零事故的背后:与北京冬奥会相关的深层网络防线无论是夺得两金一银的顶级赛事,还是韭菜盒子和产品代言,都成为赛后人们津津乐道的话题晚餐;赛场外,一定是又白又胖。火爆程度让“一户一镇”的美好愿望与“一房难求”的骨感现实形成鲜明对比。除此之外,还有一个大家可能比较陌生,但绝对配得上“顶流”这个词的是:他们承载着冬奥会相关信息系统的所有网络流量,他们必须竭尽全力拦截恶意流量,拦截时不能影响冬奥相关业务的正常开展。其中一些负责联网,一些负责拦截恶意流量,一些负责解密加密流量。总之,它们有一个共同的名字:网络边界设备。48小时内,300+SD-WAN设备群上线据统计,北京冬奥会设置了7个大项、15个分项、109个小项,吸引了来自91个国家和地区的2800余名运动员参赛。所有的外国运动员来到中国都会遇到一个困境:没有相关的身份信息。所以凡是需要实名认证的事情,比如酒店入住,都会比较麻烦。但很明显,所有运动员的身份信息都已在奥组委注册,但冬奥会的网络系统处于孤立的网络环境中。要解决这个问题,互联网必须接入冬奥网络。然而,冬奥会网络一旦接入互联网,将直接面临来自互联网的各种安全威胁,如钓鱼网站、勒索软件、挖矿木马等。因此,网络解决方案必须与网络安全相结合。那么,有没有这样的解决方案呢?2022年1月5日,小寒。刚刚结束元旦假期的奇安信副总裁、边防安全总监吴亚东马上接到了一项极具挑战性的任务:北京冬奥组委决定采用奇安信的安全SD-WAN完成组网。顾名思义,安全的SD-WAN能够同时进行网络和安全保护。SD-WAN作为当今最流行的组网设备,其核心能力是以软件定义的方式连接不同区域的企业网络、数据中心和云服务系统,实现网络流量的可视化和管理。在此基础上,奇安信安全SD-WAN内置端到端的安全防护能力,提供恶意流量防护、反病毒、上网行为管理等。在第一时间完成与冬奥组委的沟通后,奇安信边防保障团队得到如下组网业务需求:通过SD-WAN连接冬奥场馆各业务系统并实现数据交互,打通远程访问到运维人员云平台后端业务系统路径连接双网中心区与机场、车站、酒店、医院进行人员数据调度。也就是说,必须用SD-WAN来连接主备数据中心、主备网络中心、比赛场馆以及与冬奥相关的机场、酒店、车站、医院等场所。为满足冬奥会的组网和安全需求,奇安信的安全SD-WAN自然是不二之选。第四代SecOS操作系统和异步并行处理专利技术为安全网关提供了高性能的数据转发处理能力和高效安全的加密4G传输通道,最大限度地保障冬奥相关系统的业务连续性和安全性。然而,真正的挑战不在于经过多次打磨的产品。吴亚东初步估计,面对如此多的网络节点,至少要部署300+台设备。就算马上开始行动,剩下的时间最多也就是半个月。更难的是,为了满足设备进场进度要求,SD-WAN设备需要从1月20日开始部署,1月23日正式上线,仅需96小时即可完成计算。显然,这是一项浩大的工程。想了想,吴亚东留下了一句话:“设备进场前,赶紧搭建环境测试,这样现场部署调试的坑就少了。”接下来的十天里,边境安保大队办公区夜间灯火通明,定制化功能和业务系统对接交互测试有条不紊地进行着。1月20日,一辆满载奇安信安防SD-WAN设备的货车缓缓驶入西直门外南路26号奇安信安防中心楼下,部署的日子到了。得益于前期进行的业务模拟测试和1:1环境搭建环境验证,交付师傅的安装调试过程非常顺利。1月22日晚,300+台SD-WAN安全组网设备在48小时内上线并进行Delivery操作。“千信安防SD-WAN零配置上线的能力,大大节省了一线交付团队的安装调试时间。”吴亚东自豪地介绍,4G上网的方式使其能够自动注册安全网关并从管控平台获取网络配置和安全策略配置,并根据设备的角色和WAN/LAN接口属性,自动构建覆盖网络。而且,当网络接口发生变化时,整个Overlay网络会自动形成新的Overlay网络拓扑结构,从而降低网络激活的复杂度,实现分钟级的部署安装。为保证网络访问的安全,奇安信安全SD-WAN还采用SSL连接,双向证书认证。整个配置和控制通道采用SSL加密通道,可以防止不可信的CPE设备接入用户的SD-WAN网络,防止CPE设备和管控平台之间的中间人攻击,对CPE设备和管控平台之间的加密通信进行加密管控平台和CPE设备。流量防护,加解密之战奇安信安防SD-WAN虽然天生具备安全能力,但其核心还是网络。说到网络边界的流量防护主力军,防火墙的能力还是无可比拟的。“我们在数据中心骨干网出口部署了近80道防火墙。”