主持人:
谈到今天大会的主题,叫做“网络创造价值”,但是在我们这个世界上总有些人和在座的朋友作对,他们希望破坏网络安全,虽然所谓的黑客或者爱做恶作剧的人,有些人只是为了好玩,但是在他们浪子回头之前,我们必须要想办法保护我们的网络安全。
主题:安全为基 成就SmartIP(睿智的网络架构师)
大家好,很高兴有这个机会向大家汇报。我汇报的主题主要是中兴通讯基于SmartIP技术架构,睿智的网络架构师。中兴通讯做了全方位的安全解决方案。
在当今的IT建设过程中,实际上我们走的路是非常艰难的。IT的建设跟其它系统建设、技术平台一样,比如土木工程,有几千年的技术积累。而IT建设放眼全球来讲,没有太多的经验可借鉴,没有根据。虽然在整个IT的建立过程中大家走的比较艰难,但是我们也是一步步在往前走。当我们的运营商、企业把IT技术引入到IP网络之后,很多业务正在加速IP化。之前我们可能觉得行业用户或者企业用户里,很多业务只是一些非关键性的业务,或者非生产性的业务部署到网络中来。但他们把越来越多的分散业务迁移到IP网络。无论之前对于IP网络抱什么态度的用户,现在都认可了IP网络发展大的趋势。
另外一个趋势,在IP应用的环境之中,局域网、广域网以及更大的网络在形成,IP网络正在借助于网络建设规模的扩大以及广域带宽的提升,或者按照中国的需求,正在大规模、大范围的部署。越来越多的桌面性的应用,或者管理应用,通信应用,都在借助于IP化、广域化的方式,正在体现它的价值。
IT的建设,我们没有太多的经验可以借鉴,在全球范围内,这样会有很多问题。一个突出的问题,建设网络的时候,只能看到一个问题分析一个问题,解决一个问题,相当于我们从城市突然到了乡村,发现这个乡村里每家每户都自己联网,是很粗放的或者没有规划性的方式。
可能前期有前瞻性的考虑,需要规划,需要长远、持久的保证等等,但是IT系统跟IP网络是开放程度非常高,创新非常快的领域。当新的问题、新的业务出现,最后又回到IT的建网方式上来。我们的系统越建越复杂,但是管理压力越来越大,每个单一的业务系统之间要达到最大的价值变得越来越困难。各位都是参加IT信息化建设比较早的,可能感受更加深刻。
如何解决这些问题,实现高效的承载网?我们一直提一个概念就是融合。怎么在基础的IP网络上实现所有业务的,通信运营业务的融合,使得以前被简单的IP化或者简单的广域化业务,能够形成有机的整体,形成对客户有价值的IT系统?中兴通讯对基础得的IP网络的概念,有一个新的提法,是我们之前对于IP网络技术到解决方案的延续,之前IP网络更多的侧重于网络第三层、第四层,中兴通讯对基础得的IP网络的概念,有一个新的提法,是我们之前对于IP网络技术到解决方案的延续,之前IP网络更多的侧重于网络第三层、第四层,更多的注重传输层上的东西。现在考虑的更远一点,考虑的更广一些,把IP基础架构由最基本的三层、四层扩展到网络的第六层,甚至到第七层,最后到应用层。基础的IP网络不仅仅具备简单的IP的联动性,或者简单的基于三层、四层的安全控制,这个时候完全更好的对业务融合的能力。
在整个IP网络的发展,经过了很长很长的时期,现在的关注点发生了变化。现在在新的用人环境下,IP网应该关注什么,应该提倡什么,应该考虑什么。中兴通讯的SmartIP给予了新的诠释,网络因为开放而融合,因为融合而简练。SmartIP包含了简约、开放、融合。中兴通讯的融合主要体现在哪些方面?
