安全之道要从网络免疫力入手

人类的健康要从预防开始，其中发挥免疫力的作用至关重要。信息系统也是如此，日前杭州迪普科技秉承“应用即网络”的技术理念，从网络应用的角度，对于解决信息系统安全提供了全新的思路。

安全是网络设备的属性

我们可以把安全看成是架构在网络基础设施上的一种应用，以往我们就是沿用这种思路来处理安全问题，在网络边界叠加大量的设备，例如负载均衡、防火墙、IPS、流控和审计设备等，这种做法延续至今。

我们也可以换一种思路来看待问题，如果网络设备自身能够兼有安全防护能力，同样也可以达到免疫的效果。问题在于，网络设备具有这样的能力吗？熟悉网络的人知道，早在2007年，有多家网络和安全厂商发起的NAC(网络准入控制)联盟对于确保网络安全进行了有益地尝试。如今，随着云计算数据中心的发展，网络虚拟化成为了网络构建的趋势和方向，对于服务器的虚机感知能力、大二层组网能力等，成为对网络设备最新需求，在这样的背景情况下，杭州迪普科技创造性的提出了多业务板卡混合部署的网络和安全一体化的解决方案，它以迪普科技DPX19000网络核心交换机为核心组网，通过增加多业务板卡，如防火墙、IPS、流控、审计等，构建一体化的安全融合的网络基础架构。

深度紧耦合的解决方案

这样的一种安全组网的方式，并非没有先例，思科、华为也提供了类似解决方案。类似的是外表和形式，其中的差别在于多种业务板卡与网络的融合程度，很多解决方案，没有实现网络与业务板卡的深度融合，其效果和传统安全方案大同小异。

迪普科技解决方案提供了一种紧耦合的方式。首先其网络设备提供了VSM(Virtual Switching Matrix)虚拟交换矩阵、VEM(Virtual Extension Matrix)虚拟扩展矩阵和OVC(OS-level Virtual Context)操作系统级虚拟化等网络虚拟化的功能，也就是可以把多台网络设备虚拟化为一台虚拟的设备，虚拟设备又可以实现操作系统级别的虚拟化，其网络设备对于服务器虚机的感知和识别，以及对于大二层组网能力达到了云数据中心的组网需求。

以网络虚拟化能力为基础，迪普科技将安全业务板卡等与网络进行紧耦合，提供丰富的安全和应用交付能力，其中，可以透过单一的管理界面，对网络和板卡进行集中统一的管理。在新的应用模式下，用户可以根据业务的需要，对于业务流进行定义，例如有些业务需要防火墙的功能，有些业务需要IPS，这些都可以通过软件进行定义和选择。

安全免疫的水平

在新管理应用模式下，网络中的业务流量一次解析完成，经过黑白名单、协议库、漏洞库、病毒库、URL库以及身份认证的一次性安全检测，不仅如此，还要经历模拟虚拟环境的运行检测，只有经过这些安全检测，业务流量才能够进入网络交换和传输，进入正常的网络操作。

在这样的操作中，病毒库、漏洞库以及协议库等水平，将决定其安全控制水平。据迪普科技安全产品部技术总监朱晓康介绍，迪普科技设有自己的安全研究机构——迪普科技安全研究中心，与国内国际相关信息安全机构与组织、信息安全厂商有着紧密合作，同时也是中国国家信息安全漏洞库的技术支持单位，至于网络协议更是迪普科技作为网络厂商的专长，因此完全能够代表国内信息安全的最高水平。

在这个解决方案中，由于网络设备增添了安全管理的功能，不可避免会增加网络的开销，是不是会影响到网络传输的效果。在传统模式下，很多用户就是因为性能的问题，没有办法启用各种安全方案。对此，朱晓康表示，以DPX19000核心交换机的能力，其整机交换能力达到了64TB，960GB单板卡转发性能，这样的一个网络的能力和水平，完全可以满足用户的需要。如果不考虑安全的因素，更低档次的网络设备DPX8000就可以满足用户组网的需求。之所以推出DPX19000，就是为了因应这种变化的需求。否则，完全没有必要推出如此能力的网络设备。因此，DPX19000就是为了安全组网而生的，如果抛却了安全业务板卡，无异于舍本逐末。

小结

创新的技术和解决方案常常诞生在创业型公司，因为他们没有历史包袱和干扰。迪普科技就是这样的一家公司，迪普科技的创业者就是怀揣着对于技术的追求和梦想离开了待遇优厚的大公司，冲破企业安全边界，安全在网之内，这就是创业者所奉献的第一个作品。

这样的方案可以被广泛接受并成为未来的发展潮流吗？就是千里马，也还需要伯乐!千里马常有，而伯乐不常有，中国的市场和行业用户，会有这样的伯乐吗？静等时间给出答案吧!（比特网记者 宋家雨）

原文始发于微信公众号（迪普科技）：安全之道要从“网络免疫力”入手