说起流量，这次北京冬奥会各人所熟知的“超等顶流”至少有两个：

    赛场之内，非滑雪活带头谷爱凌莫属，无论是勇夺两金一银的顶尖竞技水平，还是韭菜盒子、商品代言，都成为了人们茶余饭后津津乐道的话题；；

    赛场之外，那肯定是白白胖胖的冰墩墩了，其火爆水平使得“一户一墩”的美好欲望和“一墩难求”的骨感现实形成了鲜明的对比。

    除此之外，还有一样器材各人可能相对陌生一些，但也绝对配得上“顶流”一词：它们承载着冬奥会有关信息系统的所有网络流量，并且还要尽可能把其中的恶意流量拦截下来，拦截时还不能影响冬奥有关业务的正？７⒄。

    它们中有掌管组网互联的，有掌管恶意流量拦截的，还有掌管加密流量解密的，总之它们有一个共同的名字：网络天堑设备。

    48小时，300+SD-WAN设备组网上线

    据统计，北京冬奥会设置了7个大项、15个分项、109个小项，吸引了来自91个国度和地域的超过2800名活带头参赛。

    所有外籍活带头来到中国后城市遇到一个逆境：没有有关的身份信息。因而，所有必要实名认证的事件如酒店入住等就会比力麻烦。

    但不言而喻，所有活带头的身份信息都是在奥组委处注册报名过的，只不外冬奥的网络系统处于隔离网环境。想要解决这个问题，就得把互联网和冬奥的网络衔接起来。

    然而，一旦冬奥的网络接入了互联网，就会直接面对各类来自互联网的安全威胁，好比垂钓网站、勒索病毒、挖矿木马等等。

    所以，组网规划肯定要和网络安全融合内生。那么，有没有这种规划呢？？

    2022年1月5日，小寒。刚刚实现元旦假期的AB钱包副总裁、天堑安全掌管人吴亚东立马接到了一个极富挑战性的工作：北京冬奥组委决定选取AB钱包安全SD-WAN实现组网。

    顾名思义，安全SD-WAN就是同时具备了组网和安全防护两个方面的能力。

    作为时下最盛行的组网设备，SD-WAN的主题能力就是以软件界说的方式，将分歧地域的企业网络、数据中心、云服务系统等衔接起来，并且实现网络流量的可视、可管。而AB钱包安全SD-WAN则是在此基础上，内置了端到端安全防护能力，提供恶意流量防护、防病毒、上网行为治理等。

    在第一功夫与冬奥组委实现沟通后，AB钱包天堑安全团队获取到组网业务需要如下：通过SD-WAN衔接冬奥场馆各个业务系统并实现数据交互，买通运维人员远程接见云平台后端业务系统的蹊径，联结双网络中心区域与机场、车站、酒店与医院进行人员数据调度。

    这也就是说，主备数据中心、主备网络中心、各较量场馆以及有关的机场、酒店、车站、医院等等凡是和冬奥有关联的处所，都要用SD-WAN把网络连起来。

    满足冬奥组网和安全方面的需要，AB钱包安全SD-WAN天然不在话下。第四代SecOS操作系统和异步并行处置的专利技术，为安全网关提供高机能的数据转发处置能力和高效安全的加密4G传输通路，最大限度保障冬奥有关系统的业务陆续性和安全性。

    然而，真正的挑战并不在历经屡次打磨的产品上。

    吴亚东初步估算了一下，面对如此多的网络节点，至少要部署300+台设备。即便立马起头行动，剩下功夫最多就半个月。更辣手的是，为满足场馆设备进场进度要求，SD-WAN设备需从1月20日起头部署，23日正式上线运行，满打满算也就96个小时。

    显然，这是一个巨大的工程。

    短暂思虑之后，吴亚东就留下了一句话：“趁设备还没进场，抓紧搭建环境测试吧，这样现场部署调试的坑会少一点。”

