实现网络资源的优化，让整个体系源于安全，但又高于安全。

此外，安全产品必须保证专业的安全防护能力。由于安全技术点多而且相对分散，针对单个功能点也有基于开源代码的实现和专业化厂商的实现。单纯的仅仅依靠单厂商的力量无法兼顾到各项技术的完美实现。H3C提出OAA开放应用架构，通过开放合作，与业界知名厂商建立广泛合作，为用户提供业界最顶级的解决方案是最为合理的选择。

H3C同时还强调，在万兆网络高效、快速的发展趋势下，整体安全防护与管理的复杂性不断上升，网络作为整个社会的基础设备，人们对于网络的可管理性需求越来越高，因此构建一个简化的安全管理机制与安全策略显得尤为重要。好的网络安全设备能够简化统一管理，从而减少维护人员的工作量，否则，用户不仅需要专门的人员对安全设备进行管理，给企业造成成本上的负担，而且企业的整体网络安全得不到保障。

创新铺就万兆安全之路

面对万兆网络安全的双刃剑，杭州华三通信技术有限公司（以下简称H3C）充分了解市场对网络安全的需求，从为用户构建一个高效、可用、智能的安全网络的角度出发，创新性地提出了以“万全之策”为核心的网络安全建设方法。该方法是在高性能的网络安全架构上，以先进的产品和技术为用户提供完整的端到端安全解决方案，并通过应用优化与加速提高网络效率，实现真正灵活、可定制的网络安全策略。

从产品层面上来看，H3C在iSPN（intelligent Safe Pervasive Network,智能安全渗透网络）核心战略指引下，逐步形成了覆盖计算安全、通信安全及数据安全的的端到端安全解决方案，并推出包括防火墙、UTM、IPS、应用加速、应用控制、端点准入防御、安全咨询预评估以及安全管理中心在内的业界最完整安全产品线，助用户更好地应对万兆网络时代的安全问题。

H3C在安全领域取得的成绩，从根本上来说得益于一直以来的不断创新。而在万兆IT时代乃至未来的安全发展问题上，H3C同样也开展了前瞻性的探索。

H3C认为，融合的万兆安全网络将会是未来的必然趋势。在这个趋势中，安全防护能力融合进网络设备、安全防护能力渗透进网络路径、安全组件之间具备完备协作能力，是最为明显的三个特点。只有安全和网络融合到一起，才能真正解决用户所面临的问题。

而围绕着这一点，H3C也将继续努力，一如既往，不断创新，推出更高端、更专业的安全产品与解决方案，迎接万兆网络安全时代的全面到来。