【訊】說起流量，此次北京冬奧會大家所熟知的“超級頂流”至少有兩個：賽場之內，非滑雪運動員谷愛凌莫屬，無論是勇奪兩金一銀的頂尖競技水平，還是韭菜盒子、商品代言，都成為了人們茶余飯后津津樂道的話題;賽場之外，那一定是白白胖胖的冰墩墩了，其火爆程度使得“一戶一墩”的美好愿望和“一墩難求”的骨感現實形成了鮮明的對比。

除此之外，還有一樣東西大家可能相對陌生一些，但也絕對配得上“頂流”一詞：它們承載著冬奧會相關信息系統的所有網絡流量，并且還要盡可能把其中的惡意流量攔截下來，攔截時還不能影響冬奧相關業務的正常開展。

它們中有負責組網互聯的，有負責惡意流量攔截的，還有負責加密流量解密的，總之它們有一個共同的名字：網絡邊界設備。

48小時，300+SD-WAN設備組網上線

據統計，北京冬奧會設置了7個大項、15個分項、109個小項，吸引了來自91個國家和地區的超過2800名運動員參賽。

所有外籍運動員來到中國后都會遇到一個窘境：沒有相關的身份信息。因此，所有需要實名認證的事情如酒店入住等就會比較麻煩。

但顯而易見，所有運動員的身份信息都是在奧組委處注冊報名過的，只不過冬奧的網絡系統處于隔離網環境。想要解決這個問題，就得把互聯網和冬奧的網絡連接起來。

然而，一旦冬奧的網絡接入了互聯網，就會直接面對各種來自互聯網的安全威脅，比如釣魚網站、勒索病毒、挖礦木馬等等。

所以，組網方案一定要和網絡安全融合內生。那么，有沒有這種方案呢?

2022年1月5日，小寒。剛剛結束元旦假期的奇安信副總裁、邊界安全負責人吳亞東立馬接到了一個極富挑戰性的任務：北京冬奧組委決定采用奇安信安全SD-WAN完成組網。

顧名思義，安全SD-WAN就是同時具備了組網和安全防護兩個方面的能力。

作為時下最流行的組網設備，SD-WAN的核心能力就是以軟件定義的方式，將不同地域的企業網絡、數據中心、云服務系統等連接起來，并且實現網絡流量的可視、可管。而奇安信安全SD-WAN則是在此基礎上，內置了端到端安全防護能力，提供惡意流量防護、防病毒、上網行為管理等。

在第一時間與冬奧組委完成溝通后，奇安信邊界安全團隊獲取到組網業務需求如下：通過SD-WAN連接冬奧場館各個業務系統并實現數據交互，打通運維人員遠程訪問云平臺后端業務系統的路徑，聯結雙網絡中心區域與機場、車站、酒店與醫院進行人員數據調度。

這也就是說，主備數據中心、主備網絡中心、各競賽場館以及相關的機場、酒店、車站、醫院等等凡是和冬奧相關聯的地方，都要用SD-WAN把網絡連起來。

滿足冬奧組網和安全方面的需求，奇安信安全SD-WAN自然不在話下。第四代SecOS操作系統和異步并行處理的專利技術，為安全網關提供高性能的數據轉發處理能力和高效安全的加密4G傳輸通路，最大限度保證冬奧相關系統的業務連續性和安全性。

然而，真正的挑戰并不在歷經多次打磨的產品上。

吳亞東初步估算了一下，面對如此多的網絡節點，起碼要部署300+臺設備。即便立馬開始行動，剩下時間最多就半個月。更棘手的是，為滿足場館設備進場進度要求，SD-WAN設備需從1月20日開始部署，23日正式上線運行，滿打滿算也就96個小時。

顯然，這是一個巨大的工程。

短暫思考之后，吳亞東就留下了一句話：“趁設備還沒進場，抓緊搭建環境測試吧，這樣現場部署調試的坑會少一點。”

