信息化程度的高速发展,使当今园区网络建设所面临的挑战可谓越来越多。网络安全、智能、管理、控制等方面的问题被广泛关注,园区网进入了基于智能的多种技术融合阶段,尤其是智能集成安全的能力。
园区网络的发展经历了从追求带宽,强调信息畅通到当前因为病毒泛滥、黑客横行而限制应用,实施安全隔离和接入认证的阶段。这种补丁式的网络建设导致了网络中的安全系统、接入认证系统、基础网络系统等各部分独立操作,缺乏联动,头痛医头,脚痛医脚。构建智能和谐园区网络从根本上解决了以上问题,
一、园区网需要构建一个“和谐网络”
信息化程度的高速发展,使当今园区网络建设所面临的挑战可谓越来越多。而园区网建设虽然是基于以太网技术应用为主,依据园区网建设关注的重点不同,也可以用三个阶段来清晰的划分。第一个阶段,发生在90年代末之前,组建园区网大多数只是为了解决必要的资源共享、信息互联,以百兆以太网技术为主。第二阶段约从1999年开始,信息化发展迅速,千兆以太网技术进入商用阶段,网络核心带宽、传输距离经常成为园区网建设的核心问题,一些园区网开始大量采用千兆带宽提高传输效率。从千兆骨干建设到千兆到桌面的普及,让园区网能满足更多应用实现更广阔的互联,同时园区网的设备智能化带来业务承载能力的极大提升成为当时的主流。第三阶段,约从2003年开始,园区网络普及率较高、应用多元化发展,万兆技术逐步成为建网主流,但是同时网络病毒传播的速度、盗用等问题对应用带来的危害变得更加突出。因此该阶段,园区网的安全、智能、管理、控制等方面的问题被广泛关注,园区网进入了基于智能上的多种技术融合阶段,尤其是智能集成安全的能力。
图1 搭积木式建网模式普遍存在
园区网在经历了上面几个阶段的建设之后,出现了一些普遍存在的现象。基础网络、安全、管理、控制等网络系统部件分散在不同阶段完成,各部分运行相对独立、关联性不强、抗风险能力差,就像积木一样。(见图1)网络中出口防火墙能预防外网威胁,但网络其它部件无法预防内部的病毒威胁。管理能针对网络设备但不能针对用户主机。控制用户接入只能确定账号合法,但不知使用合法账号的PC终端是否安全。P2P应用已经耗尽了网络资源,但没有监控和改善的措施。这样的网络系统有很多的漏洞经常被侵袭。之后为了消除这些漏洞,也出现了以限制应用来强化安全的网络策略,结果促成许多信息孤岛、影响关键业务协同、数据资源不同步等现象。
可见,为了改善某个突出的问题而牺牲网络畅通或网络安全中的任何一个功能,都对网络中的应用带来影响,直接导致信息化发展受阻。那么有没有一种良策,从根本上来解决这些问题呢?仅仅靠单方面对性能或安全的提高,或者相对分散的建网都无法充分满足长远发展的需要。因此,解决看似矛盾的安全隔离和信息畅通这个综合性的问题,我们需要规划一个更为完善的网络,她应当是一个畅通的网络、一个安全的网络、一个有序的网络、一个可持续发展的网络,这就是和谐网络。(见图2)
图2 什么是“和谐网络”
二、什么才是“和谐网络”
1、全面均衡,不偏废、不失控
首先“和谐网络”是在一个完善的体系架构基础上展开,不是特指基础网络、应用服务、安全防御或管理控制,而强调的是各功能、各部件等必要的组成部分均衡存在,而非单一强化或缺少某个局部。(见图3)
图3 全面均衡,系统架构完善
“和谐网络”解决方案中有完善的业务功能体系组成,包括了业务智能感知、异常实时分析、控制动态执行。其中业务感知中又容纳人员身份管理、终端主机安全管理、接入控制,在异常实时分析中容纳了异常流量状态分析、病毒特征分析、网络设备控制,在控制动态执行过程中容纳了过滤、限制、隔离、响应、恢复等等这些更为具体功能组成。同时,“和谐网络”也具备全面的系统部件组成,包括了应用支撑部分、网络关口、网络承载部分、网络接入控制部分。其中,应用支撑部分又包括认证鉴权服务器、入侵检测分析(IDS)、入侵保护策略生成(IPS)、安全应急策略下发与恢复等网络管理、安全管理相关支撑服务器;网络关口包含了多功能NP防火墙、路由器等网关设备;网络承载部分包含可内置防火墙的核心交换机、汇聚交换机、路由器等网络设备;网络接入控制部分包含接入控制交换机、安全接入控制(SAC)客户端。
图4 面对威胁,是整体的协同防御
2、是整体协同、不是各自为战
