华为3Com为校园网核心交换保障安全

来源:中国计算机用户 作者: 2006-06-18 出处:pcdog.com

qos  ssl  ssl vpn  vlan  wlan  

  作者:华为3Com技术有限公司安全系统部 王松波 

  要想把安全技术融于网络,安全技术必须和高速的网络设备相匹配;同时,还要简化网络拓扑,简化对网络的管理,方便网络用户的使用,以确保应用和互联的网络安全。

  目前,宽带网络的发展已经进入到深化阶段,尤其是校园网络体现的最为明显。校园网络已经是宽带网络发展,最为迅速的园区网络;同时,宽带网络的先进技术,在校园网络中的应用也最为普遍。

  但是,伴随着宽带网络在校园网络中的发展,宽带网络的安全风险问题,也引起了校园网管理者的普遍关注。

  安全命脉在“四接口”

  通过近几年对校园网络的研究,我们不难发现,校园网络的安全风险问题,归结起来主要在四个环节上:

  一、校园网络与外界的接口,如通过Cernet或Internet的互联,在接入口处从外面引入的安全网络风险问题;

  二、在校园网络的主校区与分校区、办公区与生活区之间的互联,容易造成区域的安全风险问题;

  三、在校园网络内部,各个行政区域之间、信息中心的内部安全风险问题;

  四、在园区网络中,通过WlanVPN等多种非传统接入手段,接入到校园网络中是所带来的安全风险问题。

  当然,校园网络中的安全风险问题不止这些,还有像安全接入、安全隔离、安全过滤和安全管理等方面的问题。对于进入万兆时代的校园网络而言,如何规避这些来自安全的风险,无疑是一种挑战。

  “卡”住核心交换的安全

  在校园网络中,普遍都是通过使用高性能交换机来实现互联互通。尽管如此,有了交换机的高性能,也不能确保网络没有安全风险的存在。校园网络需要安全的接入和安全的防护。那么,如何在高性能的校园网络中,嵌入并融合安全技术,这是一个热门课题。

  对于这个课题,各家都有不同的解决之道。但是,如何在高性能的万兆核心交换机中,直接嵌入SecBlade安全插卡的做法,这对于华为3Com来说,不仅是一种安全理念,更是从核心交换就实施安全措施的一种创新。

  创新之处在于:要想把安全技术融于网络,安全技术必须和高速的网络设备相匹配;同时,还要简化网络拓扑,简化对网络的管理,方便网络用户的使用,以确保应用和互联的网络安全。

  安全插卡的六大特性

  SecBlade插卡是一套系列的安全插卡。它通过高度的技术融合,实现宽带技术和安全技术的有机融合,并可以对校园网络中存在的安全隐患和风险进行防范和保护。

  目前,SecBlade系列安全插卡包括SecBlade防火墙插卡、SecBlade VPN插卡和SecBlade IDS插卡,在未来还将有SecBlade IPS插卡和SecBlade SSL VPN插卡陆续问世。但是,不管是哪一种插卡,都强调了六大鲜明的特色。

  高度集成性

  SecBlade插卡可以提供8个SFP GE物理端口,实现了对于用户槽位的资源保护,同时,也实现了其它接口单板与安全插卡的集成通信。比如,将其它接口板的Vlan绑缚到防火墙插卡上,使接口板的Vlan数据报文,可以利用防火墙插卡,实现报文过滤和业务的隔离,这个Vlan和其它信息区域的隔离等,实现了Secure Vlan功能。

  高度灵活性

  多个SecBlade插卡可以插到高端交换机的任何槽位上,实现多功能、高密度、高安全的核心交换机。由于SecBlade对外可以提供物理端口,并可以多块在高端交换机的背板上任意插入,所以可以使用高端交换机的机框,实现满配置的SecBlade安全插卡的接入。

  多块防火墙/VPN模块的插入,可以实现安全交换机的模块化设计,增大了防火墙/VPN接入的用户数和会话数。采用分布式转发的模式,可以实现安全转发和安全防护的带宽,巧妙地利用华为3Com高端交换机的背板总线技术,实现安全防护和安全接入交换机的设计。

  高性能

  SecBlade插卡都是基于高性能的网络业务处理器和线速转发的ASIC技术,利用分布式软件进行设计开发的单板。网络业务处理器可以基于不断增长的安全业务需求进行定制,不断地满足用户对于安全业务保障和防范的需求。这是SecBlade系列安全插卡的优势所在。

  方便的管理和配置

  在SecBlade插卡上,单独有外带的网络管理百兆口和串口(Console)。可以通过串口或AUX口,实现对SecBlade防火墙的配置和VPN的配置,也可以通过网口接入到网管系统,利用网管软件实现对SecBlade的配置。

  除此之外,SecBlade的单板还可以通过高端交换机的主控板,实现对接口板的统一管理,SecBlade的状态等信息可以由主控板统一显示给用户,完全可以像配置接口板一样,在主控板的串口上直接透明地对SecBlade的接口板进行配置。

  丰富的功能

  SecBlade防火墙插卡包含VPN的功能。SecBlade VPN插卡支持高性能的IPSEC VPN,采用硬件处理器直接实现VPN的处理。另外,防火墙插卡在深度内容过滤、QoS保障、NAT的ALG网关方面优势比较明显。

  高度稳定性

  SecBlade插卡的功耗及其设计也很独到。温度适应力比较好,而且稳定性非常高,它的单板功耗低于100W。模块设计采用业界最新的网络业务处理器设计,稳定性及其功能方面都比较优秀。

  SecBlade的这些特征及其系列化插卡的不同安全功能定位,可以满足校园网络的多个层次上的安全组网需求。

华为3Com为校园网核心交换保障安全(图一)

SecBiade FW置于校园网络Internet出口

华为3Com为校园网核心交换保障安全(图二)

SecBiade FW位于校园内网、保护重要部门的接入

华为3Com为校园网核心交换保障安全(图三)

SecBiade IDS对于校园重要服务器的内部保护

华为3Com为校园网核心交换保障安全(图四)

安全方便的移动VPN软件SecPoint


更多内容请看PCdog.com--Sniffer安全技术  华为3Com  华为交换机专题
上一篇:梭子鱼垃圾邮件防火墙力保TCL网络安全
下一篇:加强网络安全建设 党政网中的VPN应用