演讲主题：从宽带提速到宽带增值－－华为ALL IP 安全解决方案体系

演讲内容：华为公司全球网络安全行销部部长罗 峰

尊敬的各位领导、各位专家上午好，现在我代表华为公司给大家做“构建安全和谐的ALL IP网络”的报告。

我们知道技术的进步总是以一个螺旋式的趋势发展，IP技术的发展也是一样。可以简单一下回顾一下IP发展经历的三个阶段：最早IP的普及是通过与ATM的竞争实现的，IP以其开放、简单的优势取得了最终的胜利，那是一个互联网的时代，涌现出了一批互联网设备公司。在那个时代里面，IP几乎走上了神坛，但对于运营商来说，它只是一个网络，是一种技术，而不是一种业务。第二阶段，随着IP的普及，ITU、3GPP等一些标准组织开始研究把电信业务迁移到IP技术里，比如用IP来承载话音和多媒体业务。这个时候发现IP一些固有的缺陷就显现出来了，表现最突出的是在QOS和可靠性方面，于是就出现了很多的像TE、FRR这样的技术。这个时代应该说是一个IP承载网的时代，华为公司有幸成为IP承载网的佼佼者，承载了全球大概70%的NGN的话务量。目前来看，电信业务的IP融合是必然的趋势，一方面是网络的融合，从承载单一的PS或CS业务向承载多媒体业务融合，另一方面就是终端的融合，终端更加智能化，具备开放的操作系统，因此也就有了各种各样的漏洞。这是IP发展的第三个阶段。在这个融合的过程中，IP面临最大的挑战就是安全的挑战。比如说攻击、P2P的滥用、病毒，还有其他对带宽和业务不可控的问题。

也就是说，当前阶段运营网络面临最大的问题是安全的挑战，怎么建设一个安全、可靠、可信任的网络，是我们运营商、标准组织以及设备供应商共同面临的课题。我们的目标是一致的，就是要建设一个安全、和谐的ALL IP网络，从而实现从宽带建设、宽带提速到宽带增值的转型。

总体来看，下一代网络的架构分这样四个部分，第一个部分是核心网，在核心网里IP的承载已经是不争的事实；第二部分是接入网和终端，它的特征是终端的智能化及固定和移动融合；第三个部分就是在业务平面，业务平面里ISP和ICP是相互独立的，为什么会造成这种情况，因为目前运营商是没有办法知道，或者说缺乏足够的手段来知道内容，来对内容进行识别、控制、推送和管理。最上面一部分就是统一的业务管理和控制平面。

从这个架构来看，IP化是公认的发展方向，所有的业务都要向ALL IP迁移，在这个过程中，面临了三大安全挑战：第一个就是网络的存活性挑战。 IP的安全和设备电源基本上是一样的， 100减1等于0，QOS、VPN再好的网络，如果没有安全保障，很容易网络就瘫痪了。导致瘫痪的原因很多，如非法路由攻击，造成路由振荡；通过DDOS的攻击来占用CPU资源和内存资源。我们运营商现在有很多网络，如OA网、CMNET、163、169、165，也有IP承载网，现在QOS和VPN做了很好的保证，但是如果由于攻击导致了互联网的拥塞，这个网络实际上是不可用的。同时由于攻击导致我们很多有价值商业客户的流失，导致收入降低。

第二个挑战是带宽的可用性的挑战，我们运营商不断地建设网络，不断地在扩容，但是我们的带宽被泛滥的P2P侵占了，坊间有一个笑话，叫运营商一扩容，微软就发笑，实际上不仅仅是微软发笑，同类的IM供应商都在发笑。在固定网络里，解决方法相对比较简单，光纤总是可以扩的，即使投资很大，技术瓶颈不大。但在无线网里，问题就比较大了，在3G的时候它可能会占据我们宝贵的空口资源，这是一个层次。第二个层次就是如何能加入内容的运营，管道的投资不断提升，但接入费用不断的下降，只运营管道是不行的，做一部分ICP的功能，从而提升每线红利率，也是运营商面临的一个重要的挑战。

第三个挑战是一个公认的问题，就是目前的标准组织，如ITU、3GPP、ETSI等对ALL IP架构下的业务缺乏安全方面的定义和研究。现在的标准做了很多QOS、CAC的定义，但是对安全的考虑是没有的。这不仅会降低客户的体验，而且影响运营商的收入。举一个简单的例子，智能的终端可以不通过IMS，下载或自己编写一个SIP Client，彼此间通过IP地址端口号可以直接通信，这就是运营商话务量的损失；还有一个例子，一个智能终端在访问多媒体业务时，如果有病毒，即使他是金牌客户，QOS也是无法识别的，这就导致了客户体验的下降。这说明一个问题，缺乏安全标准的NGN体系不能保障业务体验。

