“华三天机”有何天机？

“一体机”在IT基础设施构建中越来越流行，例如超融合一体机、大数据一体机、数据库一体机等产品逐渐推向市场，并受到企业用户的欢迎。因为这种软硬一体化的IT基础设施，融合了多种IT设备类型及软件等，降低了企业的采购成本，并在管理、配置简便性上表现出了极大的优势。

借鉴这种模式，如今华三通信在安全领域也推出了安全一体化交付平台——“华三天机”，这是业内首款安全一体化交付平台。此前，华三曾推出UIS统一基础架构系统，华三天机和UIS的设计研发理念不谋而合。

华三天机系统承载了多类型功能，例如防火墙、负载均衡、Web安全防护、Web安全审计、数据库审计、防病毒等，这也是其所强调的实现“一框即安全”。设备内置安全管理单元——包括策略管理中心和威胁情报中心；安全检测单元——包括风险评估和审计系统；安全业务单元——以H3C安全旗舰产品M9000及NFV为代表的各类安全产品。

引入服务链 华三天机不是安全功能打包

先来说安全业务单元，“一框即安全”也就是华三天机集成了如此多安全设备和功能，你也许认为它是不是将多种安全设备“堆”在了一起？华三通信安全产品部部长李彦宾则强调华三天机不是安全功能的简单打包。

为什么这么说？

关键答案就是在这个天机内华三创建了基于服务链（Service Chain）的安全业务资源池，服务链是在云和虚拟化领域越来越热的一个词。

在虚拟化技术的支撑下，将防火墙、入侵防御等功能分别划分为独立自适应的安全服务节点，数据报文按照需求与策略，分别经过这些节点，进而到达目的地。安全服务链理念的引入，不仅使得“华三天机”系统能够做到安全事件及处理过程之间的独立，并保证高效率的资源应用，同时，这也使得安全防御更加注重应用本身的安全，消除无边界网络的安全隐患。

通过虚拟化技术将各类软、硬件安全网关进行池化处理，以安全网关的能力集为依据构建不同的安全能力资源池，根据业务部署层的安全资源申请要求动态分配对应的安全资源。被分配的安全资源作为安全服务策略的承载者动态部署于应用与访问者之间，根据租户配置的安全策略执行对应的安全业务逻辑。

通过服务链技术的应用，将安全资源的物理部署位置与服务能力解耦，使集中部署的安全能力得以按需交付。

在华三看来，基于服务链的安全业务资源池的引入，使得自动化的设备与功能联动防御成为可能。这意味着，检测到入侵后，“华三天机”系统可以自动驱动防火墙限制对方连接，并同时启动ACG和IPS限制应用和流量。这个应用场景看似简单，却是多少年来在网络安全业界一直未能完成的一个重要课题。

当然，在这天机内，不只存在华三自身的安全设备和应用，华三天机还吸纳和集成第三方的硬件软件应用等，从而融合业内优秀的安全能力。

华三通信副总裁孙德和表示，“有了设备层的大安全，运用虚拟化技术，然后把这些设备去抽象提炼出一些安全的元素或组件。再通过SDN技术的管控，进行资源的集中和再分配，最终形成安全即服务。”

一体化交付 破除复杂安全部署

除了安全业务单元，华三天机还包括另外两大核心，安全管理单元和安全检测单元。安全管理单元包括策略管理中心及管控系统，实现全网安全资源统一部署及策略管理，并支持各类终端、网络及安全设备联动控制，让安全成为一种按需定制的服务；安全检测单元基于国家等级保护标准，针对核心业务、资产提供三级等保的包括配置核查、风险评估和威胁预警在内的全面合规评估分析。

李彦宾表示，华三天机三大核心的融合，把很多安全能力进行集中业务体现和集中安全管控，再把安全能力做成系统化，从而为能够为客户快速交互业务。

例如，在一个临时的项目中，像一个月前的世界互联网大会，在这个大规模和高安全级别的会议中，如果还需要按传统方法搭建架构和部署安全产品，显然费时费力。如果让华三天机来保障各系统安全性，一体化的交付模式则变得简单了许多。

虽然现在是华三天机1.0版，2016年华三会将安全大数据平台的应用加入进来。正如孙德和所说，“安全大数据是要为最终安全风险分析服务的，在加入大数据平台之后，我们会与云第三方的云和安全能力进行共享，比如共享国家信息中心等国家级单位的分析结果等。”

安全能力共享正符合业界发展的趋势和用户的需求，想必，那时的华三天机定堪当大任！