隨著IT基礎(chǔ)架構(gòu)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的發(fā)展和變化，傳統(tǒng)園區(qū)網(wǎng)絡(luò)的安全防護(hù)手段和思路面臨著諸多挑戰(zhàn)。首先，傳統(tǒng)園區(qū)網(wǎng)往往會(huì)為每個(gè)業(yè)務(wù)建設(shè)一張獨(dú)立的物理網(wǎng)絡(luò)，但是在新一代園區(qū)網(wǎng)中業(yè)務(wù)種類越來(lái)越多，傳統(tǒng)的建設(shè)模式會(huì)使得網(wǎng)絡(luò)運(yùn)維管理非常復(fù)雜，也不利于網(wǎng)絡(luò)資源的有效利用。然后，傳統(tǒng)園區(qū)網(wǎng)中的安全設(shè)備都是零散分布在區(qū)域邊界，性能瓶頸、單點(diǎn)故障、信息孤島等問(wèn)題也困擾著網(wǎng)絡(luò)運(yùn)維人員。最后，新一代園區(qū)網(wǎng)絡(luò)中移動(dòng)終端種類和數(shù)量越來(lái)越多，任何一個(gè)終端設(shè)備都有可能成為入侵整個(gè)園區(qū)網(wǎng)絡(luò)的跳板。

傳統(tǒng)園區(qū)網(wǎng)的諸多挑戰(zhàn)對(duì)新的安全解決方案提出了迫切需求。新一代園區(qū)網(wǎng)安全解決方案應(yīng)運(yùn)而生，為用戶帶來(lái)立體化、智能化的安全解決方案。

方案優(yōu)勢(shì)

1.虛擬化園區(qū)網(wǎng)絡(luò)架構(gòu)

通過(guò)獨(dú)創(chuàng)的IRF2技術(shù)將園區(qū)網(wǎng)絡(luò)的接入層，匯聚層與核心層設(shè)備各自進(jìn)行橫向虛擬化，將多臺(tái)冗余設(shè)備虛擬化為單臺(tái)邏輯設(shè)備，形成一個(gè)網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點(diǎn)。橫向虛擬化完成以后通過(guò)鏈路捆綁技術(shù)完成上下行鏈路的連接，無(wú)需再運(yùn)行復(fù)雜的生成樹(shù)協(xié)議。所以新一代園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是簡(jiǎn)單的、路由表是簡(jiǎn)單的、管理是簡(jiǎn)單的。

另外新一代園區(qū)網(wǎng)絡(luò)往往會(huì)為多個(gè)不同單位或業(yè)務(wù)提供網(wǎng)絡(luò)需求，所以在整個(gè)園區(qū)網(wǎng)絡(luò)中存在彼此完全隔離的網(wǎng)絡(luò)、部分需要互訪的網(wǎng)絡(luò)以及能夠公共訪問(wèn)的網(wǎng)絡(luò)。我們使用MPLS VPN的多通道特性來(lái)滿足這一需求，核心層設(shè)備作為P節(jié)點(diǎn)完成MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)，匯聚層設(shè)備作為PE節(jié)點(diǎn)完成對(duì)接入用戶的網(wǎng)絡(luò)隔離，接入層設(shè)備作為CE節(jié)點(diǎn)使用EAD技術(shù)對(duì)用戶進(jìn)行認(rèn)證，將用戶下發(fā)到相應(yīng)的VLAN并對(duì)應(yīng)到匯聚層設(shè)備的VRF中，通過(guò)MPLS VPN的路由控制滿足各類訪問(wèn)需求。

2.終端安全準(zhǔn)入和管控

針對(duì)新一代園區(qū)網(wǎng)絡(luò)中終端設(shè)備呈現(xiàn)出的類型多樣化和接入無(wú)界化的發(fā)展趨勢(shì)，華三通信提出了“BYOD終端移動(dòng)化解決方案”。該方案支持802.1X、Web Portal、MAC和VPN等多種認(rèn)證方式；支持完善的身份生命周期管理能力、獨(dú)特的訪客接入模式和基于角色的資源訪問(wèn)控制能力；支持對(duì)終端設(shè)備進(jìn)行外設(shè)控制、黑白軟件管理、防病毒管理、客戶端ACL等安全控制策略；支持細(xì)致的網(wǎng)絡(luò)訪問(wèn)行為審計(jì)能力，通過(guò)詳細(xì)的報(bào)表可以輕松掌握智用戶網(wǎng)絡(luò)訪問(wèn)軌跡。

3.關(guān)鍵路徑的縱深防御

新一代園區(qū)網(wǎng)絡(luò)要以“流量路徑”為核心構(gòu)筑層層遞進(jìn)的縱深安全防御體系。首先通過(guò)合理劃分安全區(qū)域確定安全防御邊界，包括互聯(lián)網(wǎng)接入?yún)^(qū)、廣域網(wǎng)接入?yún)^(qū)、用戶接入?yún)^(qū)、服務(wù)器接入?yún)^(qū)等安全區(qū)域，然后根據(jù)流量路徑上的每一道區(qū)域邊界進(jìn)行安全防護(hù)部署。依據(jù)“縱深防御“原則，流量路徑的邊界防護(hù)應(yīng)具備網(wǎng)絡(luò)層、應(yīng)用層等多層次的防御能力，在流量路徑上通過(guò)防火墻、入侵防御、Web應(yīng)用防火墻等產(chǎn)品的策略組合形成有力的防御體系。

