互聯網安全威脅的增多，促使網絡安全產品也異常豐富。從加密到防護、從邊界到數據、從通路到應用、從監控到管理等等各種各樣的安全系統構成了一個讓人眼花繚亂的虛假繁榮場面，各種產品似乎都能解決所有的問題，各種產品似乎都在抱著“永不停歇”的精神向其他個邊沿領域衍生。

各種產品的定位重合與高強度的市場吶喊，讓用戶迷失在自己真實的需求里：我們沒有辦法評估到底需要什么樣的安全方案、需要哪些安全產品。好像安全被無端的無限夸張了，導致直接惡果是最終用戶因為“不能理解”而處于等待狀態、甚至抵觸狀態。

所以，要普及或者更好的應用專業安全產品，需要的是給用戶“誠實”的描述他們“真實”的需求。

青蓮科技(Cyanlotus)提供產品與解決方案的同時，更關注的是讓用戶知道自己真實的需求。 在某礦業集團（下稱A礦業集團）的網絡安全項目建設中，青蓮科技給出了最為典型的實施行動。

A礦業集團是我國最重要的煤炭生產基地之一，每年生產原煤200萬噸，擁有各類二級下屬法人單位100多個，員工2萬多人。在所有二級下屬法人單位中，最重要的是8個礦山和1個發電公司，也是信息化和網絡安全建設的重點。 A礦業建有先進的網絡中心，搭建了較為現代化的網絡應用環境、礦山安全監控系統。在網絡應用方面主要包括：電子郵件、ERP、礦山員工作業調度與定位系統、WEB服務器以及與上級礦務局的日常財務、管理數據同步系統。 A礦業集團的大部分管理與生產調度都基于IT網絡系統來做，對IT系統的穩定性、安全等要求都非常的高。有關網絡情況如下：

圖1

如圖示：A礦業公司出口采用100M光纖接入，NAT由核心交換機來做；在服務器群主要的應用是電子郵件和ERP系統、集團管理數據同步系統等。對于日益復雜的網絡應用環境，網絡建設在該礦以前幾乎是空白，除了簡單的殺病毒系統外，沒有其他任何防護策略。網管人員一直想將網絡安全建設工作做好，但卻無從下手。 了解到的情況是，眾多的網絡安全公司提供的方案都是大而全的，而對于這樣一個礦業集團公司來說，由于光纖接入上級礦務局的大的環形網絡，沒有直接接到互聯網當中，面臨的攻擊威脅遠不像許多“典型安全方案”所描述的那樣復雜。 仔細與用戶溝通、分析，我們得出用戶的主要需求包括：

（1）擁有個防火墻功能，能夠防范其他內部單位的一些人員的攻擊行為。
（2）解放核心交換，讓大部分路由(NAT\DHCP\RIP)都由其他的設備來承擔。
（3）由于業務不需要太多的上網，所以要對可能引發網絡安全問題的應用進行控制
（4）能夠對ARP問題進行一定的防護
（5）對內部人員的IP等進行必要的管理
（6）保證關鍵應用(電子郵件、ERP)等的流量

仔細分析這些需求，我們可能需要向用戶提供（防火墻+行為審計+流量控制+防病毒）這樣一個非常復雜的網絡安全解決方案。但，客戶認為自己盡管有這些需求，但卻不想配置那么多設備、也不認為為了滿足這些需求，而需要配備如此多的設備。他們需要一個簡易的、經濟的，卻又有效的方案！

青蓮科技依據對網絡安全需求的深入理解，認為客戶的需求是典型的“普及型需求”。對這種普及型需求的，最好提供的是方案型產品，而且這個用戶的網絡需求中，對于攻擊這種典型安全需求不是很強烈，更多的是對應用的管理。 青蓮網絡行為管理與審計系統（下稱，青蓮AOS）基于多核處理器平臺，讓這種復雜的方案型產品成為可能。

青蓮AOS采用MIPS新一代RISC架構64位多核處理器，可以提供4-16核、每個核提供多達4個線程的計算處理能力。這使得青蓮AOS擁有令人羨慕的、電信級產品穩定性和網絡處理能力。 作為一款網絡安全訪問控制與審計類產品，其多核平臺設計，分別提供網絡抓包、審計分析、訪問控制計算等等功能，整合多種核心的網絡技術，實現網絡行為管理與審計的功能，并最大限度的利用RISC多核處理器的特點，實現增值的網絡功能，如安全路由、多線路負載均衡、防火墻、IPsec VPN等等。如下圖，是青蓮AOS在多核處理平臺下的技術群系圖：

圖2

針對A礦業集團的需求，我們推薦了青蓮AOS1000型號，可以滿足1000人的網絡環境。有關拓撲如下：

圖3

（1）將青蓮AOS安裝核心交換前面，以網關方式部署，開啟防火墻功能、防DOS攻擊。
（2）啟用AOS的NAT功能，將內部IP與MAC進行綁定，強化內部IP的管理。
（3）啟用ARP防護，解決用戶最頭疼的ARP欺騙問題。
（4）對網絡內部用戶，全部實行PORTAL認證，將用戶按照部門進行分別管理。
（5）開啟訪問控制功能，對不通的部門實行不同的訪問控制策略，有關策略表如下表：

（6）設置流量控制策略，為ERP\電子郵件配置保障帶寬。
（7）全面記錄所有用戶的所有上網行為，并提供所謂外發信息的審計功能。

青蓮AOS開啟了相關功能后，較好的滿足了A礦業集團的需求，集成化的普及型方案產品，讓用戶在應用、管理等方面的成本大幅降低。