接下來的十幾天，邊界安全團隊辦公區夜夜燈火通明，定制化功能、業務系統聯結交互測試有條不紊進行著。

1月20日，滿載奇安信安全SD-WAN設備的貨車，緩緩開到了西直門外南路26號院奇安信安全中心的樓下，進場部署的日子到了。

受益于前期進行的業務模擬測試與1:1環境搭建環境驗證，交付師傅們的安裝調試過程十分順利，于1月22日晚在48小時內上線了300+SD-WAN安全組網設備并進行交付運營。

“奇安信安全SD-WAN零配置上線的能力，大幅度節省了一線交付團隊的安裝調試時間。”吳亞東自豪地介紹到，4G上線的方式，使其能夠自動注冊安全網關并從管控平臺獲取網絡配置和安全策略配置，同時基于設備的角色和WAN/LAN接口屬性，自動化構建Overlay網絡。并且，當網絡接口發生變更時，整個Overlay網絡會自動形成新的Overlay網絡拓撲，從而降低了組網開通業務的復雜度，實現分鐘級部署安裝。

為保證網絡接入的安全性，奇安信安全SD-WAN還使用了雙向證書認證的SSL連接，整個配置以及控制通道均采用SSL加密通道，可以做到防止不受信任的CPE設備接入用戶的SD-WAN網絡、防止針對CPE設備和管控平臺的中間人攻擊以及加密管控平臺與CPE設備之間的加密通信。

流量防護，加解密的戰爭

盡管奇安信安全SD-WAN天生就具備了安全能力，但其核心仍然是組網，說到網絡邊界的流量防護主力，防火墻的能力依然無與倫比。

“我們在數據中心骨干網出口處，部署了近80臺防火墻。”吳亞東說，奇安信新一代智慧防火墻集成了一體化威脅防護引擎，可對500余萬流行病毒、5000余種漏洞利用攻擊和1000余種間諜軟件行為等提供高性能防護。

在這樣嚴密的防護下，不加任何偽裝的明文攻擊流量幾乎無機可乘。

然而，明文流量早已成為過去式。統計顯示，在冬奧期間所有奇安信新一代智慧防火墻濾過的流量中，加密流量超過了80%。

和明文流量傳輸所不同的是，密文傳輸的主要目的是防止流量劫持、中間人攻擊等手段造成的信息泄露。但加密流量同樣讓網絡攻擊隱藏在其中，Gartner的一項研究數據顯示，2019年以來就超過半數的惡意軟件攻擊使用了加密流量。

更令人擔憂的是，自從2020年全球爆發新冠疫情以來，加密流量的威脅增加了5倍。

有加密自然就有解密。事實上，在加密流量滿天飛的今天，流量解密可以說是防火墻的必修課之一。

但是流量解密是一個技術活，并不是誰來都能干的。且不說解密的水平怎么樣，單是解密的效率就夠讓人喝一壺的。

根據NSS實驗室的一項測試結果顯示，很少有安全設備能夠在不嚴重影響網絡性能的情況下檢查加密數據。平均而言，深度包檢測的性能損失為60%，連接率平均下降了92%，響應時間則增加了高達672%。然而，一些需要被分析的流量卻根本沒有被這些安全設備所處理。

這樣的效率和性能損失對于一般企業而言都很難接受，更不要說對網絡連續性要求近乎嚴苛的冬奧會了，畢竟電視機前的觀眾誰也不想把優美的冰雪競技，當成是幻燈片來看。

為了解決這個問題，奇安信新一代智慧防火墻引入了高性能SSL流量解密卡，其內置的加解密引擎，能夠將解密性能提升10倍。

這很大程度上得歸功于異步調度。說起異步調度，那么它的同胞兄弟同步調度就不得不提。

所謂同步調度就是在程序繼續執行之前需要等待同步方法執行完畢返回結果，而異步調度就是在被調用之后立即返回以便同時執行其它操作。

舉個簡單的例子。當儲戶去銀行辦理業務，叫號完畢之后一直在大廳等待業務辦理完畢再起身離開的就是同步調度;叫號完畢之后出去吃個飯，等到差不到到自己號了再來柜臺辦業務的就是異步調度。

