山石云·集解码：不止安全网元管理，还是划时代产品

C114讯 5月6日特稿（李明）SDN/NFV的规模部署，使得云网融合成为大势所趋。而网络可以软件定义、网络功能可以虚拟化之后，其对于安全能力/安全资源的需求也并非一成不变，客户的需求是要按需而动。软件定义安全成为解决之道，但安全能力/安全资源如何灵活调度和管理？这是业界都在思考的问题。

为此，在“2019中国SDN/NFV/AI大会”上，山石网科正式发布了国内首个面向NFV标准的安全网元管理方案--山石云·集，号称能够给你NFV环境下的英式管家服务。毫不夸张的说，山石云·集对于整个网络安全产业来说都是一个划时代的产品。

安全与云、SDN结合面临三大挑战

当前，云计算与SDN技术日趋成熟，运营商、金融、政府等越来越多的行业选择通过云计算和SDN来提高运营效率和降低运营成本，同时越来越多的企业已将网络安全作为基础建设的重要目标之一，用户需要安全设备与云计算和SDN协同工作。

但现实可没那么简单！山石网科营销资深总监贾彬在接受C114专访时指出，安全与云、SDN结合正面临以下三大挑战：

挑战1.批量化、自动化部署难。不同类型VNF部署困难，在线扩容难。现有安全设备无法与新的业务架构融合，没有平滑的升级过渡方案。

挑战2.多厂家对接难。多厂家、多网元故障定位难，多厂家、多网元、多租户环境标准化低。不同安全厂家间存在技术壁垒，没有标准接口和标准方案，无法实现快速落地。

挑战3.定制化程度高，运维难。云/SDN与安全设备间消息易丢失、配置易出错，误操作避免难。虽然进行了安全与业务的对接，但后期运维复杂，导致运维成本升高。

以“中间件”方式管理安全网元

针对上述难题，山石网科认为：通过NFV部署云计算安全，将成为用户最佳选择。

山石云·集是专门针对需要在云计算和SDN环境中部署安全能力的场景，可以实现安全设备及NFV的自动化部署与管理，并提供开放的标准接口，能快速与第三方云计算和SDN环境进行对接，可针对VNF、PNF进行配置与资源的管理，具备对接配置的检查和恢复能力的创新产品。

在笔者看来，山石云·集最大的创新在于：首先，其理念是将安全能力和安全资源看作是一个个虚拟化网元，并且这是一个安全网元的“管理”方案。其理念是通过部署一个安全的中间件，将安全设备与云平台的对接抽离出来，通过安全设备和中间件对接、中间件和云平台对接的方式，为用户提供安全能力。

这样，运维人员可以快速通过山石云·集将软硬件的安全能力/安全资源虚拟化后，与云平台进行对接，大量功能逻辑交由中间件云集进行实现，与云平台最大程度上解耦，让安全在NFV环境中部署更简单，融合更灵活，运维更高效。

软硬安全资源可灵活调度和管理

山石云·集能够实现全生命周期运维管理：支持多种安全网元初始化方案，解决了安全网元初始化配置问题，使PNF/VNF上线更灵活更符合用户需求；配置一致性检测、VPC互通管理大大减少了运维的工作，使排障更容易，运维更简单；配置备份恢复和网元日志管理，为后期的故障排查和网络优化工作提供了重要依据。

除了可以支持VNF网元（vFW虚拟防火墙）外，山石云·集还可以支持PNF网元（硬件防火墙vSYS）。对于用户重点业务，可以使用硬件防火墙进行安全防护，对于新业务可以使用虚拟防火墙网元进行防护，并且可以支持PNF到VNF的融合演进。

可以说，无论是硬件防火墙还是虚拟防火墙，山石云·集都能够帮助用户灵活调度和管理。

标准化配置接口是关键

在山石网科资深技术专家任亮看来：山石云·集在研发过程中的一大挑战是厂商之间对接磨合这个过程，比如与运营商、金融等行业用户一起研究复杂接口如何标准化的问题，最终实现标准化的配置接口。我们看到欧洲电信标准化协会(ETSI)的标准接口现在落地到具体项目里面，和运营商的接口几乎是一样的，这些都需要大量的积累过程。

山石云·集遵循ETSI定义NFV框架及标准，使用REST API方式提供服务，易于第三方进行集成，并兼容多个厂家的云计算和SDN产品，实现快速对接；兼容标准OpenStack的API和插件进行对接集成，减少定制化接口，在各厂家OpenStack环境间实现解耦，并已与多个厂家的OpenStack完成方案对接。

5G时代安全市场大有可为

而在5G时代，海量连接、网元切片等趋势，对于安全的需求也更加迫切。

山石网科市场资深总监荣钰认为，“安全绝不能作为网络的一个附加，必须要让安全成为网络的DNA。原来是做完网络再考虑做安全，一层层往上打补丁，而真正好的安全思路是做网络的时候就考虑安全。5G要做垂直行业切片，适应IoT场景，比如工业控制、无人驾驶等，安全至关重要，因此5G需要在网络设计之初就考虑安全。”

山石云·集在5G时代也大有可为，荣钰表示，5G有一个很重要的应用场景就是垂直行业的网络切片，运营商也非常重视，所以5G时代安全行业的想象空间非常巨大，对整个安全行业是无疑是巨大的带动。去年山石网科配合运营商以及设备商已经做过一个5G的垂直切片的安全技术白皮书。

综上，无论对于山石网科乃至整个安全行业而言，山石云·集都是一个具有划时代意义的产品。也许五年或十年后又出现了新的网络形态、网络架构或新的安全资源形态，届时今天发布的山石云·集可能还可以控制和管理所有的安全资源，变一变又是绝活儿。