網絡邊界

人們為了解決資源的共享而建立了網絡，然而全世界的計算機真的聯成了網絡，安全卻成了問題。因為在網絡上，你不清楚對方在哪裏，泄密、攻擊、病毒等等，越來越多的不安全因素讓網絡管理者難以安寧，所以把有安全需求的網絡與不安全的網絡分開，是沒有辦法的選擇。分離形成了網絡的“孤島”，沒有了連接，安全問題自然消失了。 然而因噎廢食不是個辦法，沒有連接，業務也無法互通，網絡孤島的資源在重複建設、浪費嚴重，並且隨着信息化的深入，在各種網絡上信息共享需求日益強烈。

比如：政府的內網與外網，需要面對公眾服務；銀行的數據網與互聯網，需要支持網上交易；企業的辦公與生產網，老總們的辦公桌上不能總是兩個終端吧；民航、鐵路與交通部的信息網與互聯網，網上預定與實時信息查詢是便利出行的必然。本着有需求就有供應，因此，網絡邊界誕生了。

網絡邊界就是針對不同網絡環境所設置的安全防禦措施。

把不同安全級別的網絡相連接，就產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防禦措施。下面我們來看看網絡邊界上的安全問題都有哪些：

非安全網絡互聯帶來的安全問題與網絡內部的安全問題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來説網絡邊界上的安全問題主要有下面幾個方面：

網絡上的資源是可以共享的，但沒有授權的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：

◆攻擊者(非授權人員)進入了網絡，獲取了信息，這是從網絡內部的泄密

◆合法使用者在進行正常業務往來時，信息被外人獲得，這是從網絡外部的泄密

互聯網是世界級的大眾網絡，網絡上有各種勢力與團體。入侵就是有人通過互聯網進入你的網絡(或其他渠道)，篡改數據，或實施破壞行為，造成你網絡業務的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。

與非安全網絡的業務互聯，難免在通訊中帶來病毒，一旦在你的網絡中發作，業務將受到巨大沖擊，病毒的傳播與發作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。

木馬的發展是一種新型的攻擊行為，他在傳播時像病毒一樣自由擴散，沒有主動的跡象，但進入你的網絡後，便主動與他的“主子”聯絡，從而讓主子來控制你的機器，既可以盜用你的網絡信息，也可以利用你的系統資源為他工作，比較典型的就是“殭屍網絡”。

來自網絡外部的安全問題，重點是防護與監控。來自網絡內部的安全，人員是可控的，可以通過認證、授權、審計的方式追蹤用户的行為軌跡，也就是我們説的行為審計與合軌性審計。

入侵的過程是隱秘的，造成的後果是竊取數據與系統破壞。木馬的入侵也屬於黑客的一種，只是入侵的方式採用的病毒傳播，達到的效果與黑客一樣。

病毒就是網絡的蛀蟲與垃圾，大量的自我繁殖，侵佔系統與網絡資源，導致系統性能下降。病毒對網關沒有影響，就象“走私”團伙，一旦進入網絡內部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實則無孔不入。

網絡攻擊是針對網絡邊界設備或系統服務器的，主要的目的是中斷網絡與外界的連接，比如DOS攻擊，雖然不破壞網絡內部的數據，但阻塞了應用的帶寬，可以説是一種公開的攻擊，攻擊的目的一般是造成你服務的中斷。

我們把網絡可以看作一個獨立的對象，通過自身的屬性，維持內部業務的運轉。他的安全威脅來自內部與邊界兩個方面：內部是指網絡的合法用户在使用網絡資源的時候，發生的不合規的行為、誤操作、惡意破壞等行為，也包括系統自身的健康，如軟、硬件的穩定性帶來的系統中斷。邊界是指網絡與外界互通引起的安全問題，有入侵、病毒與攻擊。

對於公開的攻擊，只有防護一條路，比如對付DDOS的攻擊；但對於入侵的行為，其關鍵是對入侵的識別，識別出來後阻斷它是容易的，但怎樣區分正常的業務申請與入侵者的行為，是邊界防護的重點與難點。

