【IT168 评论】近日，在“中国互联网安全大会”上，Ixia携“PerfectStorm完美风暴”--新一代网络安全测试系统进行了展示。同时，还联手天融信举办了真实世界流量仿真攻击与防御大赛，并通过Ixia可视性系统全面直观地呈现给观看比赛的参会者。会议间隙，Ixia中国区总经理张炜、应用和安全业务发展总监孙震、网络可视化产品中国区销售经理章顺共同接受了采访，分享了Ixia在新形势下的变革，以及如何看待移动安全、SDN等热门问题。

　　网络安全最新诉求

　　今年网络安全形势比较严峻，那么目前企业用户对于网络安全的诉求是怎样的呢?张炜表示，“首先从企业最高管理层来看，企业经营的IT系统的效率以及安全性是否会影响到整体收入，互联网企业也是这样，企业CIO甚至CEO都会关注企业本身的IT系统，甚至是生产系统的安全性如何，希望能够防范于未然。但事实上能够防范多少，企业的高管们希望能够有一个可评价，可衡量的方式，甚至是可以量化的方式，所以希望能够有一个整体性战略性的评价，安全性的评价;其次希望能够帮找到网络安全的弱点;最后在进行网络安全投资的时候，例如防火墙、入侵检测等安全设备，管理者知道企业网络安全的态势是怎样的，该如何进行安全的投入，通过这项投入之后企业自身的安全系数是不是提升了，提升了多少。

▲Ixia中国区总经理张炜

　　相信从很多行业、企业CIO的视角来看，保障企业网络安全是整体的目的，那么如何通过可量化、可指导的方式进行网络安全投资，相信这是他们的诉求之一。张炜强调，”我不敢说Ixia能够覆盖他们所有的诉求，但是以我们接触的企业CIO视角来讲，这一部分是他们跟我们讨论到的特别关注的一些诉求。

　　网络流量可视化让管理更透明

　　对于网络安全测试测量评估和优化领域，张炜表示，“我们需要模拟真实环境里面各种各样实际的应用，因为现在网络是爆发性成长，所以在模拟网络去考验安全设备的时候，也需要模拟爆发性成长超高超大性能的流量来加载在设备上进行相应的压力测试，然后才会加入相关安全方面测试的能力。 从可视化视角来看，如何在网络里面大量的数据中把你需要的数据拿出来?这其实也是从可视化的另外一个视角去看，我们在做攻防挑战赛的时候，搭建的平台里面专门有一层可视化的架构，可以从海量信息里面把他要的东西拿出来，而且是最有效率地提取出来。

▲网络可视化产品中国区销售经理章顺

　　章顺补充道，”网络可视化的一个重点问题就是对于流量管理和经营。首先随着数据中心数据流量越来越大，传统数据中心流量普遍是百兆、千兆，但是近两年数据中心40G、100G流量变得越来越常见，那么网络安全产品和网络安全工具怎么应对整个数据流量突发就显得异常重要。Ixia现在提供的网络可视化产品能够完完全全把整个数据中心的流量全部管理起来，实现网络流量可视化。此外通过管理流量还可以减轻网络安全产品和网络安全工具的压力，把不必要的数据流量过滤掉达到减轻网络安全和网络工具的压力，实际上也减少了企业投资。还有一个最重要的目的就是网络可视化工具可以作为一个负载均衡和限速的设备，也可以大大的减少网络安全和网络工具受到的流量冲击。通过这三个方向我们可以极大地节约网络安全成本和提高管理网络流量效率。

       “初步估计有5亿台机器正在受到Shellshock的威胁，这仅仅代表了实际上容易受到这一最新威胁的系统的一小部分。Shellshock是最基本的远程执行漏洞之一，借助对计算机编程的理解，任何人都可以加以利用。Shellshock的症结在于，它是通过一些最古老的互联网技术开发的。Bourne Again Shell (Bash)已有25年之久了。CGI脚本，这一仍被当前很多设备所使用的最古老的web服务器技术，在处理网页时利用Bash shell.旧的web服务器，尤其是像家用网络路由器这样不怎么强大的系统都在使用CGI脚本。其结果是，Shellshock的开发者仅需要扫描使用CGI脚本的web服务器。然后，他们就可以完全控制那一系统，无需验证就可以做他们想做的任何事。这可能意味着窃取证书、攻击其他主机或进一步进入企业网络。Bash的漏洞再次强调了新的漏洞将会被发现。当这种情况发生在广泛部署且允许远程执行代码的服务上时，例如使用了base unix shell的服务，相关组织必须具备恰当的流程来快速测试更新，并立即推广到易受到威胁的设备或软件上。就像”心脏出血“(Heartbleed)一样，关键在于安装签名来检测和阻止此类利用Shellshock的尝试。也正如”心脏出血“,很多系统将持续无法更新补丁并暴露在互联网黑客的恶意攻击之下。由于保护签名已经可用，相关组织必须能够快速测试新的签名更新来预防系统问题。”Ixia应用与威胁智能计划总监Steve McGregory针对Shellshock这样评论。

