万·全之策——H3C李颖和

这是一个高速发展的信息时代，这是一个充满了危机的网络时代。有网络的地方，安全威胁无处不在：病毒、垃圾邮件、网页篡改、信息窃密、带宽滥用……。网络安全威胁，犹如梦魇，始终伴随着网络的发展，挥之不去。
 
现在的网络是不和谐的。网络应用在提升社会效率的同时，也因为缺乏秩序性而带来巨大的经济损失：每年因网络安全问题导致的经济损失高达数百亿元。业务与资源，效率与安全，充满了矛盾，交织缠绕，剪不断理还乱。这是一个我们必须依赖但又脆弱的网络系统。
 
一．效率
 
效率与安全似乎是矛盾的。今年3月民航总局颁布了“禁液令”，各大机场安检门前立刻排起了长队。出于安全的需要对旅客的检查更为严格，但带来的问题就是时间的延迟，效率的降低。网络同样如此，当报文通过安全设备时，如果检查的粒度细化必然引起延迟增大。这时安全设备就成为性能瓶颈。
 
安全威胁的源头来自于终端。终端数量越多，网络规模越大，安全问题越严重。传统的解决办法是采用区域隔离，通过网关进行关键节点防范。但这不能从根本上解决问题，就像北京市的交通，道路虽然宽阔，但是交通拥堵严重。一个主要的原因是北京城市交通主要依赖交通干线，而支线少。北京城市规模大，车辆多，这些车辆都涌上干线，再宽的道路也承载不了。只有通过数量更多的支线分流车辆，才能有效解决交通拥堵。在关键节点用网关控制，同样防范不了数量众多的安全威胁，这时网关就成为性能瓶颈。只有把控制点下移到终端，通过控制终端的安全，才能减少网关核心节点的负担，从而提升整网的效率，同时安全性也有更好的保障。这就是分布式的思想，将网络安全作为一个系统工程，部署到每个设备节点、每一层网络结构中去，通过各节点间的有机联动，保证整网安全，犹如人体的免疫系统。
 
当万兆汇聚成为网络的基本配置，万兆安全不再是一句时髦的口号。多核处理器技术的出现使得业务与性能并重成为可能，通过分布式处理和多核多线程的技术，有效解决了核心安全节点性能瓶颈问题。感谢技术的进步，总能在我们感到困惑时给我们带来惊喜。
 
二．全面
 
脆弱的网络源自于自身安全系统的不健全。木桶理论表明：木桶盛水的容量取决于最短的木板。那么网络系统的安全性取决于系统中最薄弱的环节。网络要安全，必须杜绝薄弱环节，保证全面性，而全面性从深度、广度和管理三方面来体现。
 
当前的网络威胁更多地集中在对操作系统和业务系统（如数据库）的***，对于七层架构的网络而言，防御的层次越深，能防御的***就越多，网络的安全性就越强。就象安检系统，扫描行李箱内物品的层次越深，检查准确度越高。
 
网络系统从逻辑上可以划分为外网、边界、内网和数据中心。只有在这些地盘上都盖起了墙，架起了铁丝网，整网才是安全的。如果有一处留下后门，从广度上就存在漏洞，难免会“病从口入”。
 
网络上为什么会有安全威胁？因为当前网络是匿名的社会，在虚拟身份的掩护下，破坏行为变得肆无忌惮，因为网络的虚拟性而缺乏秩序，这是问题的根本所在。制定管理法规，使事件可纪录可审计，是解决问题的办法，安全控制和审计技术是管理制度切实可行的保障。网络只有遵从管理回归到现实社会，才能恢复秩序性。
 
三．优化
 
网络拥有了安全性只是初级阶段，远不是网络安全终极目标。在这业务为王的信息社会，业务效率是核心竞争力，如何在安全的基础上，不断优化提升业务效率，正是广义上的网络安全目标。
 
业务优化是提升网络信息传输效率和IT应用运行速度，保证网络以最优的速度进行传输，甚至超越物理带宽的限制。优化技术包括：TCP加速、缓存、压缩和负载均衡等。通过优化技术的实施，可以有效进行业务提速，在同等情况下，网页、数据库的访问速度可加快十数倍。
 
四．总结
 
总结效率、全面和优化这三个关键词，可概括为“万全之策”。“万”代表高性能，通过分布式部署构建高效的安全系统；“全”代表全面防护，从深度、广度和管理三个方面全面保证安全性；“策”代表优化，源于安全，优于安全。“万全之策”不是理论，而是解决当前网络安全问题的实践方法。
 
“沉舟侧畔千帆过，病树前头万木春”。历史的发展总是螺旋式上升的，网络在威胁与反威胁的斗争中不断发展完善。“万全之策”从实践中来，到实践中去，构建和谐网络。