全球要聞：單點(diǎn)故障全網(wǎng)癱瘓？且看網(wǎng)絡(luò)流量“指揮大師”來如何破解

（CWW）通常情況下，不同的網(wǎng)絡(luò)安全設(shè)備之間，有著不同的分工。比如防火墻按照最小化白名單原則，通過安全策略，僅對外開放有限服務(wù)，減小攻擊面；比如Web應(yīng)用防火墻（WAF）可以阻止針對Web應(yīng)用程序的惡意命令執(zhí)行；再比如入侵防護(hù)系統(tǒng)（IPS）可以阻止部分網(wǎng)絡(luò)流量中的惡意攻擊代碼；所有這些設(shè)備或多或少組合在一起，成為了企業(yè)網(wǎng)絡(luò)邊界的防守大閘。鑒于網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，安全設(shè)備也隨之越來越多。

安全設(shè)備與“糖葫蘆串”

(資料圖片僅供參考)

不過，新的問題很快出現(xiàn)了。網(wǎng)絡(luò)安全目的本來是要保證組織不會因為網(wǎng)絡(luò)攻擊而導(dǎo)致數(shù)據(jù)丟失或者業(yè)務(wù)中斷，但過多的安全設(shè)備有時候會適得其反。至于原因嘛，還要從大家小時候都吃過的甜品糖葫蘆串說起。眾所周知，糖葫蘆是用簽子將一個個山楂球串起來制作而成的。吃的時候，一般都是從上到下按順序一個個“消滅掉”。

為了吸引消費(fèi)者，商家有時候還會將山楂球換成不同種類的水果，比如葡萄、桔子等等，但如果不喜歡某種口味想要跳過它吃下一個，并不是一件非常容易的事情，上面的冰糖會粘得滿嘴都是，一個不小心還會將相鄰的山楂球弄掉在地上。安全防護(hù)架構(gòu)也大抵如此，就像這樣。

安全設(shè)備就像糖葫蘆一樣串成一串，等著檢查訪問服務(wù)器的網(wǎng)絡(luò)流量是不是有問題。想要跳過誰都不成。盡管不同的安全設(shè)備在部分功能方面有所重合，但沒有任何一款產(chǎn)品能夠包打天下，各自專注在最擅長的領(lǐng)域，是最高效的做法。但在這樣一個糖葫蘆串式的架構(gòu)中，各個設(shè)備相互耦合，就像一個山楂球粘著另外一個山楂球，彼此影響。

“所有設(shè)備穿糖葫蘆式的接進(jìn)來，所有流量就會流經(jīng)所有安全設(shè)備?！逼姘残偶瘓F(tuán)副總裁、首席架構(gòu)師吳亞東在9月13日的奇安信流量解密編排器發(fā)布會上說，這樣一來就會出現(xiàn)三個問題。

第一，訪問服務(wù)器的流量都要被一條鏈路上的所有安全設(shè)備檢查。

個人電腦會因為裝了各類安全軟件導(dǎo)致運(yùn)行緩慢，其主要原因在于這些軟件在保護(hù)電腦的同時，消耗了過多的內(nèi)存、CPU等硬件資源。網(wǎng)絡(luò)安全設(shè)備也是一樣。事實上不同類型的專業(yè)設(shè)備檢測的流量并不相同，并不需要檢查所有流量，即使檢測也檢測不出個子丑寅卯。而且，過度檢測只會導(dǎo)致非必要的性能損耗，從而影響業(yè)務(wù)系統(tǒng)的運(yùn)行效率。

第二，一旦單一設(shè)備出現(xiàn)故障，會導(dǎo)致整個鏈路不通。

學(xué)過物理的都知道，在一個串聯(lián)電路中，任何一個元器件出現(xiàn)斷路，整條電路就都斷了，這就相當(dāng)于開關(guān)沒有閉合。網(wǎng)絡(luò)也是一樣，任意一個網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)生擁塞或故障，都可能導(dǎo)致業(yè)務(wù)訪問延遲大或業(yè)務(wù)中斷。而且，一旦故障發(fā)生，想要迅速找出故障點(diǎn)。逐個設(shè)備排查，費(fèi)時費(fèi)力，想要第一時間恢復(fù)純靠運(yùn)氣。另外，對安全設(shè)備進(jìn)行升級維護(hù)，都要提前通知預(yù)留割接窗口，且通常都在晚上或周末，非常耽誤時間。

