9月1日—2日，由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在云安全分论坛上，Ixia企业事业部大中国区总经理曹智锋发表了题为“IxVision可视性架构--帮助企业消除网络中的盲点”的演讲。

Ixia企业事业部大中国区总经理 曹智锋

以下是演讲全文：

大家好，我叫曹智锋，我们公司叫Ixia，是一种花的名字，中文名叫意达康。

Ixia的可视化构架如何消除网络中的盲点，这个话比较拗口，怎么是消除网络盲点，我们先通过Ixia的构架让大家逐步理解一下。我们Ixia可视化的构架分成三块，这三块分别是覆盖了智能可视、安全矩阵和主动监控，今天我们会围绕这三个主题跟大家讲解一下。

什么叫智能可视，这是传统的数据中心的监控系统的构架，为了让大家比较容易理可视化系统构架，我先举一个例子，在马路上，前几个月有一个照片被大家吐槽，说马路上一根电线杆上有监控系统，竟然装了几十个摄像头，有的是监控超速的，有的是监控行人乱穿马路的，有的是监控公交车车道被私家车占用的，等等，各自摄像头各自为政，导致电线杆上趴了好几十个摄像头。这就是说在一个数据中心里面，如果我要对整个数据进行分析监控的时候，有很多采集点，如果各个采集点给各个系统进行分析的话，有的是监控超速的，有的是监控行人乱穿马路的，等等，各个系统各自为政，都要接入到系统里面采集数据进行分析，变成一个蜘蛛网一样，造成一个电线杆上趴了几十个小鸟。能不能变成一根电线杆上有一个摄像头，摄下所有的数据内容，把这些数据进行分类，哪些是给超速进行监控的，哪些是给公交车道被私家车占用的，分类完之后给后台的监控系统进行分析。Ixia的智能可视化就是干这个事的，用一个摄像头把所有的数据采集起来，然后进行分类，给不同的监控系统进行分析，这样就非常清晰了。以后大家看到整个数据中心，数据的采集点就一个，就像在马路上摄像头一个就够了。把流量采集起来之后，每个监控系统关注的对象不一样，就像说后端要监控公交车道被私家车占用，采集数据所有数据都进来了，实际上把数据中心所有数据采集进来，然后一个智能化的可视系统进行分类。为用户带来什么好处，对于用户来讲，不同用户需求有不同好处。首先我可以把很多的探测点集中为一个点，节省了用户的部署时间和部署方式。第二，在这个过滤过程当中各取所需，一个监控系统并不需要把所有的流量导入，我只关注自己想关注的流量导入给它。第三，它有很多其他的顾虑，比如数据包去重，通过这个系统，在这个平台上我把重复数据包去除之后，大大降低后台监控的流量，降低了监控系统的负荷，这样相对来讲就提高了效率。举个例子，银行系统网银，网银的数据实际上非常敏感，要求业务部门提供我的网银服务质量报告，某一时间内多少用户在线上，多少用户在查询，响应时间是多少，多少访问时间是由于网络的问题连接失败。这是银行的资产，不能被后端的记录系统记录下来，有可能会泄密。既然又要得到这个，要把所有的业务分析，又不能拿到数据，怎么办。通过意达康这个可视化平台才能做到，我们有一个功能叫数据脱敏功能，流量到了我这个平台上之后，我把数据进行清洗，编成序列号，里面的存款全部为零，只要看某某人在什么时间段做什么操作，这些操作有多少是失败的，比如对外进行转账，收款方，你可以通过一定规则给屏蔽掉，脱敏之后给到后台进行分析，这样报告给到业务部门。只有通过我们这套系统对敏感性进行屏蔽之后给到后台进行分析，业务部门放心了，运维部门也可以出一个真实的报告，但是不牵涉到信息的泄露，这就是通过数据包重写对敏感信息进行重写。比如明年增加一个设备，老设备就不能用了，有没有办法老的设备和新的设备一起用，这里再放一个类似的系统，通过我的平台，假设这是个邮件的监控系统，这个系统如果说现在容量不够了，我可以再买一台放在边上，通过我这个平台，分成两份，进行负载均衡，让它们分别工作。虽然这是个很技术的活，对于用户来讲可以做到投资保护了，我可以根据业务需求逐步添加。这就是意达康所说的智能可视化的平台，它会给用户带来一个投资的保护，带来一个更多的可视化的性能。

在数据中心有各种各样的云，在云里面最底层的就是虚拟化。当所有的业务流量在一个物理机里面走的时候，里面的流量你根本看不到，就像今天大会门口有一个保安，他只能检查进出大门的人，有些人一旦进来了，在各个分会场之间走，分会场并没有保安的，怎么抓住坏人。也就是在物理及里面，不同的虚机之间的流量有可能存在一些非法的流量、病毒等等，这些你监控不了。意达康的可视化平台专门针对云，针对虚拟平台的流量监控的一个解决方案，我们叫Virtual Tap，假设这是一个物理机，物理机里面有三个虚拟机，有些流量在虚拟机之间流转的时候外观是看不到的，如果你要看这个流量怎么办。我们的Virtual Tap实际上是一个软件，在VMware或者是KVM，或者是现在用的OpenStack，这些虚拟化平台的底层我们可以打上一个插件，这个插件分别监控虚拟的网络端的流量，汇聚在一起，虚拟机汇聚完之后，通过插件变成GRE Tunnel传输出来，传输出来之后就好办了，传输到我们刚才说的可视化平台上，后面的工作就一样了，进行预处理、过滤，给到后面不同的监控系统进行监控。在这个平台上我们可以支持虚拟化平台，也可以支持这些物理的流量，我们的智能化平台是一个混合的，可以做传统的网络的平台的流量的采集分析，也可以做虚拟环境下的流量采集分析。

