【訊】說起流量，此次北京冬奧會大家所熟知的“超級頂流”至少有兩個：賽場之內(nèi)，非滑雪運動員谷愛凌莫屬，無論是勇奪兩金一銀的頂尖競技水平，還是韭菜盒子、商品代言，都成為了人們茶余飯后津津樂道的話題;賽場之外，那一定是白白胖胖的冰墩墩了，其火爆程度使得“一戶一墩”的美好愿望和“一墩難求”的骨感現(xiàn)實形成了鮮明的對比。

除此之外，還有一樣?xùn)|西大家可能相對陌生一些，但也絕對配得上“頂流”一詞：它們承載著冬奧會相關(guān)信息系統(tǒng)的所有網(wǎng)絡(luò)流量，并且還要盡可能把其中的惡意流量攔截下來，攔截時還不能影響冬奧相關(guān)業(yè)務(wù)的正常開展。

它們中有負責組網(wǎng)互聯(lián)的，有負責惡意流量攔截的，還有負責加密流量解密的，總之它們有一個共同的名字：網(wǎng)絡(luò)邊界設(shè)備。

48小時，300+SD-WAN設(shè)備組網(wǎng)上線

據(jù)統(tǒng)計，北京冬奧會設(shè)置了7個大項、15個分項、109個小項，吸引了來自91個國家和地區(qū)的超過2800名運動員參賽。

所有外籍運動員來到中國后都會遇到一個窘境：沒有相關(guān)的身份信息。因此，所有需要實名認證的事情如酒店入住等就會比較麻煩。

但顯而易見，所有運動員的身份信息都是在奧組委處注冊報名過的，只不過冬奧的網(wǎng)絡(luò)系統(tǒng)處于隔離網(wǎng)環(huán)境。想要解決這個問題，就得把互聯(lián)網(wǎng)和冬奧的網(wǎng)絡(luò)連接起來。

然而，一旦冬奧的網(wǎng)絡(luò)接入了互聯(lián)網(wǎng)，就會直接面對各種來自互聯(lián)網(wǎng)的安全威脅，比如釣魚網(wǎng)站、勒索病毒、挖礦木馬等等。

所以，組網(wǎng)方案一定要和網(wǎng)絡(luò)安全融合內(nèi)生。那么，有沒有這種方案呢?

2022年1月5日，小寒。剛剛結(jié)束元旦假期的奇安信副總裁、邊界安全負責人吳亞東立馬接到了一個極富挑戰(zhàn)性的任務(wù)：北京冬奧組委決定采用奇安信安全SD-WAN完成組網(wǎng)。

顧名思義，安全SD-WAN就是同時具備了組網(wǎng)和安全防護兩個方面的能力。

作為時下最流行的組網(wǎng)設(shè)備，SD-WAN的核心能力就是以軟件定義的方式，將不同地域的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、云服務(wù)系統(tǒng)等連接起來，并且實現(xiàn)網(wǎng)絡(luò)流量的可視、可管。而奇安信安全SD-WAN則是在此基礎(chǔ)上，內(nèi)置了端到端安全防護能力，提供惡意流量防護、防病毒、上網(wǎng)行為管理等。

在第一時間與冬奧組委完成溝通后，奇安信邊界安全團隊獲取到組網(wǎng)業(yè)務(wù)需求如下：通過SD-WAN連接冬奧場館各個業(yè)務(wù)系統(tǒng)并實現(xiàn)數(shù)據(jù)交互，打通運維人員遠程訪問云平臺后端業(yè)務(wù)系統(tǒng)的路徑，聯(lián)結(jié)雙網(wǎng)絡(luò)中心區(qū)域與機場、車站、酒店與醫(yī)院進行人員數(shù)據(jù)調(diào)度。

這也就是說，主備數(shù)據(jù)中心、主備網(wǎng)絡(luò)中心、各競賽場館以及相關(guān)的機場、酒店、車站、醫(yī)院等等凡是和冬奧相關(guān)聯(lián)的地方，都要用SD-WAN把網(wǎng)絡(luò)連起來。

滿足冬奧組網(wǎng)和安全方面的需求，奇安信安全SD-WAN自然不在話下。第四代SecOS操作系統(tǒng)和異步并行處理的專利技術(shù)，為安全網(wǎng)關(guān)提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)處理能力和高效安全的加密4G傳輸通路，最大限度保證冬奧相關(guān)系統(tǒng)的業(yè)務(wù)連續(xù)性和安全性。

然而，真正的挑戰(zhàn)并不在歷經(jīng)多次打磨的產(chǎn)品上。

吳亞東初步估算了一下，面對如此多的網(wǎng)絡(luò)節(jié)點，起碼要部署300+臺設(shè)備。即便立馬開始行動，剩下時間最多就半個月。更棘手的是，為滿足場館設(shè)備進場進度要求，SD-WAN設(shè)備需從1月20日開始部署，23日正式上線運行，滿打滿算也就96個小時。

