[构建时间、空间、网络层次三纬度集成端到端安全网络] 第一个端到端的层次

　　今天，大部分人对黑客、病毒攻击的危险性都有了深刻的认识，所以很多网络都大量投资了防火墙、防病毒软件等。但一段时间运作下来，发现效果并不理想，原因何在？关键在于安全是一个完整的体系，原来的安全体系架构存在巨大的缺陷。
　　从时间来看，网络安全设计及解决方案往往只考虑事前防范，缺乏必要的事后追踪及审计能力，时间层面上并没有端到端考虑;从空间来看，往往侧重于考虑对来自外网的黑客防御，对于内部的安全控制缺乏必要手段，空间层面并没有端到端考虑;从网路层面来看，往往侧重于业务层的安全，对网络层和用户层的安全缺乏必要关注。
　　随着业务与网络的集成关系越来越紧密，网络安全在IP网络的发展中居于越来越显著的地位，对于IP业务的发展起着非常关键的基础作用。作为端到端高安全网络的倡导者、实践者和领先者，华为提出“i3安全”解决方案，即时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整清晰的网络安全导航图。
　　IP信息网全面安全防护要求
　　
　　从完整的安全角度来看，安全的威胁包括基础网络资源本身以及承载的数据两个方面，而对安全的保障也应该是一个从发送端到接收端的完整的端到端的安全防护模型（见图1）
　　数据传送保证机密性、完整性及正确性，网络资源防止路由欺骗、地址盗用，对于带宽和端口的占用可以有效的管理与控制，均是构成一个完整安全体系不可缺少的组成部分。
　　
　　华为“i3安全”体系架构
　　
　　面对当前日益复杂的网络环境，作为“全业务和可管理网路”的倡导者、实践者和领先者，华为公司以其长期的网络实践，先进的网络理念认为在当前日益复杂的网络环境下，需要对传统的狭义网络安全理念进行重大变革，基于对当前网络发展需求的研究，开拓性地提出“i3安全”解决方案，即时间、空间、网络层次三个纬度端到端集成安全体系架构，给产业界和用户一个完整安全解决方案。
　　在该架构中，大家除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视觉，具备全面考虑与实施安全防护的模型与能力。
　　
　　网络层次（网络层、用户层、业务层）端到端安全理念
　　网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。
　　网络层:保障网络路由，网络地址等基础网络的安全；
　　用户接入层:确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；
　　业务层:保证用户访问内容的合法性与安全性。
　　华为的“i3安全” 集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。
　　
　　时间（事前、事后）端到端安全理念
　　以前业界更关注网络的事前防范能力，而对事后跟踪能力考虑很少，在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别:
　　事前防范:主要通过数据隔离、加密、过滤等技术，加强整个网络的健壮性。
　　事后跟踪:通过对用户上网端口、时间、访问地的记录，从而为后期的分析提供第一手的资料。
　　实际上日志记录等功能是一个非常良好的追溯手段，在出现问题时可以根据记录迅速查找源头，防止事态进一步扩大。但原来的日志记录都仅限于在应用层的服务器做。这个方案最大的问题就是宽带网络提供灵活的接入手段使得接口分布广泛，仅在应用层做记录无法定位用户的位置，特别是当出现应用层账号密码盗用时给后期的进一步追查带来很大的困难。而华为的“i3安全”架构提供在网络级做日志记录的能力，可以定位到端口，从而确定物理地点与时间，将会给后期进一步查明真相带来很大的帮助。特别是针对我国IP地址比较少，公有地址和私有地址混合组网等随处可见的情况，独具在私有地址环境下的追溯能力。
　　
　　空间（外网、内网）端到端安全理念
　　以往的安全体系侧重在外网防范上下工夫，而对内网安全考虑很少。接入Internet的外网与办工系统的内网所面临的网络环境、安全防范的目标、对用户的管理力度都有很大的差异，所以必须针对外网与内网的不同特点制定有效的安全策略:
　　外网:通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范。
　　内网:通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。
　　
　　在目前这样一个人员高动流动的时代，大部分的泄密均源自内网。原因是传统网络提供的是一个平等的数据交换平台，而实际上不同的人员其访问的范围应该是有所不同。原有的在应用层进行用户鉴权与访问控制的方案由于用户已合法接入网络，可以监听到相关信息，实施攻击，所以效果往往不尽如人意。也正是因为这个原因，今天的安全已是一个涵盖网络级、应用级的在内的完整概念。从网络级就对用户进行访问控制，使非法用户接入网络就成为聋子、瞎子，将大大增加非法用户进一步实施盗取与攻击的难度，从而增强安全防护体系的效能。
　　随着网络上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而网络的安全防护作为一个系统工程，其范围与深度早已超出了我们原来的预料，并还将进一步发展。只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。
　　
　　华为“i3安全”解决方案
　　
　　针对安全的不同方面华为提出了相应的解决方案，并将这些解决方案与网络各层次设备进行有机的融合，从而为用户提供全面的端到端的集成安全服务。作为华为完整的安全体系，其网络层次、时间、空间三个纬度是融合在一起密不可分的，并且体现在各层次的网络设备中。华为路由器、以太网交换机、WLAN、EAS以太网接入服务器及Eudemon安全网关等基础网络设备提供全面的集成安全特性，并提供iTellin CAMS安全策略服务系统。
　　华为Quidway S系列交换机，不仅可以针对特定的IP地址、网段进行包过滤，还可以基于四层以上的信息来进行相应的包过滤，通过华为公司独具特色的Quidway MA5200 EAS设备甚至可以做到针对特定用户的包过滤，从而大大增强整个网络的安全性。
　　华为Quidway S8500/8000/S6500核心交换机和Quidway NetEngine 40/20通用交换路由器提供MPLS VPN、BAS、NAT、防火墙、入侵检测、负载均衡等丰富的安全特性，对于构建扁平化IP网络，减少网络层次，降低网络复杂性，构筑业务网络，满足全业务传送起着关键的支撑地位，同时能够大幅度降低网络投资及维护成本。
　　华为iTellin CAMS安全策略服务系统与Quidway S系列交换机、Quidway NetEngine 高端路由器、Quidway R系列中低端路由器、Quidway WA系列无线局域网、Quidway MA5200 以太网接入服务器、Quidway Eudemon 安全网关设备配合，提供端到端的安全体系解决方案与策略实施服务，从时间、空间、网络层次三个纬度全面保证网络安全，提供智能的、集成的、个性化的解决方案，能够全面满足行业及企业客户化安全解决方案的需要。