在之前一篇文章《為何我們要檢查SSL流量?》中，有讀者問及“(文中提及的)這種SSL卸載平臺放在什么地方才能起到最好的作用?”在本文中，我們以Ixia的一款網(wǎng)絡(luò)可視化和安全產(chǎn)品Vision ONE為例，具體說明這種平臺的部署及效用。

網(wǎng)絡(luò)可視化與安全需求是Vision ONE的供給土壤

網(wǎng)絡(luò)可視化作為新的細(xì)分市場，可以說在5、6年前并不存在。過去語音、視頻和數(shù)據(jù)是在不同的網(wǎng)絡(luò)上運(yùn)行的，但如今都匯聚在了IP網(wǎng)絡(luò)上，這也就是現(xiàn)在常說的三網(wǎng)合一的現(xiàn)象，這就給IP網(wǎng)絡(luò)帶來巨大壓力。隨著運(yùn)行的數(shù)據(jù)越來越多，對流動的數(shù)據(jù)分析需求則迭起，即催生了網(wǎng)絡(luò)可視化這一新的市場。

流量的激增促生了可視化的需求，企業(yè)需要知道其IP網(wǎng)絡(luò)上到底發(fā)生了什么，跑著什么樣的流量，從這個角度上看，網(wǎng)絡(luò)的可視化則進(jìn)一步為網(wǎng)絡(luò)的安全性奠定了基礎(chǔ)。因?yàn)槠髽I(yè)只有對網(wǎng)絡(luò)的每一個角落都看的清清楚楚，不存在任何盲點(diǎn)后，這個網(wǎng)絡(luò)才可以說是安全的。

Vision ONE即是基于企業(yè)對于IP網(wǎng)絡(luò)的兩種需求——可視化和安全而生的。它能夠做到兩件事，其一是讓企業(yè)用戶訪問、接入到整個IP網(wǎng)絡(luò)上的任何一條IP流量管道；其二是使用先進(jìn)的安全分析工具，幫助企業(yè)用戶分析管道中所流通的數(shù)據(jù)的安全性。

Vision ONE的三種部署場景帶外（Monitoring）部署

如下圖所示，企業(yè)內(nèi)網(wǎng)和Vision ONE連在一起，實(shí)現(xiàn)一個監(jiān)控場景，通常，Vision ONE從內(nèi)網(wǎng)中抓取數(shù)據(jù)進(jìn)行復(fù)制，復(fù)制完成后導(dǎo)入應(yīng)用性能監(jiān)控（APM）或網(wǎng)絡(luò)性能監(jiān)控（NPM）工具。在這種部署場景下，Vision ONE只用于監(jiān)控，企業(yè)輸出的數(shù)據(jù)不再反饋回來。

Vision ONE帶外部署

在這種模式下，Vision ONE主要解決APM等監(jiān)控工具抓取數(shù)據(jù)接口過多的問題；在多個監(jiān)控系統(tǒng)運(yùn)行時，可起到負(fù)載均衡的作用以平衡使用運(yùn)行中的監(jiān)控工具；此外，Vision ONE可實(shí)現(xiàn)數(shù)據(jù)錄制，滿足企業(yè)對于某一明確數(shù)據(jù)流量的監(jiān)測需求，然后再把這個數(shù)據(jù)發(fā)放給檢測工具。

帶內(nèi)（Inline）部署

在這種模式下，Vision ONE部署在外網(wǎng)和防火墻／IPS／IDS之間，在流量進(jìn)入企業(yè)內(nèi)網(wǎng)前，先行對流量進(jìn)行把控，這里實(shí)際上做的就是一個數(shù)據(jù)的處理。Vision ONE先對進(jìn)來的數(shù)據(jù)進(jìn)行分析，沒有問題后再放行其進(jìn)入企業(yè)內(nèi)網(wǎng)。

Vision ONE帶內(nèi)部署

Vision ONE在帶內(nèi)的使用非常重要。對于部署了多個防火墻的企業(yè)來說，Vision ONE可把網(wǎng)絡(luò)流量做一個分發(fā)負(fù)載均衡，把不同的流量發(fā)放給不同的防火墻，從而不影響網(wǎng)絡(luò)速度。在這種部署場景下，Vision ONE作為中間數(shù)據(jù)的一個匯聚層，把數(shù)據(jù)分發(fā)給各種安全工具去使用。

這里用戶可能會有個疑問，如今的防火墻已具備數(shù)據(jù)包檢測、SSL解密這類功能，為何還要專門去購置設(shè)備來實(shí)現(xiàn)這些功能呢？答案在Vision ONE可起到保護(hù)作用的另一機(jī)制。所有設(shè)備包括防火墻都是串接進(jìn)去的，一旦其中某個防火墻出現(xiàn)問題，會引起網(wǎng)絡(luò)中斷，Vision ONE可在某個防火墻出問題時將流量發(fā)給另外的防火墻。

帶內(nèi)和帶外同時進(jìn)行

如下圖所示，在這種模式下通常的一個結(jié)構(gòu)是，流量從外網(wǎng)進(jìn)來，首先通過防火墻，然后流量通過交換機(jī)到Vision ONE上，Vision ONE把這些數(shù)據(jù)分發(fā)給不同的應(yīng)用，比如之前提及的帶內(nèi)的IPS，以及帶外的APM或NPM這類工具。

Vision ONE帶內(nèi)和帶外同時進(jìn)行

總結(jié)起來，Ixia的Vision ONE可以進(jìn)行大量數(shù)據(jù)監(jiān)控，幫助企業(yè)提高網(wǎng)絡(luò)可視性，以更好的監(jiān)控和保護(hù)網(wǎng)絡(luò)。此外，Vision ONE提供高中低端版本，有可視化和安全需求的中小企業(yè)也可以考慮采用，不過相對來說，大中型企業(yè)部署的投資回報率會比較高一些。