萬·全之策——H3C李穎和

這是一個高速發展的信息時代，這是一個充滿了危機的網絡時代。有網絡的地方，安全威脅無處不在：病毒、垃圾郵件、網頁篡改、信息竊密、帶寬濫用……。網絡安全威脅，猶如夢魘，始終伴隨着網絡的發展，揮之不去。
 
現在的網絡是不和諧的。網絡應用在提升社會效率的同時，也因爲缺乏秩序性而帶來巨大的經濟損失：每年因網絡安全問題導致的經濟損失高達數百億元。業務與資源，效率與安全，充滿了矛盾，交織纏繞，剪不斷理還亂。這是一個我們必須依賴但又脆弱的網絡系統。
 
一．效率
 
效率與安全似乎是矛盾的。今年3月民航總局頒佈了“禁液令”，各大機場安檢門前立刻排起了長隊。出於安全的需要對旅客的檢查更爲嚴格，但帶來的問題就是時間的延遲，效率的降低。網絡同樣如此，當報文通過安全設備時，如果檢查的粒度細化必然引起延遲增大。這時安全設備就成爲性能瓶頸。
 
安全威脅的源頭來自於終端。終端數量越多，網絡規模越大，安全問題越嚴重。傳統的解決辦法是採用區域隔離，通過網關進行關鍵節點防範。但這不能從根本上解決問題，就像北京市的交通，道路雖然寬闊，但是交通擁堵嚴重。一個主要的原因是北京城市交通主要依賴交通幹線，而支線少。北京城市規模大，車輛多，這些車輛都涌上幹線，再寬的道路也承載不了。只有通過數量更多的支線分流車輛，纔能有效解決交通擁堵。在關鍵節點用網關控制，同樣防範不了數量衆多的安全威脅，這時網關就成爲性能瓶頸。只有把控制點下移到終端，通過控制終端的安全，才能減少網關核心節點的負擔，從而提升整網的效率，同時安全性也有更好的保障。這就是分佈式的思想，將網絡安全作爲一個系統工程，部署到每個設備節點、每一層網絡結構中去，通過各節點間的有機聯動，保證整網安全，猶如人體的免疫系統。
 
當萬兆匯聚成爲網絡的基本配置，萬兆安全不再是一句時髦的口號。多核處理器技術的出現使得業務與性能並重成爲可能，通過分佈式處理和多核多線程的技術，有效解決了核心安全節點性能瓶頸問題。感謝技術的進步，總能在我們感到困惑時給我們帶來驚喜。
 
二．全面
 
脆弱的網絡源自於自身安全系統的不健全。木桶理論表明：木桶盛水的容量取決於最短的木板。那麼網絡系統的安全性取決於系統中最薄弱的環節。網絡要安全，必須杜絕薄弱環節，保證全面性，而全面性從深度、廣度和管理三方面來體現。
 
當前的網絡威脅更多地集中在對操作系統和業務系統（如數據庫）的***，對於七層架構的網絡而言，防禦的層次越深，能防禦的***就越多，網絡的安全性就越強。就象安檢系統，掃描行李箱內物品的層次越深，檢查準確度越高。
 
網絡系統從邏輯上可以劃分爲外網、邊界、內網和數據中心。只有在這些地盤上都蓋起了牆，架起了鐵絲網，整網纔是安全的。如果有一處留下後門，從廣度上就存在漏洞，難免會“病從口入”。
 
網絡上爲什麼會有安全威脅？因爲當前網絡是匿名的社會，在虛擬身份的掩護下，破壞行爲變得肆無忌憚，因爲網絡的虛擬性而缺乏秩序，這是問題的根本所在。制定管理法規，使事件可紀錄可審計，是解決問題的辦法，安全控制和審計技術是管理制度切實可行的保障。網絡只有遵從管理迴歸到現實社會，才能恢復秩序性。
 
三．優化
 
網絡擁有了安全性只是初級階段，遠不是網絡安全終極目標。在這業務爲王的信息社會，業務效率是核心競爭力，如何在安全的基礎上，不斷優化提升業務效率，正是廣義上的網絡安全目標。
 
業務優化是提升網絡信息傳輸效率和IT應用運行速度，保證網絡以最優的速度進行傳輸，甚至超越物理帶寬的限制。優化技術包括：TCP加速、緩存、壓縮和負載均衡等。通過優化技術的實施，可以有效進行業務提速，在同等情況下，網頁、數據庫的訪問速度可加快十數倍。
 
四．總結
 
總結效率、全面和優化這三個關鍵詞，可概括爲“萬全之策”。“萬”代表高性能，通過分佈式部署構建高效的安全系統；“全”代表全面防護，從深度、廣度和管理三個方面全面保證安全性；“策”代表優化，源於安全，優於安全。“萬全之策”不是理論，而是解決當前網絡安全問題的實踐方法。
 
“沉舟側畔千帆過，病樹前頭萬木春”。歷史的發展總是螺旋式上升的，網絡在威脅與反威脅的鬥爭中不斷髮展完善。“萬全之策”從實踐中來，到實踐中去，構建和諧網絡。