顯然，對于儲戶而言，異步調度要比同步調度效率高很多。那么同理，面對冬奧會期間高并發的流量，異步調度能夠把解密引擎和CPU的利用率提升到最高，從而降低網絡擁堵發生的可能性。

這些經過解密的流量在經過防火墻初步過濾之后，還會以流量鏡像的方式，借助明文旁路模式、SSL解密的明文隧道模式同步給旁路檢測設備(如IDS/NTA)，進一步進行深度包檢測和元數據提取。

“這種防火墻解密+旁路檢測明文旁路模式是奇安信的首創，大幅提升了流量側威脅發現的效率和準確率。”吳亞東說。

統一編排，智能引流

與此同時，在網絡邊界執行防護任務的，還遠遠不止防火墻一種。

比如防毒墻，主要用于發現流量中混入的惡意軟件;再比如Web應用防火墻，主要是針對Web應用層識別惡意攻擊命令……

所有這些設備構成了網絡邊界的縱深防御體系，黑客要想攻進來，就得突破一道有一道的防線。就像抗美援朝第五次戰役中的種子山阻擊戰，志愿軍189師9000人一把芝麻撒在200個小陣地上，也得讓“聯合國軍”拔五天。

電視劇《跨過鴨綠江》

但這么多的安全設備也帶來一個問題——所有設備都是串聯接入到冬奧網絡系統中的。學過物理的都知道，一旦串聯電路中任意一個元器件發生斷路，整個電路也就斷了。想要找出故障點，就得逐個元器件進行排查。

而且這么多的網絡設備，一定會消耗大量的帶寬資源。試想一條網絡出口上，如果設置了這么多的“安檢機構”，其效率肯定會大打折扣。

顯然，這給冬奧網絡連續性帶來了很大的挑戰。

“這也是我們防火墻的高明之處。”吳亞東說到，基于奇安信自主研發的鯤鵬網絡操作平臺，奇安信智慧防火墻具備了強大的物理安全網元服務鏈編排能力。

通俗來說，奇安信智慧防火墻具備了“指揮流量”的能力，其好處是不言而喻的。

首先，經過防火墻解密的流量在由操作系統引流之后，可以自動分發至串接的各個安全設備，這樣一來后續的安全設備就不用再對加密流量進行單獨解密，從而降低了網絡資源消耗和負載。即便是拋開解密效率不談，也大幅提升了整個鏈路的運行效率。

其次，整個鏈路的流量可以實現“按需分配”。假設某個網絡出口的帶寬是5G，鏈路中部署了兩臺IPS，其中一臺的處理能力是2G，另一臺是4G，那么在帶寬滿載的情況下，如果按照流量平均分配原則，其中一臺WAF就超負載了，必然會造成阻塞現象，而在智能流量調度下就不存在這個問題，2G的IPS就處理2G的流量，剩下的交給4G那臺就好了。

即便是某一臺設備發生了故障，奇安信智慧防火墻也會將流量智能牽引至沒有發生故障的設備中。

第三，經由編排的流量能夠可視化展現，方便運維人家進行集中管控和運維。一旦某點出現故障，可以第一時間找出故障點并進行修復。

“冬奧對于奇安信來說是一次綜合測試，防火墻、SD-WAN負責答的是網絡邊界部分。”吳亞東說，“經過數十年的發展，作為老三樣的防火墻歷久彌新，終于有了現在‘智慧’的風貌。不變的是，無論是否面對冬奧會，它始終是網絡邊界最值得信賴的防守尖兵，與其他設備一起組成了牢固的縱深防線。”

關鍵詞：