其次,“和谐网络”面对威胁,各部分应是整体的协同防御,非各自为战状态(见图4)。各自为战的网络因为缺乏关联、缺乏联动,而导致无法实现连锁防御,这主要体现在网络、用户、业务只是各自保护、通常预防只能是局部行为而非全局有效、任何异常故障可能都需要借助人为分析和判断后才能加以控制,在这种情形下安全隔离与信息互通很容易成为一种矛盾。整体的协同防御则表现在无需人员干预,网络系统就能动态生成必要的防御策略来消除威胁,这个过程需要应用支撑部分、网络关口、网络承载部分、接入控制部分相互之间能通过信息联动来实现。其中,交换机与IDS联动、防火墙与IDS联动、交换机与IPS联动、认证服务器和交换机联动、IPS与认证服系统联动等等,这些都是“和谐网络”面对威胁整体协同的具体行为表现。
3、快速响应、迅速恢复
第三,“和谐网络”应有快速响应和迅速恢复的能力(见图5)。与解决已经发生的问题一样,对待网络异常响应与恢复异常的过程都是在相对被动的状态下进行的。如果响应速度不够快或恢复的速度不快,都容易使网络陷入更大的被动。快速的响应需要有更密切的联动作为基础,能对所有接入网络的用户具备精确的反向追踪,并能在支撑系统上快速的分析异常结果。快速的恢复速度则是要通过应用支撑系统生成并下发更直接有效的网络控制策略解决异常状况。在快速响应和迅速恢复的流程中形成一个快速的循环过程,其顺序依次是:网络系统正常运转→出现异常被网络感知发生异常的具体位置→应用支撑系统动态诊断异常原因→生成有效的控制策略下发网络设备执行→网络设备执行新策略后网络再次恢复正常运转。
图5 快速响应,迅速恢复的防御体系
4、应用为本,安全、性能兼顾
在汽车制造的百年历史上,追求性能、追求安全都是以应用为本。网络也是一样,只强调性能、效率或安全都不能创造最佳的应用环境,因此网络也是以应用为根本(见图6)。正因如此,“和谐网络”中所提供的交换机、路由器都在高性能的基础上考虑安全,防火墙则在安全的基础上强化性能。交换机可内置防火墙、路由器内置硬件ACL过滤、防火墙使用NP作为核心架构是应用为本,安全、性能兼顾在技术方面的具体表现。
但与汽车应用不同的是,网络的应用更加多元化,有一些像P2P、多进程传输等应用虽然不是非法的,但对网络的威胁越来越大,这是由于应用的发展速度远远超过网络的发展速度而导致。如果以应用为本似乎不该禁止这些P2P应用,但如果成为影响其它的应用的罪魁祸首似乎不得不禁止。在“和谐网络”中,网络承载部分和接入控制部分,是通过对P2P多进程传输加以必要的限制,在不禁止这些应用的前提下保障其它应用的正常运行为根本。这些具体表现在接入交换机、汇聚交换机、防火墙等部件上,提供了对每个接入园区网用户P2P等应用的限速。
图6 应用为本,安全、性能兼顾
图7 主动与被动相结合,促进系统有序化
5、被动与主动相结合,促进系统有序化
如果网络只是被动防御,只要是有合法账号的终端主机都可以接入网络。接入网络的终端PC是否安全,有没有漏洞或有没有病毒无人管理。这样的网络无法主动避免病毒大量侵袭,经常会陷入在无序的运行状态。不难想像,如果仅仅只是核实乘飞机人员的身份而不进行安检,后果将会如何?
因此,“和谐网络”并不能只停留在被动防御中,也要结合接入控制主动的对接入网络的主机进行必要的安全检察,只有合法身份+安全无漏洞的终端主机才能接入网络。对不安全的主机系统将提供补丁升级路径,直到变为安全主机后才允许进入网络(见图7)。这样一个有序的网络,发生异常的因素会被充分压缩,进入网络的终端以及网络本身对旧病毒的威胁已经免疫。当再出现新的病毒或异常时,也有完善的被动防御机制对网络异常进行迅速恢复。所以,只有主动、被动相结合,才能促进整体网络系统的有序化发展。
凡事“预则立,不预则废”,网络的建设也是如此。港湾“和谐网络”的理念的提出正是总结了当前园区网建设过程中的宝贵经验,对当前智能网络建设的基础上的实质性的提升。通过对于建网思路中各种要素的对立和统一,应用了中国古老智慧的和谐之道来解决。同时港湾“和谐网络”架构的提出给出了园区网建设的可实施方案,同时给园区网的建设规划了一个蓝图,帮助网络建设者在网络建设之前做好充分的考虑,为建设“以用为本的聪明网络”打下坚实的基础。 (见图8)