隨著IT基礎(chǔ)架構(gòu)、移動互聯(lián)網(wǎng)等技術(shù)的發(fā)展和變化，傳統(tǒng)園區(qū)網(wǎng)絡(luò)的安全防護手段和思路面臨著諸多挑戰(zhàn)。首先，傳統(tǒng)園區(qū)網(wǎng)往往會為每個業(yè)務(wù)建設(shè)一張獨立的物理網(wǎng)絡(luò)，但是在新一代園區(qū)網(wǎng)中業(yè)務(wù)種類越來越多，傳統(tǒng)的建設(shè)模式會使得網(wǎng)絡(luò)運維管理非常復(fù)雜，也不利于網(wǎng)絡(luò)資源的有效利用。然后，傳統(tǒng)園區(qū)網(wǎng)中的安全設(shè)備都是零散分布在區(qū)域邊界，性能瓶頸、單點故障、信息孤島等問題也困擾著網(wǎng)絡(luò)運維人員。最后，新一代園區(qū)網(wǎng)絡(luò)中移動終端種類和數(shù)量越來越多，任何一個終端設(shè)備都有可能成為入侵整個園區(qū)網(wǎng)絡(luò)的跳板。

傳統(tǒng)園區(qū)網(wǎng)的諸多挑戰(zhàn)對新的安全解決方案提出了迫切需求。新一代園區(qū)網(wǎng)安全解決方案應(yīng)運而生，為用戶帶來立體化、智能化的安全解決方案。

方案優(yōu)勢

1.虛擬化園區(qū)網(wǎng)絡(luò)架構(gòu)

通過獨創(chuàng)的IRF2技術(shù)將園區(qū)網(wǎng)絡(luò)的接入層，匯聚層與核心層設(shè)備各自進行橫向虛擬化，將多臺冗余設(shè)備虛擬化為單臺邏輯設(shè)備，形成一個網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點。橫向虛擬化完成以后通過鏈路捆綁技術(shù)完成上下行鏈路的連接，無需再運行復(fù)雜的生成樹協(xié)議。所以新一代園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是簡單的、路由表是簡單的、管理是簡單的。

另外新一代園區(qū)網(wǎng)絡(luò)往往會為多個不同單位或業(yè)務(wù)提供網(wǎng)絡(luò)需求，所以在整個園區(qū)網(wǎng)絡(luò)中存在彼此完全隔離的網(wǎng)絡(luò)、部分需要互訪的網(wǎng)絡(luò)以及能夠公共訪問的網(wǎng)絡(luò)。我們使用MPLS VPN的多通道特性來滿足這一需求，核心層設(shè)備作為P節(jié)點完成MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)，匯聚層設(shè)備作為PE節(jié)點完成對接入用戶的網(wǎng)絡(luò)隔離，接入層設(shè)備作為CE節(jié)點使用EAD技術(shù)對用戶進行認證，將用戶下發(fā)到相應(yīng)的VLAN并對應(yīng)到匯聚層設(shè)備的VRF中，通過MPLS VPN的路由控制滿足各類訪問需求。

2.終端安全準入和管控

針對新一代園區(qū)網(wǎng)絡(luò)中終端設(shè)備呈現(xiàn)出的類型多樣化和接入無界化的發(fā)展趨勢，華三通信提出了“BYOD終端移動化解決方案”。該方案支持802.1X、Web Portal、MAC和VPN等多種認證方式；支持完善的身份生命周期管理能力、獨特的訪客接入模式和基于角色的資源訪問控制能力；支持對終端設(shè)備進行外設(shè)控制、黑白軟件管理、防病毒管理、客戶端ACL等安全控制策略；支持細致的網(wǎng)絡(luò)訪問行為審計能力，通過詳細的報表可以輕松掌握智用戶網(wǎng)絡(luò)訪問軌跡。

3.關(guān)鍵路徑的縱深防御

新一代園區(qū)網(wǎng)絡(luò)要以“流量路徑”為核心構(gòu)筑層層遞進的縱深安全防御體系。首先通過合理劃分安全區(qū)域確定安全防御邊界，包括互聯(lián)網(wǎng)接入?yún)^(qū)、廣域網(wǎng)接入?yún)^(qū)、用戶接入?yún)^(qū)、服務(wù)器接入?yún)^(qū)等安全區(qū)域，然后根據(jù)流量路徑上的每一道區(qū)域邊界進行安全防護部署。依據(jù)“縱深防御“原則，流量路徑的邊界防護應(yīng)具備網(wǎng)絡(luò)層、應(yīng)用層等多層次的防御能力，在流量路徑上通過防火墻、入侵防御、Web應(yīng)用防火墻等產(chǎn)品的策略組合形成有力的防御體系。