第一,在整个网络上,同一个功能可以被整合在SmartIP网络上来,不仅包括低层的传输功能、路由功能、交换功能,深层次的业务支撑以及业务应用的功能,我们也看到基础的发展方向,在网络里很多应用,之前可能是通过专门的运营,当这些功能、运营越来越多之后,会融合进来,这些功能一旦被统一化以后,会整合在SmartIP的基础架构里。
第二个方面,中兴通讯采用多服务的MSMR技术,能够实现运用完美的运作,主要是虚拟的平台,主要利用通用性的消息协议,实现通用业务系统跟应用业务系统统一的业务接入以及业务的承载,在业务内容交换,实现分布式的组码。MSMR提供了三个方面的接口,向上的业务层面提供的接口,跟设备无关,所有的业务设备都可以采用标准的接口接入网络,有很多相关的控制,比如VTN、QoS,相关的消息等等。下边实际上是通过设备消息接口,实现所有通信系统的融合,最简单的是实现数据接入,比如交换机这样的设备,更多的还可以去融合视频设备、数据的流线系统等等。通过这两个接口把相应的业务,通到消息服务分发网络,实现基于消息的分布式组网,采用了比较新的技术P2P,大家应该可以了解,P2P这个好的技术可以使平行的网络,在网络的虚拟平台上构成一个类似于全连接的网络结构,整个虚拟平台的系统可靠性是非常高的,同时也能够有效地应用基础的IP网络,到网络的带宽资源。
MSMR是中兴通讯有自主知识产权的基于消息路由的组网技术,希望能够面向基础架构,SOA的标准,整个标准建立上,能够让IP建设更加专注,不用再去考虑底层的问题,不用再考虑IP网络怎么建设,QoS怎么做,安全怎么控制等等,不用IP网管理者考虑。更加专注IP系统的价值所在。这种价值实际上可以体现在设备应用系统的品质以及应用系统的创新上。
下面简单地给大家看一下视频应用,SmartIP下实现融合的过程,首先将业务策略下发到MSMR这个平台上,数据转发到源头的交换机或者路由器,让他们提供相应的QoS以及优先转发的,转发数据的时候,在经过交换机的时候能够得到最优的数据保障。MSRM技术首先能够融合很多应用,可以实现最大的价值,降低管理成本。这样的架构能够解决当前在业务流程方面出现问题。在构建SmartIP的时候依然会有很大的问题,在建设的过程中,整个安全领域,安全体系建设,几乎每隔一段时间就会看到,安全问题引起大家重视应该是在去年年底、今年年初的“熊猫烧香”病毒,给企业用户造成了很大的价值损失,现在安全问题跟以前已经不一样了,现在形成很大的产业链,有人专门制造病毒,有人放射病毒,有人出租、出售这种网络,有人去洗钱,盗取游戏密码、游戏帐号,盗取游戏的虚拟装备。
安全问题基本上已经成为IT建设里重中之重所关注的问题。中兴通讯一直认为安全是很大的体系,在安全的保护里,第一个应该保护的网络承载网自身,自身的强健和安全性,是整个IP系统安全的基本。中兴通讯有很多技术保证承载网的安全,比如有AMAT的技术,是特色的专利技术,主要针对IP网络的日常容量做相关的控制,避免网络被IP的异常流量所攻击。
首先聚焦出哪一段在攻击我的网络,针对攻击IP地址的数据包进行相应的分析,得出AMAT的规则,控制流量。AMAT是控制的过程。
安全策略也在发生了一些变化,有两个方面,一个是局部安全向全网安全过渡。第二,设备内部的安全层次正在上移。局部安全向全网安全过渡,在整个网络的建设过程中,之前考虑比较多的是网络出口需要安全设备,用来抵御外部攻击。另外,关键应用区、关键服务区都有安全设备抵御对特殊应用服务区、关键应用区的攻击。而在很长一段时间内忽略了一个问题就是终端。终端上的安全问题得到大家重视以后,我们看到很多管理者、建设者开始在终端上走很多的软件,比如绑定软件、防火墙软件,另外还有终端控制的软件。
但是我们发现网络管理员的抱怨依然存在,之前不重视终端安全,结果装了软件之后,导致系统乱七八糟的,网络终端的问题并没有因为装了软件而减少。终端安全方面我们推出了ZSA解决方案,是中兴的安全接入技术,在这个解决方案里主要考虑两个方面,不仅仅考虑接入网络的安全性,同时考虑到当用户接入网络以后,在整个网络的持续运行过程中的安全。第一步是认证,在办公室提供MSMR规则,为用户提供统一的权限管理,比如我是产业用户,用户输入密码以后,根据用户的身份下发相应的VLAN、ACL、QoS等等。四个元素的绑定,从最基本的绑定,IP地址绑定等等,一直到公共交换机的地址以及时间、流量全面的绑定。针对两种实现代理的业务场景,我们推出了ZSA解决方案,可以在交换机上启动HAP代理上网。启动双网卡限制代理。