吴亚东表示,奇安信新一代智能防火墙集成了一体化威胁防护引擎,可针对超过500万种流行病毒、超过5000种漏洞利用攻击和超过1000种间谍软件行为提供高性能防护。在如此严密的保护下,没有任何伪装的明文攻击流量几乎不可能被利用。然而,明文流量早已成为历史。统计显示,冬奥会期间,奇安信下一代智能防火墙过滤的所有流量中,加密流量超过80%。与明文流量传输不同,密文传输的主要目的是防止流量劫持和中间人攻击造成的信息泄露。但加密流量也隐藏了网络攻击。根据Gartner的一项研究,自2019年以来,超过一半的恶意软件攻击都使用了加密流量。更令人担忧的是,自2020年新冠疫情全球爆发以来,加密流量的威胁增加了5倍。有加密,自然就有解密。事实上,在加密流量无处不在的今天,流量解密可以说是防火墙的必修课之一。但是流量解密是个技术活,不是每个人都能做的。先不说解密的水平,单是解密的效率就足以让人喝一壶了。根据NSSLabs的测试结果,很少有安全设备能够在不严重影响网络性能的情况下检查加密数据。平均而言,深度包检测的性能损失为60%,连接率平均下降92%,响应时间增加高达672%。然而,一些需要分析的流量根本不会被这些安全设备处理。这样的效率和性能损失对于普通企业来说是无法接受的,更何况是对网络连续性有着近乎严苛要求的冬奥会。毕竟,电视机前的任何人都不想把美丽的冰雪比赛看成幻灯片。为解决这一问题,奇安信新一代智能防火墙推出了高性能SSL流量解密卡,内置加解密引擎,解密性能提升10倍。这在很大程度上要归功于异步调度。说到异步调度,那就不得不提它的兄弟同步调度。所谓同步调度是指程序在继续执行之前,需要等待同步方法执行完毕并返回结果,而异步调度是指被调用后立即返回,同时执行其他操作.举一个简单的例子。储户到银行办理业务时,被叫号后,在大堂等待业务处理完毕,才起身离开。是同步调度;调度。显然,对于存款人来说,异步调度比同步调度要高效得多。同理,面对冬奥期间的高并发流量,异步调度可以最大限度地利用解密引擎和CPU,从而降低网络拥塞的可能性。经过防火墙初步过滤后,解密后的流量会以流镜像的方式同步到旁路检测设备(如IDS/NTA),借助明文旁路模式和SSL解密明文隧道模式,进一步深度包检查和元数据提取。“这种防火墙解密+绕过检测的明文旁路模式是奇安信的首创,大大提高了流量侧威胁发现的效率和准确性。”吴亚东说。统一编排,智能引流同时,防火墙在网络边界的防护任务远不止一种。例如,防病毒墙主要用于检测流量中混入的恶意软件;再比如web应用防火墙,主要是用来识别针对web应用层的恶意攻击命令……这些设备构成了网络边界的纵深防御系统,黑客想要闯入,你有突破一道防线。就像第五次抗美援朝战役中的种子山封锁一样,志愿军189师9000人在200个小阵地上撒了一把芝麻,“联合国军”不得不拉出去五天。图片:电视剧《跨过鸭绿江》但是这么多的安防设备也带来了一个问题——所有的设备都串接在冬奥网络系统中。学过物理的人都知道,串联电路中任何一个元件一旦断开,整个电路也就断开了。要想找出故障点,就得一一检查部件。而且,这么多的网络设备肯定会消耗大量的带宽资源。试想一个网络出口,如果设立那么多“安全检查机构”,其效率肯定会大大降低。显然,这给冬奥会网络的连续性带来了极大的挑战。“这也是我们防火墙的高明之处。”吴亚东表示,基于奇安信自主研发的鲲鹏网络运营平台,奇安信智能防火墙具备强大的物理安全网元服务链编排能力。通俗地说,奇安信智能防火墙具有“导流”的能力,其好处不言而喻。首先,防火墙解密后的流量经过操作系统的导流后,可以自动分发给串联的各个安全设备,使得后续的安全设备无需单独对加密后的流量进行解密,从而减少网络资源消耗和加载。甚至不管解密效率如何,整个链路的运行效率都得到了极大的提升。第二,整个链路的流量可以“按需分配”。假设某网络出口带宽为5G,链路中部署了两个IPS,一个处理能力为2G,一个为4G,那么在满带宽的情况下,如果流量相等的原则其次是分配,其中一个WAF超载,必然造成拥塞,但在智能流量调度下不存在这个问题。2GIPS处理2G流量,其余的留给4G流量。即使某个设备发生故障,奇安信智能防火墙也会智能地将流量分流到没有发生故障的设备上。第三,编排后的流量可视化展示,便于集中管控和运维。一旦某一点出现故障,可以在第一时间找到故障点并进行维修。“冬奥会是对奇安信的全面考验,防火墙和SD-WAN负责网络边界。”当前的“智能”风格。不变的是,无论是否面对冬奥会,它始终是网络边界最可靠的防御先锋,与其他设备一起,形成坚实的纵深防御。”