第三，擴(kuò)展性差，難以對安全設(shè)備進(jìn)行橫向彈性擴(kuò)容。

隨著企業(yè)業(yè)務(wù)量的擴(kuò)張，舊有的安全設(shè)備一定會遇到性能瓶頸的難題。比如一臺防火墻吞吐量為1Gbps，但業(yè)務(wù)訪問流量如果增長到2Gbps，就會面臨著擴(kuò)容的問題。常見的擴(kuò)容方式包括橫向擴(kuò)容和縱向擴(kuò)容兩種。舉個例子。一所高校想要擴(kuò)招，現(xiàn)有的宿舍樓肯定是不夠住了，必須得擴(kuò)建。所謂縱向擴(kuò)容就是指在原有宿舍樓基礎(chǔ)上，縱向往上加蓋幾層，得到一棟能容納更多學(xué)生的宿舍樓；橫向擴(kuò)容是指重新選址，多蓋幾棟宿舍樓，大有“橫向發(fā)展”的意思。但網(wǎng)絡(luò)設(shè)備不是宿舍樓，不可能往上加蓋幾層，想要縱向擴(kuò)容，只能換一個更好的。

在糖葫蘆串的網(wǎng)絡(luò)安全部署架構(gòu)下，向糖葫蘆串中不斷串接設(shè)備這種橫向擴(kuò)容方式并不適用，和木桶效應(yīng)類似，流量處理能力取決于最小的那個設(shè)備，接再多的設(shè)備也無濟(jì)于事。最窄的地方“堵上了”，整條路也就“堵上了”。因此最理想的橫向擴(kuò)容形式為HA雙主（即兩臺機(jī)器同時獨(dú)立運(yùn)行，互不影響，流量處理能力約等于兩臺機(jī)器之和），但流量一旦超過其處理能力，還是得縱向擴(kuò)容，將原有設(shè)備換成性能更高的型號。這樣一來，舊的設(shè)備就失去了用武之地，原有投資無法得保護(hù)。而且，更換設(shè)備會導(dǎo)致斷網(wǎng)，斷網(wǎng)也意味著業(yè)務(wù)中斷，這是所有組織都難以接受的，也不是網(wǎng)絡(luò)安全防護(hù)所想看到的結(jié)果。

流量調(diào)度室

其實不難看出，所有問題的癥結(jié)都在于這個“糖葫蘆串”上——這是流量到達(dá)訪問目標(biāo)的唯一路徑，不管流量要在哪個設(shè)備上接受檢查，都得一個個過。想要解決這個問題，就得從根上解決“穿糖葫蘆”式的安全設(shè)備部署方法，讓特定流量只經(jīng)過特定設(shè)備。

這和處理城市內(nèi)澇的思路是一樣的，積水需要通過遍布全城的下水道網(wǎng)，引流到該去的地方，而不是僅僅依靠一個大的河渠。不過，網(wǎng)絡(luò)流量不像積水一樣，會在重力的引導(dǎo)下自動由高處流向低處。所以，奇安信在9月13日發(fā)布的流量解密編排器上，引入了智能化服務(wù)鏈編排技術(shù)。聽起來有點(diǎn)晦澀，但實際上就是給網(wǎng)絡(luò)流量造了一個“調(diào)度室”：讓從哪條路走，就從哪條路走，而不是都擠在主干道上。

服務(wù)鏈編排做的第一件事情，就是基于細(xì)粒度智能引流策略。包括對主干路經(jīng)過的流量進(jìn)行分類，然后將流量引流到由安全網(wǎng)元組構(gòu)成的服務(wù)鏈上，比如需要進(jìn)行漏洞檢測的轉(zhuǎn)發(fā)至IPS；需要進(jìn)行Web防護(hù)的分流至WAF進(jìn)行檢測；需要旁路檢測的，通過串聯(lián)鏈發(fā)送給相關(guān)設(shè)備，比如探針、IDS等。

這樣一來，過去“穿糖葫蘆”式的架構(gòu)就不復(fù)存在了，取而代之的是一種“旁掛式”的架構(gòu)，簡單理解就是下圖這樣子。

這樣做最大的好處就在于不同的安全設(shè)備再也不用檢測所有流量，而是根據(jù)業(yè)務(wù)安全需要，通過個性化的引流策略讓安全設(shè)備分工合作各司其職，從而大大降低了安全設(shè)備無效的工作負(fù)載，提升了整個網(wǎng)絡(luò)的運(yùn)行效率。