　　正面应对移动、SDN等新技术

▲应用和安全业务发展总监孙震

　　随着智能手机的快速普及，移动互联网无处不在，对于移动互联网安全与传统互联网安全又有哪些不同呢?孙震指出，“移动互联网接入方式，接入点都多种多样，而且随着BYOD趋势加剧，越来越多的管理人员通过智能手机进行办公，那么面临的安全威胁将比传统有线网络办公更加有挑战性，所以现在有很多不同厂商推出了不同的解决方案，从我们测试角度来讲，我们也在测试平台上不断开发出针对于移动业务的仿真，移动病毒的仿真等等，从我们测试角度来帮助他们验证，重新定义安全界限，抗御不安全性的新网络架构。”

　　张炜也表示，在移动互联网时代，Ixia最关注两个关关键词，一个关键词是性能，超高超大量的性能，所以我们在业界目前非常先进的推出了PerfectStorm ONE,能够模拟1TB容量量，这是我们非常关注的爆发性增长必须要去模拟。另外一个关键词是智能，我们需要提供给采用IXIA设备的用户或者合作单位最新的数据，这两个部分是Ixia特别重视的，也是作为一个专业测试设备厂商的可信价值。

　　SDN作为网络里面最热门的技术，得到了整个产业链的关注，那么对于这种前瞻技术，测试厂商的态度又是如何的呢?张炜表示，“事实上Ixia很多年前我们就开始关注SDN了，Ixia是OpenFlow测试与互通组小组的主席，在SDN最早版本到现在的版本都参与到里面，从标准的制定，还有验证，做了很多的互通测试验证。软件定义网络趋势是网络下一代非常大的变化，或者是一个革命性的变化，Ixia我们自己的特点，首先我们在所有物理传统的网络测试上面的能力已经得到验证，Ixia现在的战略以及已经在做事情是把所有可以在传统网络物理网上测试的产品，全部会放在虚拟的环境里面去实现。Ixia的理念第一我能够在传统网络物理网络上做得很好，我们也把我们这些东西全部放在虚拟层面，所以从物理到虚拟我要同时去测试，在这样一个混合网络环境里面去帮助运营商在他的迁移过程当中一步一步地去实现这个过程。

　　对于SDN而言，业界最大的争议之一就是多标准组织的不同定义，对此张炜也表示，Ixia会花很多的研发资源投入到SDN,现在也有很多的应用场景开始出现，虽然也有关于SDN不同的解读，使用的现实环境也是不一样，但这个过程Ixia自始至终一直跟进。Ixia是唯一一个既能够去测试整个对于标准的合规性，SDN是把数据转发层和控制系统分开，要去测试转发层的时候，又要能够模拟控制层，Ixia是能够同时模拟控制器也能够模拟下面数据转发层的测试设备，目前来讲全球优异一个两个层面都能够去模拟和测试的企业。

　　对于企业自身定位，张炜总结道，“就Ixia而言，我们本身不做网络安全设备，我们是扮演坏人角色，使得考验抵挡坏人的设施能否挡得住测试，所以我尽可能地有能力真实模拟所有坏人情景，同时坏人不会分国籍，尤其我们是要模拟全球的各种各样的攻击模式，所以我们的经验就在这，拥有众多的威胁应用和威胁智能库，本身就是我们非常有价值体系。”

　　总结：Ixia作为一个专业测试设备厂商，对于各种技术都要关注，特别是前沿技术，而且还需要正确的判断，否则投入了研究而技术没有得到应用就是损失;对于网络安全而言，Ixia需要模拟所有攻击手段，扮演坏人角色，对安全设备进行测试，而对于企业而言，通过Ixia测试通过的产品无疑成为了防护网络安全的坚实盾牌。