先讲个术语，在这个平台上加一个引擎，ATI引擎，翻译成中文叫应用力感知，这是干什么用的，我们可以加很多插件或者引擎，可以感知到应用的内容，这个流量根据IP值，给后台进行分析。也可以感知里面的应用，比如说后台应用的系统是给HTTP服务，要看整个数据中心里面的Web流量多少，最简单的导到后台，通过平台导到后面的监控系统，这个流量太大了，我只想看新浪流量，我想看淘宝的流量，我是个企业办公网，我不希望员工在上班时间整天上淘宝，淘宝流量多大，有多少人在上京东。用我们的应用力感知，它可以识别到流量从哪里来，把流量过滤出来给后端去看。这就是通过我们的平台，能够对应用进行感知。

接下来讲一个案例，我们在美国有一个大学，TEXAS大学，在校学校有5万多个，相关辅助人员有2万多个，总共7、8万人，美国大学就是一个园区，是一个开放的小镇，所有的人可以上网。学校也是出于安全原因，美国用的最多的就是Facebook和Youtube，学校里希望对这些内容进行监控进行管理，要录下来。但是这个流量实在太大，有7万人的学校，美国在上网的人数也特别多，他们几乎20小时用手机、电脑学习上网。几十G的流量，捕捉不下来的，但是后来分析设备和管理设备流量要非常大。后来找我们公司，我们公司给他们推荐了可视化方案，通过我们的可视化平台把数据采集下来，再给到后端的分析系统和审计存储系统进行审计和分析的时候，把所有的流量过滤掉，因为他只想看Facebook流量，我们通过我们的API应用感知引擎把Facebook的流量给过滤出来，把大部分流量过滤掉了，过滤80%的流量，有很多流量对大家是毫无疑义的，比方说大家都是有iPhone手机的，iPhone手机过一段时间就会升级操作系统，甚至有的人经常在App Store下载应用，你不用怀疑App Store会有病毒和攻击，他已经把自己的安全做得很好了。他的平台不会被感染，他的操作系统下载的时候基本上也是正常的下载，你可以把这些流量全部过滤掉。这样你只把Facebook的流量给到后端进行分析，这样一下节省了80%的流量，剩下20%的是Facebook的流量，这样整个后台对Facebook监控系统的负荷一下降低了80%，80%降到20%意味着整个监控系统的负荷降低了，为总体造价降低了很多。我们在全球有一个统计，因为可视化平台让整个监控平台的投资额降低至少30%，假设原来整个建设要100万，用我们平台可以降到70万，差一点的可做到80万，可以省20%到30%的钱。

第二部分，安全矩阵。安全矩阵其实也是跟数据中心相关的，如果在座各位是做运维的，知道运维里面的防火墙、IPS、Web应用防火墙、流量控制设备，这些设备都需要有共同特点，为了对应用进行处理，要拦截的话必须是串在里面的，做一个最简单的数学公式，一台设备可靠性千分之一，两台设备串到一起百分之一，三套设备是十分之一，设备串得越多，安全性越差。我跟银行、运营商还有高端企业用户聊天，今天晚上我们一起吃吃饭、聊聊天，最近工作忙不忙。说不行，我要加班，为什么加班，晚上我要进行系统改造，我要升级，我要做变更，特别是银行，都在晚上做，他要把这些系统进行升级、改造、变更的话必须在晚上，为什么升级改造，容量不够了，原来流量100M，今年变成200M了，防火墙要升级了，所以要晚上干货。有没有办法就是说在整个升级改造变更过程中，对业务没有影响，让我们的运维人员白天也工作。有没有办法在升级改造过程，老的设备不需要扔掉，因为像这种构架，防火墙不够了，必须买一个新的防火墙。我们的一个安全构架就解决这个问题。我们提出安全池的概念，把设备全分到旁路上去，通过我们的Bypass流量导向器，把近期流量导向到安全池处理，处理完之后到后端服务器，同样另外一个线路也在处理，通过我们的流量导向器导向安全池。原来需要两套防火墙，变成一桃乐，安全池里面去了，两套设备变成一套设备了。对工程师来讲，不需要晚上加班了，我需要你到里面进行变更的时候，通过这个设备，不经过安全池，进行直通，无非是暂时没有保护了，然后进行变更，变更完之后把流量重新导入安全池里，对应用来讲可以做不间断的升级改造变更。第三个，做投资保护，这是我们企业当中做决策的领导最喜欢的投资保护。比方说我原来里面有一台防火墙，去年在用，明年容量不够了，按照传统的方式就必须把这台小的防火墙拿走，再拿一个大的。用我的方式，再加一个大的防火墙，老的也能用，新的也能用，对用户的投资来讲，随着业务的增长，不需要一下子买大或者老的扔掉。用这种安全构架可以解决用户三大问题，第一是解决用户的投资保护，可以在运维过程当中让用户在变更和升级过程当中不间断业务、不中断业务。第三，在池里可以做HA，第一点提到的投资保护，因为多条链路都可以用同一个安全池，这就是我们的安全构架。其实我们在安全构架里还有一个独特的方案，我们这个产品ThreatARMOR，现在可以放到安全池当中，这个产品是非常独特的，业内没有厂商在做。它是对现有的安全产品做加固的，传统的数据中心的安全，防火墙、IP、安全池串接在里面，如果用我这台设备，可以对它进行加固，怎么加固待会再说，在传统的构架里面都有防火墙、IPS、SIEM这些设备。

