在之前一篇文章《为何我们要检查SSL流量？》中，有读者问及“(文中提及的)这种SSL卸载平台放在什么地方才能起到最好的作用？”在本文中，我们以Ixia的一款网络可视化和安全产品Vision ONE为例，具体说明这种平台的部署及效用。

　　网络可视化与安全需求是Vision ONE的供给土壤

网络可视化作为新的细分市场，可以说在5、6年前并不存在。过去语音、视频和数据是在不同的网络上运行的，但如今都汇聚在了IP网络上，这也就是现在常说的三网合一的现象，这就给IP网络带来巨大压力。随着运行的数据越来越多，对流动的数据分析需求则迭起，即催生了网络可视化这一新的市场。

流量的激增促生了可视化的需求，企业需要知道其IP网络上到底发生了什么，跑着什么样的流量，从这个角度上看，网络的可视化则进一步为网络的安全性奠定了基础。因为企业只有对网络的每一个角落都看的清清楚楚，不存在任何盲点后，这个网络才可以说是安全的。

Vision ONE即是基于企业对于IP网络的两种需求——可视化和安全而生的。它能够做到两件事，其一是让企业用户访问、接入到整个IP网络上的任何一条IP流量管道；其二是使用先进的安全分析工具，帮助企业用户分析管道中所流通的数据的安全性。

　　Vision ONE的三种部署场景带外(Monitoring)部署

如下图所示，企业内网和Vision ONE连在一起，实现一个监控场景，通常，Vision ONE从内网中抓取数据进行复制，复制完成后导入应用性能监控(APM)或网络性能监控(NPM)工具。在这种部署场景下，Vision ONE只用于监控，企业输出的数据不再反馈回来。

 

Vision ONE带外部署

在这种模式下，Vision ONE主要解决APM等监控工具抓取数据接口过多的问题；在多个监控系统运行时，可起到负载均衡的作用以平衡使用运行中的监控工具；此外，Vision ONE可实现数据录制，满足企业对于某一明确数据流量的监测需求，然后再把这个数据发放给检测工具。

　　带内(Inline)部署

在这种模式下，Vision ONE部署在外网和防火墙/IPS/IDS之间，在流量进入企业内网前，先行对流量进行把控，这里实际上做的就是一个数据的处理。Vision ONE先对进来的数据进行分析，没有问题后再放行其进入企业内网。

 

Vision ONE带内部署

Vision ONE在带内的使用非常重要。对于部署了多个防火墙的企业来说，Vision ONE可把网络流量做一个分发负载均衡，把不同的流量发放给不同的防火墙，从而不影响网络速度。在这种部署场景下，Vision ONE作为中间数据的一个汇聚层，把数据分发给各种安全工具去使用。

这里用户可能会有个疑问，如今的防火墙已具备数据包检测、SSL解密这类功能，为何还要专门去购置设备来实现这些功能呢？答案在Vision ONE可起到保护作用的另一机制。所有设备包括防火墙都是串接进去的，一旦其中某个防火墙出现问题，会引起网络中断，Vision ONE可在某个防火墙出问题时将流量发给另外的防火墙。

　　带内和带外同时进行

如下图所示，在这种模式下通常的一个结构是，流量从外网进来，首先通过防火墙，然后流量通过交换机到Vision ONE上，Vision ONE把这些数据分发给不同的应用，比如之前提及的带内的IPS，以及带外的APM或NPM这类工具。

 

　　Vision ONE带内和带外同时进行

总结起来，Ixia的Vision ONE可以进行大量数据监控，帮助企业提高网络可视性，以更好的监控和保护网络。此外，Vision ONE提供高中低端版本，有可视化和安全需求的中小企业也可以考虑采用，不过相对来说，大中型企业部署的投资回报率会比较高一些。

(责任编辑：安博涛)