我們把網絡與社會的安全管理做一個對比：

要守住一座城，保護人民財產的安全，首先建立城牆，把城內與外界分割開來，阻斷其與外界的所有聯繫，然後再修建幾座城門，作為進出的檢查關卡，監控進出的所有人員與車輛，是安全的第一種方法；

為了防止入侵者的偷襲，再在外部挖出一條護城河，讓敵人的行動暴露在寬闊的、可看見的空間裏，為了通行，在河上架起吊橋，把路的使用主動權把握在自己的手中，控制通路的關閉時間是安全的第二種方法；

對於已經悄悄混進城的“危險分子”，要在城內建立有效的安全監控體系，比如人人都有身份證、大街小巷的攝像監控網絡、街道的安全聯防組織，每個公民都是一名安全巡視員，順便説一下：户籍制度、罪罰、聯作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為，就會被立即揪住，這是安全的第三種方法。

作為網絡邊界的安全建設，也採用同樣的思路：控制入侵者的必然通道，設置不同層面的安全關卡，建立容易控制的“貿易”緩衝區，在區域內架設安全監控體系，對於進入網絡的每個人進行跟蹤，審計其行為等等。

從網絡的誕生，就產生了網絡的互聯，Cisco公司就是靠此而興起的。從沒有什麼安全功能的早期路由器，到防火牆的出現，網絡邊界一直在重複着攻擊者與防護者的博弈，這麼多年來，“道高一尺，魔高一丈”，好象防護技術總跟在攻擊技術的後邊，不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟：

網絡隔離最初的形式是網段的隔離，因為不同的網段之間的通訊是通過路由器連通的，要限制某些網段之間不互通，或有條件地互通，就出現了訪問控制技術，也就出現了防火牆，防火牆是不同網絡互聯時最初的安全網關。

防火牆的安全設計原理來自於包過濾與應用代理技術，兩邊是連接不同網絡的接口，中間是訪問控制列表ACL，數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是遊客就無法區分了，因為ACL控制的是網絡的三層與四層，對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術，可以隱藏內網設備的IP地址，給內部網絡蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯繫，從而“穿透”了NAT的“防護”，很多P2P應用也採用這種方式“攻破”了防火牆。

防火牆的作用就是建起了網絡的“城門”，把住了進入網絡的必經通道，所以在網絡的邊界安全設計中，防火牆成為不可缺少的一部分。

防火牆的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都毫無辦法。所以作為安全級別差異較大的網絡互聯，防火牆的安全性就遠遠不夠了。

既然一道防火牆不能解決各個層面的安全防護，就多上幾道安全網關，如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了，設計在一起是UTM，分開就是各種不同類型的安全網關。

多重安全網關就是在城門上多設幾個關卡，有了職能的分工，有驗證件的、有檢查行李的、有查毒品的、有查間諜的……

多重安全網關的安全性顯然比防火牆要好些，起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的，這種方式速度快，不會帶來明顯的網絡延遲，但也有它本身的固有缺陷，首先，應用特徵的更新一般較快，最長也是以周計算，所以網關要及時地“特徵庫升級”；其次，很多黑客的攻擊利用“正常”的通訊，分散迂迴進入，沒有明顯的特徵，安全網關對於這類攻擊能力很有限；最後，安全網關再多，也只是若干個檢查站，一旦“混入”，進入到大門內部，網關就沒有作用了。這也安全專家們對多重安全網關“信任不足”的原因吧。

