互聯(lián)網(wǎng)安全威脅的增多，促使網(wǎng)絡(luò)安全產(chǎn)品也異常豐富。從加密到防護、從邊界到數(shù)據(jù)、從通路到應(yīng)用、從監(jiān)控到管理等等各種各樣的安全系統(tǒng)構(gòu)成了一個讓人眼花繚亂的虛假繁榮場面，各種產(chǎn)品似乎都能解決所有的問題，各種產(chǎn)品似乎都在抱著“永不停歇”的精神向其他個邊沿領(lǐng)域衍生。

各種產(chǎn)品的定位重合與高強度的市場吶喊，讓用戶迷失在自己真實的需求里：我們沒有辦法評估到底需要什么樣的安全方案、需要哪些安全產(chǎn)品。好像安全被無端的無限夸張了，導(dǎo)致直接惡果是最終用戶因為“不能理解”而處于等待狀態(tài)、甚至抵觸狀態(tài)。

所以，要普及或者更好的應(yīng)用專業(yè)安全產(chǎn)品，需要的是給用戶“誠實”的描述他們“真實”的需求。

青蓮科技(Cyanlotus)提供產(chǎn)品與解決方案的同時，更關(guān)注的是讓用戶知道自己真實的需求。 在某礦業(yè)集團（下稱A礦業(yè)集團）的網(wǎng)絡(luò)安全項目建設(shè)中，青蓮科技給出了最為典型的實施行動。

A礦業(yè)集團是我國最重要的煤炭生產(chǎn)基地之一，每年生產(chǎn)原煤200萬噸，擁有各類二級下屬法人單位100多個，員工2萬多人。在所有二級下屬法人單位中，最重要的是8個礦山和1個發(fā)電公司，也是信息化和網(wǎng)絡(luò)安全建設(shè)的重點。 A礦業(yè)建有先進的網(wǎng)絡(luò)中心，搭建了較為現(xiàn)代化的網(wǎng)絡(luò)應(yīng)用環(huán)境、礦山安全監(jiān)控系統(tǒng)。在網(wǎng)絡(luò)應(yīng)用方面主要包括：電子郵件、ERP、礦山員工作業(yè)調(diào)度與定位系統(tǒng)、WEB服務(wù)器以及與上級礦務(wù)局的日常財務(wù)、管理數(shù)據(jù)同步系統(tǒng)。 A礦業(yè)集團的大部分管理與生產(chǎn)調(diào)度都基于IT網(wǎng)絡(luò)系統(tǒng)來做，對IT系統(tǒng)的穩(wěn)定性、安全等要求都非常的高。有關(guān)網(wǎng)絡(luò)情況如下：

圖1

如圖示：A礦業(yè)公司出口采用100M光纖接入，NAT由核心交換機來做；在服務(wù)器群主要的應(yīng)用是電子郵件和ERP系統(tǒng)、集團管理數(shù)據(jù)同步系統(tǒng)等。對于日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境，網(wǎng)絡(luò)建設(shè)在該礦以前幾乎是空白，除了簡單的殺病毒系統(tǒng)外，沒有其他任何防護策略。網(wǎng)管人員一直想將網(wǎng)絡(luò)安全建設(shè)工作做好，但卻無從下手。 了解到的情況是，眾多的網(wǎng)絡(luò)安全公司提供的方案都是大而全的，而對于這樣一個礦業(yè)集團公司來說，由于光纖接入上級礦務(wù)局的大的環(huán)形網(wǎng)絡(luò)，沒有直接接到互聯(lián)網(wǎng)當中，面臨的攻擊威脅遠不像許多“典型安全方案”所描述的那樣復(fù)雜。 仔細與用戶溝通、分析，我們得出用戶的主要需求包括：

（1）擁有個防火墻功能，能夠防范其他內(nèi)部單位的一些人員的攻擊行為。
（2）解放核心交換，讓大部分路由(NAT\DHCP\RIP)都由其他的設(shè)備來承擔。
（3）由于業(yè)務(wù)不需要太多的上網(wǎng)，所以要對可能引發(fā)網(wǎng)絡(luò)安全問題的應(yīng)用進行控制
（4）能夠?qū)RP問題進行一定的防護
（5）對內(nèi)部人員的IP等進行必要的管理
（6）保證關(guān)鍵應(yīng)用(電子郵件、ERP)等的流量

仔細分析這些需求，我們可能需要向用戶提供（防火墻+行為審計+流量控制+防病毒）這樣一個非常復(fù)雜的網(wǎng)絡(luò)安全解決方案。但，客戶認為自己盡管有這些需求，但卻不想配置那么多設(shè)備、也不認為為了滿足這些需求，而需要配備如此多的設(shè)備。他們需要一個簡易的、經(jīng)濟的，卻又有效的方案！

青蓮科技依據(jù)對網(wǎng)絡(luò)安全需求的深入理解，認為客戶的需求是典型的“普及型需求”。對這種普及型需求的，最好提供的是方案型產(chǎn)品，而且這個用戶的網(wǎng)絡(luò)需求中，對于攻擊這種典型安全需求不是很強烈，更多的是對應(yīng)用的管理。 青蓮網(wǎng)絡(luò)行為管理與審計系統(tǒng)（下稱，青蓮AOS）基于多核處理器平臺，讓這種復(fù)雜的方案型產(chǎn)品成為可能。

青蓮AOS采用MIPS新一代RISC架構(gòu)64位多核處理器，可以提供4-16核、每個核提供多達4個線程的計算處理能力。這使得青蓮AOS擁有令人羨慕的、電信級產(chǎn)品穩(wěn)定性和網(wǎng)絡(luò)處理能力。 作為一款網(wǎng)絡(luò)安全訪問控制與審計類產(chǎn)品，其多核平臺設(shè)計，分別提供網(wǎng)絡(luò)抓包、審計分析、訪問控制計算等等功能，整合多種核心的網(wǎng)絡(luò)技術(shù)，實現(xiàn)網(wǎng)絡(luò)行為管理與審計的功能，并最大限度的利用RISC多核處理器的特點，實現(xiàn)增值的網(wǎng)絡(luò)功能，如安全路由、多線路負載均衡、防火墻、IPsec VPN等等。如下圖，是青蓮AOS在多核處理平臺下的技術(shù)群系圖：

圖2

針對A礦業(yè)集團的需求，我們推薦了青蓮AOS1000型號，可以滿足1000人的網(wǎng)絡(luò)環(huán)境。有關(guān)拓撲如下：

圖3

（1）將青蓮AOS安裝核心交換前面，以網(wǎng)關(guān)方式部署，開啟防火墻功能、防DOS攻擊。
（2）啟用AOS的NAT功能，將內(nèi)部IP與MAC進行綁定，強化內(nèi)部IP的管理。
（3）啟用ARP防護，解決用戶最頭疼的ARP欺騙問題。
（4）對網(wǎng)絡(luò)內(nèi)部用戶，全部實行PORTAL認證，將用戶按照部門進行分別管理。
（5）開啟訪問控制功能，對不通的部門實行不同的訪問控制策略，有關(guān)策略表如下表：

（6）設(shè)置流量控制策略，為ERP\電子郵件配置保障帶寬。
（7）全面記錄所有用戶的所有上網(wǎng)行為，并提供所謂外發(fā)信息的審計功能。

青蓮AOS開啟了相關(guān)功能后，較好的滿足了A礦業(yè)集團的需求，集成化的普及型方案產(chǎn)品，讓用戶在應(yīng)用、管理等方面的成本大幅降低。