顯然，這是一個巨大的工程。

短暫思考之后，吳亞東就留下了一句話：“趁設(shè)備還沒進場，抓緊搭建環(huán)境測試吧，這樣現(xiàn)場部署調(diào)試的坑會少一點?！?/p>

接下來的十幾天，邊界安全團隊辦公區(qū)夜夜燈火通明，定制化功能、業(yè)務(wù)系統(tǒng)聯(lián)結(jié)交互測試有條不紊進行著。

1月20日，滿載奇安信安全SD-WAN設(shè)備的貨車，緩緩開到了西直門外南路26號院奇安信安全中心的樓下，進場部署的日子到了。

受益于前期進行的業(yè)務(wù)模擬測試與1:1環(huán)境搭建環(huán)境驗證，交付師傅們的安裝調(diào)試過程十分順利，于1月22日晚在48小時內(nèi)上線了300+SD-WAN安全組網(wǎng)設(shè)備并進行交付運營。

“奇安信安全SD-WAN零配置上線的能力，大幅度節(jié)省了一線交付團隊的安裝調(diào)試時間?！眳莵問|自豪地介紹到，4G上線的方式，使其能夠自動注冊安全網(wǎng)關(guān)并從管控平臺獲取網(wǎng)絡(luò)配置和安全策略配置，同時基于設(shè)備的角色和WAN/LAN接口屬性，自動化構(gòu)建Overlay網(wǎng)絡(luò)。并且，當網(wǎng)絡(luò)接口發(fā)生變更時，整個Overlay網(wǎng)絡(luò)會自動形成新的Overlay網(wǎng)絡(luò)拓撲，從而降低了組網(wǎng)開通業(yè)務(wù)的復(fù)雜度，實現(xiàn)分鐘級部署安裝。

為保證網(wǎng)絡(luò)接入的安全性，奇安信安全SD-WAN還使用了雙向證書認證的SSL連接，整個配置以及控制通道均采用SSL加密通道，可以做到防止不受信任的CPE設(shè)備接入用戶的SD-WAN網(wǎng)絡(luò)、防止針對CPE設(shè)備和管控平臺的中間人攻擊以及加密管控平臺與CPE設(shè)備之間的加密通信。

流量防護，加解密的戰(zhàn)爭

盡管奇安信安全SD-WAN天生就具備了安全能力，但其核心仍然是組網(wǎng)，說到網(wǎng)絡(luò)邊界的流量防護主力，防火墻的能力依然無與倫比。

“我們在數(shù)據(jù)中心骨干網(wǎng)出口處，部署了近80臺防火墻?！眳莵問|說，奇安信新一代智慧防火墻集成了一體化威脅防護引擎，可對500余萬流行病毒、5000余種漏洞利用攻擊和1000余種間諜軟件行為等提供高性能防護。

在這樣嚴密的防護下，不加任何偽裝的明文攻擊流量幾乎無機可乘。

然而，明文流量早已成為過去式。統(tǒng)計顯示，在冬奧期間所有奇安信新一代智慧防火墻濾過的流量中，加密流量超過了80%。

和明文流量傳輸所不同的是，密文傳輸?shù)闹饕康氖欠乐沽髁拷俪?、中間人攻擊等手段造成的信息泄露。但加密流量同樣讓網(wǎng)絡(luò)攻擊隱藏在其中，Gartner的一項研究數(shù)據(jù)顯示，2019年以來就超過半數(shù)的惡意軟件攻擊使用了加密流量。

更令人擔憂的是，自從2020年全球爆發(fā)新冠疫情以來，加密流量的威脅增加了5倍。

有加密自然就有解密。事實上，在加密流量滿天飛的今天，流量解密可以說是防火墻的必修課之一。

但是流量解密是一個技術(shù)活，并不是誰來都能干的。且不說解密的水平怎么樣，單是解密的效率就夠讓人喝一壺的。

根據(jù)NSS實驗室的一項測試結(jié)果顯示，很少有安全設(shè)備能夠在不嚴重影響網(wǎng)絡(luò)性能的情況下檢查加密數(shù)據(jù)。平均而言，深度包檢測的性能損失為60%，連接率平均下降了92%，響應(yīng)時間則增加了高達672%。然而，一些需要被分析的流量卻根本沒有被這些安全設(shè)備所處理。

這樣的效率和性能損失對于一般企業(yè)而言都很難接受，更不要說對網(wǎng)絡(luò)連續(xù)性要求近乎嚴苛的冬奧會了，畢竟電視機前的觀眾誰也不想把優(yōu)美的冰雪競技，當成是幻燈片來看。

為了解決這個問題，奇安信新一代智慧防火墻引入了高性能SSL流量解密卡，其內(nèi)置的加解密引擎，能夠?qū)⒔饷苄阅芴嵘?0倍。

這很大程度上得歸功于異步調(diào)度。說起異步調(diào)度，那么它的同胞兄弟同步調(diào)度就不得不提。

所謂同步調(diào)度就是在程序繼續(xù)執(zhí)行之前需要等待同步方法執(zhí)行完畢返回結(jié)果，而異步調(diào)度就是在被調(diào)用之后立即返回以便同時執(zhí)行其它操作。