第二件事情就是實時探測各個安全設(shè)備的運(yùn)行狀態(tài)。

這么做的好處有兩個：第一個在探測到發(fā)生故障的安全設(shè)備時，可以啟動Bypass機(jī)制跳過故障設(shè)備，將原本需要經(jīng)過該設(shè)備的流量，自動轉(zhuǎn)發(fā)至相同網(wǎng)元組內(nèi)的其它同類型設(shè)備，保障業(yè)務(wù)持續(xù)運(yùn)行；

第二個是對安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行實時可視化展現(xiàn)，一旦設(shè)備運(yùn)行出現(xiàn)問題，工程師可第一時間定位到故障點(diǎn)并修復(fù)，避免排障“全靠運(yùn)氣”的尷尬局面。

第三件事情是安全設(shè)備的資源池化。

與傳統(tǒng)架構(gòu)最大的不同是，資源池能夠?qū)崿F(xiàn)安全工具和網(wǎng)絡(luò)架構(gòu)的解耦，按需個性化智能引流，以及橫向彈性伸縮，安全資源利用率最大化。如前文所述，穿糖葫蘆式的架構(gòu)是很難新增設(shè)備的，想要擴(kuò)容只能將原有的設(shè)備換成一個更高端的，導(dǎo)致客戶TCO（總體擁有成本）持續(xù)增加。但服務(wù)鏈編排技術(shù)可以將舊的和新增的安全設(shè)備放入相同資源池，按照流量負(fù)載算法將流量牽引至不同設(shè)備處理，不但讓原有的安全設(shè)備仍然可以持續(xù)發(fā)揮作用，更重要的是帶來了動態(tài)橫向擴(kuò)容的便利。

想要擴(kuò)容，新增設(shè)備就完事了，流量解密編排器會把該過去的流量調(diào)度過去。當(dāng)然，這三件事情對第三方的安全設(shè)備同樣有效，并不會因為采購了不同廠商的不同型號設(shè)備，出現(xiàn)服務(wù)鏈編排效果大打折扣的現(xiàn)象。

一次解密，多次檢測

有一點(diǎn)需要注意的是，服務(wù)鏈編排技術(shù)在如今加密流量時代顯得尤為重要。眾所周知，流量加密的本意是為了防止數(shù)據(jù)在傳輸過程中被監(jiān)聽或者被劫持，但這同樣給了攻擊者隱藏自己的機(jī)會。互聯(lián)網(wǎng)超過90%的流量是加密流量，企業(yè)內(nèi)部超過80%的流量是加密流量，95%的企業(yè)聲稱遭受過加密流量攻擊……

這幾個數(shù)據(jù)非常直觀地展示了針對加密流量檢測的緊迫性。

通常情況下，加密流量檢測最直接也最有效的方法，就是將密文流量解密成明文。不過，解密過程所消耗的CPU資源是非常驚人的，可以達(dá)到明文流量檢測的100倍之多。用一句話來形容，解密是CPU密集型操作。如此巨大的消耗，如果再讓所有安全設(shè)備都來一遍，導(dǎo)致CPU資源無故浪費(fèi)不說，還勢必給系統(tǒng)網(wǎng)絡(luò)帶來極大的延遲。如果用簡單的算式計算，“糖葫蘆串”上串了多少個設(shè)備，就還會在100倍算力消耗的基礎(chǔ)上，再增加多少倍的算力消耗。這對任何組織來說，都是一件非常不劃算的事情。

而且，如此多的加密流量，經(jīng)常大大超出安全設(shè)備的解密能力上限。為了保障業(yè)務(wù)連續(xù)性，網(wǎng)絡(luò)安全只能有所妥協(xié)，使得加密威脅成為企業(yè)當(dāng)前面臨的重大問題之一。

如果使用奇安信流量解密編排器則大有不同。流量解密編排器搭載的高性能解密能力，能夠在完成流量解密之后，依托服務(wù)鏈編排技術(shù)將明文流量按需分發(fā)至既定的安全設(shè)備中，實現(xiàn)一次解密多次檢測，從而避免了CPU資源的浪費(fèi)。

從這個角度上看，服務(wù)鏈編排技術(shù)稱得上是一位頂尖的網(wǎng)絡(luò)流量“指揮大師”。

關(guān)鍵詞： 網(wǎng)絡(luò)流量 服務(wù)鏈編排技術(shù) 網(wǎng)絡(luò)安全