简化网络的安全部署

          目前市场上存在很多的安全部件，比如防火墙，VPN设备，SSL 设备，防病毒软件，IDS设备，IPS设备以及若干种安全软件。这些设备无疑增加了安全网络实施的成本，另外增大了对网络管理的难度，也增加了网络安全部署的复杂度。不同厂家的安全设备互通和管理基本都是不兼容的。所以在考虑安全网络的部署上，首先需要考虑安全部件的简单化融入到网络中。在华为3Com的嵌入安全设计中，我们将在网络安全的技术，有机地融合到网络基本组件的设计中。如下所示：

          在华为3Com的系列交换机和路由器中，都嵌入了安全模块，将安全网络的技术移植到构建网络的基本模块设备中，这一系列安全模块产品，称作Quidway SecBlade 安全插卡。比如在S85系列插卡中，包括：SecBlade 防火墙插卡，SecBlade VPN插卡，SecBlade IDS插卡，SecBlade IPS插卡，SecBlade SSL插卡等。利用交换机或路由器开放式的硬件架构，将安全模块有机融合进去，实现安全技术像免疫预防一样注射到网络的骨干汇聚层中，实现了传统交换机和路由器的安全机能的提升，大大增强了设备抗击网络风险的能力，使网络无缝地演变成安全的网络。

转发流程中安全技术的嵌入

对于网络的这种简化，不仅仅是从物理上的，更大程度上是从逻辑上进行安全因素的设计，将安全的理念融入到网络的转发，路由等各个环节。所以，华为3Com公司在网络的设备中，从转发平面上进行了安全方面的设计和巩固，确保交换机上的转发不在是单一的尽力转发的架构（Best Effort Forwarding），而是根据安全网络设计的需求，在以太网链路层转发技术和IP三层转发技术上的一次技术改革，将安全转发技术和网络技术有机融合在一起。如下所示：

普通转发：

安全技术全面渗透的转发：

图中所加黄的模块，都是在嵌入安全中对原来转发流程的改变，对报文的监控在技术上进行了彻底的改革，从各个环节对报文的安全性进行检验。只有在报文的转发平面进行安全技术的渗透，才真正体现出安全网络的技术面貌，才可以真正宣称网络和安全是融为一体的。

华为3Com SecBlade的特性介绍：

1.          线速转发，安全监控：

SecBlade插卡可以无缝地插入到华为3Com的S85，S65等系列骨干，核心交换机中。而且插卡的引入丝毫不影响交换机内网的线速的转发。安全插卡中防火墙/VPN/IPS插卡可以基于用户的配置，实现对用户指定的流量和业务实现监控，过滤和隔离；IDS则基于旁路模式实现对报文流的监控，告警。

2.          统一管理，无缝安全嵌入

SecBlade 插卡可以单独配置，也可以直接在交换机的终端中配置；可以基于QuidView统一进行管理；用户可以象使用交换机一样使用插卡。

3.          安全网络技术的真实体验，维护管理方便

SecBlade设计中，将安全技术（防火墙，IPSEC VPN、NAT、IDS、IPS、深度内容过滤等）和网络技术（以太网技术，二层转发技术，三层路由技术）有机融合在一起，无声地嵌入到其中，大大简化了网络的部署，可以通过直接升级交换机或路由器，就能够将安全部署到网络中，使网络简化，维护和管理更加方便，使网络管理员的责任负担大大减轻。