舉個簡單的例子。當儲戶去銀行辦理業(yè)務(wù)，叫號完畢之后一直在大廳等待業(yè)務(wù)辦理完畢再起身離開的就是同步調(diào)度;叫號完畢之后出去吃個飯，等到差不到到自己號了再來柜臺辦業(yè)務(wù)的就是異步調(diào)度。

顯然，對于儲戶而言，異步調(diào)度要比同步調(diào)度效率高很多。那么同理，面對冬奧會期間高并發(fā)的流量，異步調(diào)度能夠把解密引擎和CPU的利用率提升到最高，從而降低網(wǎng)絡(luò)擁堵發(fā)生的可能性。

這些經(jīng)過解密的流量在經(jīng)過防火墻初步過濾之后，還會以流量鏡像的方式，借助明文旁路模式、SSL解密的明文隧道模式同步給旁路檢測設(shè)備(如IDS/NTA)，進一步進行深度包檢測和元數(shù)據(jù)提取。

“這種防火墻解密+旁路檢測明文旁路模式是奇安信的首創(chuàng)，大幅提升了流量側(cè)威脅發(fā)現(xiàn)的效率和準確率?！眳莵問|說。

統(tǒng)一編排，智能引流

與此同時，在網(wǎng)絡(luò)邊界執(zhí)行防護任務(wù)的，還遠遠不止防火墻一種。

比如防毒墻，主要用于發(fā)現(xiàn)流量中混入的惡意軟件;再比如Web應(yīng)用防火墻，主要是針對Web應(yīng)用層識別惡意攻擊命令……

所有這些設(shè)備構(gòu)成了網(wǎng)絡(luò)邊界的縱深防御體系，黑客要想攻進來，就得突破一道有一道的防線。就像抗美援朝第五次戰(zhàn)役中的種子山阻擊戰(zhàn)，志愿軍189師9000人一把芝麻撒在200個小陣地上，也得讓“聯(lián)合國軍”拔五天。

電視劇《跨過鴨綠江》

但這么多的安全設(shè)備也帶來一個問題——所有設(shè)備都是串聯(lián)接入到冬奧網(wǎng)絡(luò)系統(tǒng)中的。學(xué)過物理的都知道，一旦串聯(lián)電路中任意一個元器件發(fā)生斷路，整個電路也就斷了。想要找出故障點，就得逐個元器件進行排查。

而且這么多的網(wǎng)絡(luò)設(shè)備，一定會消耗大量的帶寬資源。試想一條網(wǎng)絡(luò)出口上，如果設(shè)置了這么多的“安檢機構(gòu)”，其效率肯定會大打折扣。

顯然，這給冬奧網(wǎng)絡(luò)連續(xù)性帶來了很大的挑戰(zhàn)。

“這也是我們防火墻的高明之處?！眳莵問|說到，基于奇安信自主研發(fā)的鯤鵬網(wǎng)絡(luò)操作平臺，奇安信智慧防火墻具備了強大的物理安全網(wǎng)元服務(wù)鏈編排能力。

通俗來說，奇安信智慧防火墻具備了“指揮流量”的能力，其好處是不言而喻的。

首先，經(jīng)過防火墻解密的流量在由操作系統(tǒng)引流之后，可以自動分發(fā)至串接的各個安全設(shè)備，這樣一來后續(xù)的安全設(shè)備就不用再對加密流量進行單獨解密，從而降低了網(wǎng)絡(luò)資源消耗和負載。即便是拋開解密效率不談，也大幅提升了整個鏈路的運行效率。

其次，整個鏈路的流量可以實現(xiàn)“按需分配”。假設(shè)某個網(wǎng)絡(luò)出口的帶寬是5G，鏈路中部署了兩臺IPS，其中一臺的處理能力是2G，另一臺是4G，那么在帶寬滿載的情況下，如果按照流量平均分配原則，其中一臺WAF就超負載了，必然會造成阻塞現(xiàn)象，而在智能流量調(diào)度下就不存在這個問題，2G的IPS就處理2G的流量，剩下的交給4G那臺就好了。

即便是某一臺設(shè)備發(fā)生了故障，奇安信智慧防火墻也會將流量智能牽引至沒有發(fā)生故障的設(shè)備中。

第三，經(jīng)由編排的流量能夠可視化展現(xiàn)，方便運維人家進行集中管控和運維。一旦某點出現(xiàn)故障，可以第一時間找出故障點并進行修復(fù)。

“冬奧對于奇安信來說是一次綜合測試，防火墻、SD-WAN負責答的是網(wǎng)絡(luò)邊界部分。”吳亞東說，“經(jīng)過數(shù)十年的發(fā)展，作為老三樣的防火墻歷久彌新，終于有了現(xiàn)在‘智慧’的風貌。不變的是，無論是否面對冬奧會，它始終是網(wǎng)絡(luò)邊界最值得信賴的防守尖兵，與其他設(shè)備一起組成了牢固的縱深防線。”

關(guān)鍵詞：