    接下来的十几天，天堑安全团队办公区夜夜灯火通明，定制化职能、业务系吐洫相交互测试井井有条进行着。

    1月20日，满载AB钱包安全SD-WAN设备的货车，缓缓开到了西直门外南路26号院AB钱包安全中心的楼下，进场部署的日子到了。

    受益于前期进行的业务仿照测试与1:1环境搭建环境验证，交付师傅们的装置调试过程极度顺利，于1月22日晚，在48小时内上线了300+SD-WAN安全组网设备并进行交付运营。

    “AB钱包安全SD-WAN零配置上线的能力，大幅度节俭了一线交付团队的装置调试功夫。”吴亚东高慢地介绍到，4G上线的方式，使其可能自动注册安全网关并从管控平台获取网络配置和安全战术配置，同时基于设备的角色和WAN/LAN接口属性，自动化构建Overlay网络。并且，当网络接口产生调换时，整个Overlay网络会自动形成新的Overlay网络拓扑，从而降低了组网开明业务的复杂度，实现分钟级部署装置。

    为保障网络接入的安全性，AB钱包安全SD-WAN还使用了双向证书认证的SSL衔接，整个配置以及节制通道均选取SSL加密通道，能够做到预防不受信赖的CPE设备接入用户的SD-WAN网络、预防针对CPE设备和管控平台的中央人攻击以及加密管控平台与CPE设备之间的加密通讯。

    流量防护，加解密的战争

    只管AB钱包安全SD-WAN天生就具备了安全能力，但其主题依然是组网，说到网络天堑的流量防护主力，防火墙的能力依然无与伦比。

    “我们在数据中心骨干网出口处，部署了近80台防火墙。”吴亚东说，AB钱包新一代智慧防火墙集成了一体化威胁防护引擎，可对500余万盛行病毒、5000余种缝隙利用攻击和1000余种间谍软件行为等提供高机能防护。

    在这样缜密的防护下，不加任何假装的明文攻击流量险些无机可乘。

    然而，明文流量早已成为从前式。统计显示，在冬奥期间所有AB钱包新一代智慧防火墙滤过的流量中，加密流量超过了80%。

    和明文流量传输所分歧的是，密文传输的重要主张是预防流量劫持、中央人攻击等伎俩造成的信息泄露。但加密流量同样让网络攻击暗藏在其中，Gartner的一项钻研数据显示，2019年以来就超过半数的恶意软件攻击使用了加密流量。

    更令人忧郁的是，自从2020年全球发作新冠疫情以来，加密流量的威胁增长了5倍。

    有加密天然就有解密。事实上，在加密流量满天飞的今天，流量解密能够说是防火墙的必修课之一。

    但是流量解密是一个技术活，并不是谁来都能干的。且不说解密的水平怎么样，单是解密的效能就够让人喝一壶的。

    凭据NSS尝试室的一项测试了局显示，很少有安全设备可能在不严重影响网络机能的情况下查抄加密数据。均匀而言，深度包检测的机能损失为60%，衔接率均匀降落了92%，响应功夫则增长了高达672%。然而，一些必要被分析的流量却底子没有被这些安全设备所处置。

    这样的效能和机能损失对于通常企业而言都很难接受，更不要说对网络陆续性要求近乎严苛的冬奥会了，终于电视机前的观众谁也不想把柔美的冰雪竞技，当成是幻灯片来看。

    为相识决这个问题，AB钱包新一代智慧防火墙引入了高机能SSL流量解密卡，其内置的加解密引擎，可能将解密机能提升10倍。

    这很大水平上得归功于异措施度。说起异措施度，那么它的同胞兄弟同措施度就不得不提。

    所谓同措施度就是在法式持续执行之前必要期待同步步骤执行结束返回了局，而异措施度就是在被挪用之后立即返回以便同时执行其它操作。

    举个单一的例子。当储户去银行办理业务，叫号结束之后一向在大厅期待业务办理结束振兴身脱离的就是同措施度；；叫号结束之后出去吃个饭，比及差不到到自己号了再来柜台办业务的就是异措施度。