在園區(qū)網(wǎng)中，互聯(lián)網(wǎng)接入?yún)^(qū)作為連接園區(qū)內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)的橋梁，一方面為園區(qū)網(wǎng)用戶提供了訪問(wèn)互聯(lián)網(wǎng)資源的能力，另一方面互聯(lián)網(wǎng)帶來(lái)的蠕蟲(chóng)、木馬、釣魚(yú)網(wǎng)站等各種攻擊方式對(duì)園區(qū)網(wǎng)絡(luò)的安全產(chǎn)生了嚴(yán)重威脅。因此互聯(lián)網(wǎng)接入?yún)^(qū)是整個(gè)園區(qū)網(wǎng)絡(luò)中最為重要的安全防護(hù)部分。在互聯(lián)網(wǎng)接入?yún)^(qū)，不僅要部署防火墻、入侵防御、Web應(yīng)用防火墻等安全防護(hù)設(shè)備，同時(shí)也需要部署應(yīng)用控制網(wǎng)關(guān)提供互聯(lián)網(wǎng)應(yīng)用訪問(wèn)分析和流量分析，部署負(fù)載均衡設(shè)備提供多出口鏈路的高可靠性。

4.安全態(tài)勢(shì)監(jiān)測(cè)與分析

在傳統(tǒng)園區(qū)網(wǎng)絡(luò)中，由于安全業(yè)務(wù)設(shè)備的種類不同、廠商不同和地理位置分散等問(wèn)題導(dǎo)致安全業(yè)務(wù)運(yùn)維非常復(fù)雜。另外由于各類安全業(yè)務(wù)設(shè)備的日志信息難以做到集中統(tǒng)一關(guān)聯(lián)和分析，導(dǎo)致了園區(qū)網(wǎng)絡(luò)“安全孤島”的產(chǎn)生，很難從雜亂無(wú)章的安全日志中分析安全態(tài)勢(shì)和追溯安全事件。新一代園區(qū)網(wǎng)安全解決方案針對(duì)這個(gè)問(wèn)題，提出了“統(tǒng)一智能運(yùn)維管理方案”。該方案將網(wǎng)絡(luò)中的終端、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用服務(wù)器等IT資源全部納入安全監(jiān)測(cè)范疇內(nèi)，在統(tǒng)一的平臺(tái)上進(jìn)行日志信息、安全事件的統(tǒng)一收集、歸類處理、智能關(guān)聯(lián)和分析，可以實(shí)時(shí)動(dòng)態(tài)分析園區(qū)網(wǎng)安全態(tài)勢(shì)、回溯安全事件和安全預(yù)警，便于安全運(yùn)維人員掌握安全狀態(tài)。

客戶價(jià)值

（1） 實(shí)現(xiàn)了多租戶環(huán)境下的網(wǎng)絡(luò)隔離和靈活訪問(wèn)需求

（2） 實(shí)現(xiàn)了對(duì)各類移動(dòng)終端、物聯(lián)網(wǎng)終端的安全接入和管控

（3） 實(shí)現(xiàn)了全網(wǎng)安全事件分析、態(tài)勢(shì)監(jiān)測(cè)、安全預(yù)警和及時(shí)響應(yīng)

（4） 實(shí)現(xiàn)了簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、簡(jiǎn)化轉(zhuǎn)發(fā)路徑以及簡(jiǎn)化運(yùn)維管理

（5） 實(shí)現(xiàn)了高可靠性的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

典型組網(wǎng)

未來(lái)展望

在SDN、Overlay等新技術(shù)的推動(dòng)下，未來(lái)的園區(qū)網(wǎng)絡(luò)將會(huì)發(fā)生巨大的改變。利用Overlay技術(shù)的虛擬網(wǎng)絡(luò)特性能夠天然地實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的隔離，滿足園區(qū)網(wǎng)多租戶的業(yè)務(wù)建設(shè)要求。Overlay技術(shù)的另一個(gè)作為就是構(gòu)建“大二層網(wǎng)絡(luò)”，使得移動(dòng)終端可以在園區(qū)網(wǎng)中任意遷移而訪問(wèn)策略不變。再結(jié)合上SDN轉(zhuǎn)發(fā)與控制相分離的技術(shù)可以將整個(gè)Overlay網(wǎng)絡(luò)的控制層面進(jìn)行集中和統(tǒng)一，可以實(shí)現(xiàn)對(duì)Overlay網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)的靈活管理。在這些新技術(shù)背景下的未來(lái)園區(qū)網(wǎng)安全問(wèn)題將會(huì)是一個(gè)嶄新的命題：未來(lái)園區(qū)網(wǎng)的安全能力要和網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力一樣融入Overlay網(wǎng)絡(luò)，并且能夠被SDN控制器集中管理和控制，實(shí)現(xiàn)安全防護(hù)能力的同時(shí)做到按需靈活調(diào)度。