运营商应对这些挑战的过程也是一个阶梯性的发展过程，可以分三步来走。第一步就是开源节流，以安全防御为主，在网络的流量入口监控P2P、非法私接、非法VoIP；在城域网汇聚流量清洗和攻击隔离；在终端提供一个干净的，安全的用户桌面，保证源头的可控。这是第一个阶段，开源节流。

第二个阶段我们要实现的是在网元层通过安全设备提供的DPI能力，和现有的BAS、GGSN联动，来进行精细化的运营，提供更多的运维的手段。

第三个阶段是内容的识别、控制和运营，安全不仅仅是一个网关，它是一个应用层的含义，它可以识别内容、控制内容和运营内容，比如广告推送。

在第一阶段里面，我们说主要做的就是开源节流，通过部署异常流量清洗系统，降低运营系统被攻击的频率，减少带宽拥塞，保障商业客户的服务质量；通过部署业务监控网关系统（SIG）来保障带宽可用性，限制私接、P2P滥用和非法VoIP。现在来看，P2P滥用是全球运营商都在考虑的问题，中国的运营商在做，DT、FT也在做。在节流的同时，我们可以适当地做一些开源的工作，就是做一些安全的集成。安全集成一方面可以增加收入，另外一方面通过安全集成可以逐渐地控制终端。所有的运营商都把微软当做潜在竞争对手，为什么？因为微软控制了桌面。但是微软要和运营商竞争，必须要通过运营商的管道，如果运营商可以通过管道把终端控制住，我们将来可以在终端上面做任何业务。通过分析发现，对于安全运营的投资，它的回收周期要明显地优于纯宽带的投资，我们在济南、山东、福建、广东做了很多的调研。在现有宽带业务的基础上面做一些安全的业务，它的回收周期会更快。

前面讲了，开源节流阶段要做是网络安全加固和异常流量清洗，但我们是不是每一个系统都要接一个小盒子上去？中国的运营商从九十年代初开始建立IP网络，力尽千辛万苦，从最早的纯交换机到交换机加路由器，再到路由器、BAS加交换机，已经建设成为精品网络。但是我们建设的精品的网络面临很多的安全威胁，不可能每种威胁都部署一个小盒子进去，比如说P2P限制加一个盒子，非法上网加一个盒子， DDOS防护加一个盒子，和BAS联动再加一个盒子…这些千差万别的系统加到我们的网络里，造成了网络的不可控和不可管理，而且扩展性非常差。这样一个精品的网络，由于增加了无数的故障点，又变成了一个不可控制的网络。

我们期望安全加固和流量清洗系统要兼顾考虑、统一部署，采用同一个平台。这个平台不仅仅能限制P2P，还能限制非法Voip，私拉私接，同时还要能够进行DDOS、CC攻击流量的清洗，并提供大客户的安全运营。我们在后面的案例也可以看出，目前很多的公司，都在考虑运营大客户DDOS攻击防御业务。

目前华为公司有一个通用的All in one方案来解决以上的问题。这个解决方案有三个特点，一是平台统一，统筹提供安全加固和异常流量清洗能力；二是可以防护在DDOS里面最难防护的CC攻击的问题。现在DDOS攻击有50%是CC攻击，基于硬件的CC攻击防御是非常必要的，目前只有华为提供成熟的解决方案；三是容量业界最高，单机系统可监控、处理300G的P2P流量，可以清洗20G的DDOS/CC攻击流量。

下面我们可以看一个案例，就是ALL in one方案有效保护某电信公司IDC大客户业务。请看效果图，IDC正常业务流量是120M，在攻击高峰期，瞬间攻击流量达到了3G。我们看到120M的IDC的用户，他的攻击流量达到3G，一个城域网可能有几十个、上百个类似的IDC用户，攻击流量可能到几十G，上百G，一下子就把带宽给拥塞了，这是清洗前的流量情况。

在清洗后呢，所有的异常流量被清洗掉，它的流量就正常了，同时这个系统可以把僵尸找到。在广东某城市，一个网吧投资大概两百万，但是经常遭受DDOS的攻击，根本没办法上网，网吧就想退网了。运营商的客户经理知道了，就向网吧业主介绍DDOS清洗业务，把它加入到安全宽带系统里面，攻击流量得到清洗，网吧业务恢复正常，很多业主竞相购买该业务。右边是一个使用报告，请大家参考。