    显然，对于储户而言，异措施度要比同措施度效能高好多。那么同理，面对冬奥会期间高并发的流量，异措施度可能把解密引擎和CPU的利用率提升到最高，从而降低网络拥挤产生的可能性。

    这些经过解密的流量在经过防火墙初步过滤之后，还会以流量镜像的方式，借助明文旁路模式、SSL解密的明文隧道模式同步给旁路检测设备（如IDS/NTA），进一步进行深度包检测和元数据提取。

    “这种防火墙解密+旁路检测明文旁路模式是AB钱包的初创，大幅提升了流量侧威胁发现的效能和正确率。”吴亚东说。

    统一编排，智能引流

    与此同时，在网络天堑执行防护工作的，还远远不止防火墙一种。好比防毒墙，重要用于发现流量中混入的恶意软件；；再好比Web利用防火墙，重要是针对Web利用层鉴别恶意攻击号令……

    所有这些设备组成了网络天堑的纵深防御系统，黑客要想攻进来，就得突破一道又一道的防线。就像抗美援朝第五次战争中的种子山阻击战，自愿军189师9000人一把芝麻撒在200个小阵地上，也得让“结合国军”拔五天。

    图电视剧《凌驾鸭绿江》

    但这么多的安全设备也带来一个问题——所有设备都是串联接入到冬奥网络系统中的。学过物理的都知晓，一旦串联电路中肆意一个元器件产生断路，整个电路也就断了。想要找出故障点，就得逐个元器件进行排查。

    并且这么多的网络设备，肯定会亏损大量的带宽资源。试想一条网络出口上，若是设置了这么多的“安检机构”，其效能注定会大打折扣。

    显然，这给冬奥网络陆续性带来了很大的挑战。

    “这也是我们防火墙的高妙之处。”吴亚东说道，基于AB钱包自主研发的鲲鹏网络操作平台，AB钱包智慧防火墙具备了壮大的物理安全网元服务链编排能力。

    通俗来说，AB钱包智慧防火墙具备了“指挥流量”的能力，其益处是不言而喻的。

    •首先，经过防火墙解密的流量在由操作系统引流之后，能够自动分发至串接的各个安全设备，这样一来后续的安全设备就不用再对加密流量进行单独解密，从而降低了网络资源亏损和负载。即就是抛开解密效能不谈，也大幅提升了整个链路的运行效能。

    •其次，整个链路的流量能够实现“按需分配”。如果某个网络出口的带宽是5G，链路中部署了两台IPS，其中一台的处置能力是2G，另一台是4G，那么在带宽满载的情况下，若是依照流量均匀分配准则，其中一台WAF就超负载了，必然会造成阻塞景象，而在智能流量调度下就不存在这个问题，2G的IPS就处置2G的流量，剩下的交给4G那台就好了。

    即就是某一台设备产生了故障，AB钱包智慧防火墙也会将流量智能牵引至没有产生故障的设备中。

    •第三，经由编排的流量可能可视化展示，方便运维人家进行集中管控和运维。一旦某点出现故障，能够第一功夫找出故障点并进行修复。

    “冬奥对于AB钱包来说是一次综合测试，防火墙、SD-WAN掌管的是网络天堑部门。”吴亚东说，“经过数十年的发展，作为老三样的防火墙历久弥新，终于有了此刻‘智慧’的风貌。不变的是，无论是否面对冬奥会，它始终是网络天堑最值得信任的防守斥候，与其他设备一路组成了牢固的纵深防线。”

    ?冬奥网络安全“零变乱”，离不开这份“中国规划”‍

    ?3.8亿次网络攻击与冬奥“零变乱”承诺背后的攻防博弈‍

    ?奥运“零变乱”世界纪录背后：实战化态势感知若何“三位一体”