针对日益突出的网络恶意攻击,比如第一种攻击是通过暴力手段破解密码,可以设立尝试次数作为限制。还有假冒攻击。当网络出现问题的时候,怎么快速定位?在用户定位这块我们考虑的比较多一点,可以在后台记录下用户的帐号、原来的地址、交换机的位置、所在交换机的IP地址、所在的交换机网号,通过很广信息的介入,快速的定位。
还有一个很大的模块是对终端的管理,包括四个方面,一个是做资产的管理,用户的硬件资产以及软件资产的管理,还有强制沙发补丁、升级软件、安装防病毒软件,以及做到对用户行为的控制,能够做到相应的文档策略,实现文件的安全。
终端安全阶段,中兴通讯事先考虑到了用户设备中有第三方终端软件,保护最大的投资,安装ZSA以后,不启动中兴桌面,可以跟第三方的终端软件一致,事先部署好的管理软件作为原动。
第一时间了解到硬件的信息,能够做相应的控制,允不允许使用声卡、光驱等等。软件的日常管理,能够限制、控制住终端能不能装软件,能不能运行软件,什么时候能够允许继承原来的软件。
ZSA能够强制的对终端进行防病毒软件的安装。如果有不安全的PC机,没有任何保护措施的PC机,要接到网络上是接不进来的,必须把相应的补丁打全,把相应的防病毒软件安装好,才能进来。ZSA能够强制的根据策略,比如根据部门,根据IP地址,根据用户的操作系统,进行强制性的补丁的下发跟升级。
用户行为管理,用户最大的安全问题是未知的情况,防病毒软件,新的未知的病毒,但是针对未知的病毒怎么办?我们做了很大的工作去分析行为,举个例子,比如一个正常的用户上网,只需要一段报道,很短很短。如果某一个时间段或者某一个时机达到了每秒钟几兆,甚至几百兆,肯定有异常,有问题。我们针对很多未知的问题,通过行为监控发现的。
ZSA对文件的管理,通过对文件复制的控制来实现。当用户接入到网络的时候,学校每个学年都会有学生上学,在这种情况下,要为每个用户分配一套ZSA软件,工作非常复杂,用户第一次见到网络ZSA能够强制的对终端进行防病毒软件的安装。如果有不安全的PC机,没有任何保护措施的PC机,要接到网络上是接不进来的,必须把相应的补丁打全,把相应的防病毒软件安装好,才能进来。ZSA能够强制的根据策略,比如根据部门,根据IP地址,根据用户的操作系统,进行强制性的补丁的下发跟升级。
用户行为管理,用户最大的安全问题是未知的情况,防病毒软件,新的未知的病毒,但是针对未知的病毒怎么办?我们做了很大的工作去分析行为,举个例子,比如一个正常的用户上网,只需要一段报道,很短很短。如果某一个时间段或者某一个时机达到了每秒钟几兆,甚至几百兆,肯定有异常,有问题。我们针对很多未知的问题,通过行为监控发现的。
ZSA对文件的管理,通过对文件复制的控制来实现。当用户接入到网络的时候,学校每个学年都会有学生上学,在这种情况下,要为每个用户分配一套ZSA软件,工作非常复杂,用户第一次进到网络,首先要进入到安全警戒域,把防病毒软件下载下来,把补丁打全,这些工作做完才可以输入分配给他的用户名、密码,登录到网络中来。
针对有一些隐患的用户,比如这个用户是合法用户,但是很长时间没上网了,可能把这台机器放在那里没用,突然有一天用了,已经过了很长时间,上网会发现病毒库、补丁库肯定都不全了,同样的不允许进入网络中很关键性的子资源,先进入安全警戒域,做相应的部署、修补,做好这些工作之后才能访问网络。
已登陆的用户出现安全隐患怎么办,ZSA系统,进入警戒域管理以后才能登陆。
安全策略的变迁,在网络的安全里,设备的安全已经从以前的三层、四层上升到了更高的层面,基础的IP网络已经不仅仅是三层、四层网络,而是业务控制、业务融合的网络,扩展到更高的层面。相应的安全领域必须扩展到更高的层面。
之前对业务安全技术这块,一般的基础整合是源组。四层及其以下的数据包的形态,这是非常粗放式的方式,比如P2P的业务端与端是在变化的。现在新的技术叫DPI,是深度的保险技术,能够感知到业务层上,直接对数据包的载荷做相应的分析,能分析出这是正常的数据,是语音数据还是视频数据,甚至能分析有没有夹带攻击等等。DPI的依据,进到DPI引擎之后,主要依靠业务层模式、业务控制、业务识别去分析,做到业务的控制。
在DPI的领域里模块比较多,比如有防病毒、防间谍、防UPC等等,比如Anu-x模块、IPS、NAT、防火墙、IA,识别、控制模块。这么多模块部署在SmartIP上,做有机的结合,能够有效地保证承载网络的安全,使得SmartIP不仅仅能够提供很好的承载,更能更好地工作。
主持人:
没想到中兴通讯在不长的时间里能开发出如此全面的安全解决方案。安全是头疼的问题,我觉得如果有什么事情能够贬低网络创造的价值,安全是最有效的运用工具。我们对安全不会妥协,这也是今天上午两位嘉宾把焦点放在网络安全的原因。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