国外的运营商也很关注流量清洗和安全加固。华为参加了他们的一些Workshop，主要的需求是DDOS清洗、P2P的监控以及BOD等精细化运营业务。

从这些例子来看，网络的存活性和可用性是运营商当前最需要解决的一个问题。后面还有几个例子，是All in one对私接、P2P监控的运营效果，我们看看这个数据，在一个小区50,000的宽带接入用户里面，有接近40,000个是非法用户，All in one帮助运营商把这些用户转正，有效提升了收入。

再简单介绍一下安全的集成。我们知道现在目前的运营商给大客户做集成，除了管道投入以外，最大的投资在于宽带接入设备的投资。国家一些部委，包括企业自身对安全越来越关注，比如银行、公安、政府、财政，如果要做一个安全的网络，需要加一个路由器，加一个安全网关，可能还要加加密卡，这样投资就很高。而且这些相互独立的设备很难统一管理，管理成本也很高。华为公司推出的USG系列主要是解决这个问题，它是一个集成的设备，运营商可以通过USG为大客户提供安全的、低成本的VPN业务，将来渗透到桌面的管理和运营。这个方案的推出解决了运营商发展大客户的设备投资和维护成本难题，我们通过实际的部署发现，在一个200到300节点的网络里，投资大概减少40%左右。

我们现在看看安全运营的第二阶段，第二阶段通过安全设备和现有的网络设备的联动，来提供精细化的运营，丰富运营手段，从以前的“用户＋市场”两维运营模式，发展到“用户＋时长＋业务”的三维精细化运营。这个阶段提供的安全业务更加丰富，比如：多PC上网的管理，P2P的控制，商业客户安全宽带，绿色上网，企业VPN，Voip监控，另外还可以提供P2P的运营、Voip的运营。什么是Voip运营，我们发现街上有一些非运营商经营的话吧，这黑话吧实际上是运营商一个很重要的渠道，交了费的保证服务质量，不交费的不保证服务质量，人们当然更愿意使用有质量的话音业务，这样话吧就回归了。安全运营的第二阶段目标就是精细化运营。

我们再看看安全运营的第三个阶段，即内容运营。现在中国有1.46亿的互联网用户，是一个非常巨大的资源，我们除了提供管道以外还能提供什么东西？现在大家都在考虑内容的运营，从一个管道运营商向内容运营商转型，但这个“内容”是否只定位视讯、VOD、下载，我觉得值得商榷。

实际上，可以通过SIG可以进行广告的运营，运营商做广告的优势很明显，有管道，有用户资源，有渠道。做广告初期不一定为广告的盈利，我们可以通过广告拓展中小企业客户接入我们的网络。调查发现，中国有六千万家中小企业，有35%的企业希望上网，有更多的企业（63.5%）希望能够得到一站式的服务，就是目前一本书很流行书，叫《世界是平的》里所说的，更多的企业希望把自己融入到这个平的世界里面来。我们运营商现在发展大客户的时候感觉很困难，因为中小企业认为互联网他是有需求的，但不是最必须的。但是我们在发展大客户的时候，跟他说不但可以帮助你上网，而且可以把你的品牌给推送出去，实际上这些用户有旺盛的广告需求，运营商通过广告的方式来拓展这些客户。

同时运营商也可以通过推送系统来提升运营商自身的形象，比如说我一个包月的用户、包年的用户，快到期了，我是不是把他直接断号，不能这样，这样用户会离网的。你可以推送通知，说你已经欠费了，请来缴费吧。这个推送同样可以帮助电力、供热、煤气公司做。

我理解所谓的全业务运营商，不仅仅是话音（包括移动语音和固定语音）、宽带，它一定是一个广告的运营商，同时是一个搜索的供应商，运营商做搜索，他的好处在哪儿？就是精确，知道用户的位置。这个就是内容和信息的运营者。

华为公司针对网络安全面临的挑战，提供了完善的解决方案体系，这个解决方案体系分两个纬度，纵向是流量纬度，横向是网络的纬度。在流量的纬度：在流量的入口来进行流量的检测、控制和推送；在网元部分通过安全网关和BAS、GGSN联动进行精细化的运营，来保证我们的宝贵的带宽资源；在桌面上为最终用户提供一个安全、可靠的终端。横向是网络的纬度，我们现在很多的网络，有互联网、IP承载网、运营支撑网，包括做ICT，针对每一个网络不同安全需求，提供不同的解决方案。我们最终的目标是要实现安全架构的标准化、体系化融入到ALL IP的架构里，并在这个过程中，助力运营商介入内容的控制和运营，实现从一个管道内容商向内容和信息运营商转型，从浅度的ICT向深度的ICT演进！

谢谢大家！