嵌入网络的安全技术

rt56457567

简化网络的安全部署 目前市场上存在很多的安全部件，比如防火墙，VPN设备，SSL 设备，防病毒软件，IDS设备，IPS设备以及若干种安全软件。这些设备无疑增加了安全网络实施的本钱，另外增大了对网络治理的难度，也增加了网络安全部署的复杂度。不同厂家的安全设备互通和治理基本都是不兼容的。所以在考虑安全网络的部署上，首先需要考虑安全部件的简单化融入到网络中。在华为3Com的嵌入安全设计中，我们将在网络安全的技术，有机地融合到网络基本组件的设计中。如下所示：  在华为3Com的系列交换机和路由器中，都嵌入了安全模块，将安全网络的技术移植到构建网络的基本模块设备中，这一系列安全模块产品，称作Quidway SecBlade 安全插卡。比如在S85系列插卡中，包括：SecBlade 防火墙插卡，SecBlade VPN插卡，SecBlade IDS插卡，SecBlade IPS插卡，SecBlade SSL插卡等。利用交换机或路由器开放式的硬件架构，将安全模块有机融合进去，实现安全技术像免疫预防一样注射到网络的骨干汇聚层中，实现了传统交换机和路由器的安全性能的提升，大大增强了设备抗击网络风险的能力，使网络无缝地演变成安全的网络。转发流程中安全技术的嵌入对于网络的这种简化，不仅仅是从物理上的，更大程度上是从逻辑上进行安全因素的设计，将安全的理念融入到网络的转发，路由等各个环节。所以，华为3Com公司在网络的设备中，从转发平面上进行了安全方面的设计和巩固，确保交换机上的转发不在是单一的尽力转发的架构（Best Effort Forwarding），而是根据安全网络设计的需求，在以太网链路层转发技术和IP三层转发技术上的一次技术改革，将安全转发技术和网络技术有机融合在一起。如下所示：普通转发： 安全技术全面渗透的转发：图中所加黄的模块，都是在嵌入安全中对原来转发流程的改变，对报文的监控在技术上进行了彻底的改革，从各个环节对报文的安全性进行检验。只有在报文的转发平面进行安全技术的渗透，才真正体现出安全网络的技术面貌，才可以真正宣称网络和安全是融为一体的。华为3Com SecBlade的特性先容：1. 线速转发，安全监控：SecBlade插卡可以无缝地插入到华为3Com的S85，S65等系列骨干，核心交换机中。而且插卡的引入丝绝不影响交换机内网的线速的转发。安全插卡中防火墙/VPN/IPS插卡可以基于用户的配置，实现对用户指定的流量和业务实现监控，过滤和隔离；IDS则基于旁路模式实现对报文流的监控，告警。2. 同一治理，无缝安全嵌入SecBlade 插卡可以单独配置，也可以直接在交换机的终端中配置      1/2 12下一页尾页