網閘的安全思路來自於“不同時連接”。不同時連接兩個網絡，通過一箇中間緩衝區來“擺渡”業務數據，業務實現了互通，“不連接”原則上入侵的可能性就小多了。

網閘只是單純地擺渡數據，近似於人工的“U盤擺渡”方式。網閘的安全性來自於它擺渡的是“純數據”還是“灰數據”，通過的內容清晰可見，“水至清則無魚”，入侵與病毒沒有了藏身之地，網絡就相對安全了。也就是説，城門只讓一種人通過，比如送菜的，間諜可混入的概率就大大降低了。但是，網閘作為網絡的互聯邊界，必然要支持各種業務的連通，也就是某些通訊協議的通過，所以網閘上大多開通了協議的代理服務，就象城牆上開了一些特殊的通道，網閘的安全性就打了折扣，在對這些通道的安全檢查方面，網閘比多重安全網關的檢查功效不見得高明。

網閘的思想是先堵上，根據“城內”的需要再開一些小門，防火牆是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術上差不多，所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。

但是網閘給我們帶來了兩點啓示後來網閘設計中出現了存儲通道技術、單向通道技術等等，但都不能保證數據的“單純性”，檢查技術由於沒有新的突破，所以網閘的安全性受到了專家們的質疑。

1、建立業務互通的緩衝區，既然連接有不安全的可能，單獨開闢一塊地區，縮小不安全的範圍也是好辦法。

2、協議代理，其實防火牆也有應用代理是思想，不讓來人進入到城內，你要什麼服務我安排自己的人給你提供服務，網絡訪問的最終目的是業務的申請，我替你完成了，不也達到目的了嗎？黑客在網絡的大門外邊，不進來，威脅就小多啦。

從防火牆到網閘，都是採用的關卡方式，“檢查”的技術各有不同，但對黑客的最新攻擊技術都不太好用，也沒有監控的手段，對付“人”的攻擊行為來説，只有人才是最好的對手。

數據交換網技術是基於緩衝區隔離的思想，把城門處修建了一個“數據交易市場”，形成兩個緩衝區的隔離，同時引進銀行系統對數據完整性保護的Clark-Wilson模型，在防止內部網絡數據泄密的同時，保證數據的完整性，即沒有授權的人不能修改數據，防止授權用户錯誤的修改，以及內外數據的一致性。

數據交換網技術給出了邊界防護的一種新思路，用網絡的方式實現數據交換，也是一種用“土地換安全”的策略。在兩個網絡間建立一個緩衝地，讓“貿易往來”處於可控的範圍之內。

1、綜合了使用多重安全網關與網閘，採用多層次的安全“關卡”。

2、有了緩衝空間，可以增加安全監控與審計，用專家來對付黑客的入侵，邊界處於可控制的範圍內，任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。

3、業務的代理保證數據的完整性，業務代理也讓外來的訪問者止步於網絡的交換區，所有的需求由服務人員提供，就象是來訪的人只能在固定的接待區洽談業務，不能進入到內部的辦公區。

數據交換網技術針對的是大數據互通的網絡互聯，一般來説適合於下面的場合：

要互通的業務數據量大，或有一定的實時性要求，人工方式肯定不夠用，網關方式的保護性又顯不足，比如銀行的銀聯繫統、海關的報關係統、社保的管理系統、公安的出入境管理系統、大型企業的內部網絡(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻，但又與廣大百姓與企業息息相關，業務要求提供互聯網的訪問，在安全性與業務適應性的要求下，業務互聯需要用完整的安全技術來保障，選擇數據交換網方式是適合的。

高密級網絡一般涉及國家機密，信息不能泄密是第一要素，也就是絕對不允許非授權人員的入侵。即使出於對公眾信息的需求，或對大眾網絡與信息的監管，也不能與非安全網絡互聯，更不能選擇數據交換網技術。

“魔高道高，道高魔高”。網絡邊界是兩者長期博弈的“戰場”，然而安全技術在“不斷打補丁”的同時，也逐漸在向“主動防禦、立體防護”的思想上邁進，邊界防護的技術也在逐漸成熟，數據交換網技術就已經不再只是一個防護網關，而是一種邊界安全網絡，綜合性的安全防護思路。也許安全的話題是永恆的，但未來的網絡邊界一定是越來越安全的，網絡的優勢就在於連通。