现在设备越多，你们会越繁忙，经常会有报警，70%的报警都是你不用去理它的。我们能动性把这些报警给去除掉呢？实际上这些误报警，我们把部署方式告诉大家，工作原理非常简单，它就是具备一切可能并不存在的访问，举例来讲，中国企业很少跟朝鲜做生意，我这个企业我的数据中心可能业务针对中国企业的，朝鲜的对我来讲有可能是攻击流量，所以我会对已知道的IP进行阻挡。像防火墙还有下一代防火墙都是多功能的，实现方式很复杂，通过CPU来监测流量的合法性，然后决定它是否过去或者阻拦。但是有大量的流量你是根本不用去管的，举个例子来讲，为了让大家比较容易理解，大家到银行去做存款业务，你进了银行之后，里面有很多摄像头、监控，还有保安，还有柜面服务员为你服务。还有很多闲杂人员，现在天气很热，很多人在里面纳凉。他会占用大量银行的服务空间，本来是为储户服务的，被一些老头老太和一些闲散人员占用了。ThreatARMOR很简单，有存折的好像是做业务的进去，这样可以把一些非法的或者通过一些明显的地址过滤，把一些流量给过滤掉，进去的人在做业务的过程当中才有营业厅的服务员来验证你的账号、存款，进行相应的安全服务。通过前面保安把一些粗浅的活先做掉，把一些粗浅的很明显的非法流量抵挡掉。

它的主导方法就是通过IP地址主导，还有一个方式，这台设备会连到互联网上，它会根据我们全球的一个知识库，把这个知识库最新的流量下载下来，这个知识库会扫描全球各个IP地址，把一些可能存在的恶意IP地址、木马、僵尸的IP地址全部下载下来，只要符合这个库的马上阻挡掉。给用户带来什么好处，通过这个平台，通过这台设备，可以降低所有的安全设备的负荷的30%。

接下来第三部分，第一部分叫智能网络构架，第二是安全构架，第三是主动监控，其实大家都知道在数据中心里面，我第一讲的是智能的可视化构架，实际上后端部署的是很多的监控设备，这些监控设备所能实现的，日期分析、流量采集、易用性管理等。但是所有这些设备都有一个共同的特点，我们叫做事后分析，或者说事中事后，做不到问题发生之前就感知到有可能问题发生了，它做不到的，它通过流量采集进行的。有没有可能在平台上数据中心感知到有可能发生的网络潜在的问题进行感知，这就是通过主动运维。部署方式也很简单，如果是我们一个跨国企业是全球一张专网，我们可以在关键节点部署一些探针，主动发起一些模拟用户的业务量，在数据中心采集这些流量进行分析。也就是说在业务并不繁忙的情况下进行采集。

最后给大家举一个例子，我们在国外有一个银行，他在美国部署了大量的ATM，存取款机有个问题，出现问题他们就收到投诉。但是更换ATM设备有的部署是很远的，一个星期也没有进行操作。当有人进行操作的时候发现坏了，打到呼叫中心，呼叫中心发现设备坏了，派人去修肯定半天一天的时间，但是已经坏了一个星期了。他们在ATM上部署主动监测平台，打开探针，每过五分钟模拟一个查询或者交易流量，然后回到数据中心，一旦发现这个流量有异常或者达不到服务质量的时候，就知道这个ATM有问题了，不需要等客户去进行操作的时候发现这个设备损害才来投诉。他用这套系统使整个全国的ATM的服务质量上了一个等级，基本上坏了十分钟就知晓，马上就去维修。

在可视化这个平台上，我们今天主要讲三块，在可视化框架里我们有智能可是，第二个是安全矩阵，第三个是主动运维。这些平台实际上都是围绕着数据中心的建设，如何来提高数据中心运维的可靠性，如何在数据中心进行升级改造过程当中，帮助运维人员降低他的停机时间，如何来帮助数据中心在投资建设过程当中进行投资保护，如何通过我们的主动运维来提升用户体验。这就是我今天讲的主题内容，谢谢大家。