在園區(qū)網(wǎng)中，互聯(lián)網(wǎng)接入?yún)^(qū)作為連接園區(qū)內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)的橋梁，一方面為園區(qū)網(wǎng)用戶提供了訪問互聯(lián)網(wǎng)資源的能力，另一方面互聯(lián)網(wǎng)帶來的蠕蟲、木馬、釣魚網(wǎng)站等各種攻擊方式對園區(qū)網(wǎng)絡(luò)的安全產(chǎn)生了嚴重威脅。因此互聯(lián)網(wǎng)接入?yún)^(qū)是整個園區(qū)網(wǎng)絡(luò)中最為重要的安全防護部分。在互聯(lián)網(wǎng)接入?yún)^(qū)，不僅要部署防火墻、入侵防御、Web應(yīng)用防火墻等安全防護設(shè)備，同時也需要部署應(yīng)用控制網(wǎng)關(guān)提供互聯(lián)網(wǎng)應(yīng)用訪問分析和流量分析，部署負載均衡設(shè)備提供多出口鏈路的高可靠性。

4.安全態(tài)勢監(jiān)測與分析

在傳統(tǒng)園區(qū)網(wǎng)絡(luò)中，由于安全業(yè)務(wù)設(shè)備的種類不同、廠商不同和地理位置分散等問題導(dǎo)致安全業(yè)務(wù)運維非常復(fù)雜。另外由于各類安全業(yè)務(wù)設(shè)備的日志信息難以做到集中統(tǒng)一關(guān)聯(lián)和分析，導(dǎo)致了園區(qū)網(wǎng)絡(luò)“安全孤島”的產(chǎn)生，很難從雜亂無章的安全日志中分析安全態(tài)勢和追溯安全事件。新一代園區(qū)網(wǎng)安全解決方案針對這個問題，提出了“統(tǒng)一智能運維管理方案”。該方案將網(wǎng)絡(luò)中的終端、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用服務(wù)器等IT資源全部納入安全監(jiān)測范疇內(nèi)，在統(tǒng)一的平臺上進行日志信息、安全事件的統(tǒng)一收集、歸類處理、智能關(guān)聯(lián)和分析，可以實時動態(tài)分析園區(qū)網(wǎng)安全態(tài)勢、回溯安全事件和安全預(yù)警，便于安全運維人員掌握安全狀態(tài)。

客戶價值

（1） 實現(xiàn)了多租戶環(huán)境下的網(wǎng)絡(luò)隔離和靈活訪問需求

（2） 實現(xiàn)了對各類移動終端、物聯(lián)網(wǎng)終端的安全接入和管控

（3） 實現(xiàn)了全網(wǎng)安全事件分析、態(tài)勢監(jiān)測、安全預(yù)警和及時響應(yīng)

（4） 實現(xiàn)了簡化網(wǎng)絡(luò)結(jié)構(gòu)、簡化轉(zhuǎn)發(fā)路徑以及簡化運維管理

（5） 實現(xiàn)了高可靠性的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

典型組網(wǎng)

未來展望

在SDN、Overlay等新技術(shù)的推動下，未來的園區(qū)網(wǎng)絡(luò)將會發(fā)生巨大的改變。利用Overlay技術(shù)的虛擬網(wǎng)絡(luò)特性能夠天然地實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的隔離，滿足園區(qū)網(wǎng)多租戶的業(yè)務(wù)建設(shè)要求。Overlay技術(shù)的另一個作為就是構(gòu)建“大二層網(wǎng)絡(luò)”，使得移動終端可以在園區(qū)網(wǎng)中任意遷移而訪問策略不變。再結(jié)合上SDN轉(zhuǎn)發(fā)與控制相分離的技術(shù)可以將整個Overlay網(wǎng)絡(luò)的控制層面進行集中和統(tǒng)一，可以實現(xiàn)對Overlay網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)的靈活管理。在這些新技術(shù)背景下的未來園區(qū)網(wǎng)安全問題將會是一個嶄新的命題：未來園區(qū)網(wǎng)的安全能力要和網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力一樣融入Overlay網(wǎng)絡(luò)，并且能夠被SDN控制器集中管理和控制，實現(xiàn)安全防護能力的同時做到按需靈活調(diào)度。