(完整版)邊界防護技術

2024年3月2日發(作者：據理力爭的意思)

人們為了解決資源的共享而建立了網絡，然而全世界的計算機真的聯成了網絡，安全卻成了問題。因為在網絡上，你不清楚對方在哪里，泄密、攻擊、病毒等等，越來越多的不安全因素讓網絡管理者難以安寧，所以把有安全需求的網絡與不安全的網絡分開，是沒有辦法的選擇。分離形成了網絡的“孤島”，沒有了連接，安全問題自然消失了。

然而因噎廢食不是個辦法，沒有連接，業務也無法互通，網絡孤島的資源在重復建設、浪費嚴重，并且隨著信息化的深入，在各種網絡上信息共享需求日益強烈，比如：政府的內網與外網，需要面對公眾服務；銀行的數據網與互聯網，需要支持網上交易；企業的辦公與生產網，老總們的辦公桌上不能總是兩個終端吧；民航、鐵路與交通部的信息網與互聯網，網上預定與實時信息查詢是便利出現的必然……

一、網絡邊界上需要什么

把不同安全級別的網絡相連接，就產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防御措施。下面我們來看看網絡邊界上的安全問題都有哪些：

非安全網絡互聯帶來的安全問題與網絡內部的安全問題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網絡邊界上的安全問題主要有下面幾個方面：

1、信息泄密：網絡上的資源是可以共享的，但沒有授權的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：

◆攻擊者(非授權人員)進入了網絡，獲取了信息，這是從網絡內部的泄密

◆合法使用者在進行正常業務往來時，信息被外人獲得，這是從網絡外部的泄密

2、入侵者的攻擊：互聯網是世界級的大眾網絡，網絡上有各種勢力與團體。入侵就是有人通過互聯網進入你的網絡(或其他渠道)，篡改數據，或實施破壞行為，造成你網絡業務的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。

3、網絡病毒：與非安全網絡的業務互聯，難免在通訊中帶來病毒，一旦在你的網絡中發作，業務將受到巨大沖擊，病毒的傳播與發作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。

4、木馬入侵：木馬的發展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴散，沒有主動的跡象，但進入你的網絡后，便主動與他的“主子”聯絡，從而讓主子來控制你的機器，既可以盜用你的網絡信息，也可以利用你的系統資源為他工作，比較典型的就是“僵尸網絡”。

來自網絡外部的安全問題，重點是防護與監控。來自網絡內部的安全，人員是可控的，可以通過認證、授權、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。

由于有這些安全隱患的存在，在網絡邊界上，最容易受到的攻擊方式有下面幾種：

1、黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數據與系統破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達到的效果與黑客一樣。

2、病毒入侵：病毒就是網絡的蛀蟲與垃圾，大量的自我繁殖，侵占系統與網絡資源，導致系統性能下降。病毒對網關沒有影響，就象“走私”團伙，一旦進入網絡內部，

便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實則無孔不入。

3、網絡攻擊：網絡攻擊是針對網絡邊界設備或系統服務器的，主要的目的是中斷網絡與外界的連接，比如DOS攻擊，雖然不破壞網絡內部的數據，但阻塞了應用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務的中斷。

二、邊界防護的安全理念

我們把網絡可以看作一個獨立的對象，通過自身的屬性，維持內部業務的運轉。他的安全威脅來自內部與邊界兩個方面：內部是指網絡的合法用戶在使用網絡資源的時候，發生的不合規的行為、誤操作、惡意破壞等行為，也包括系統自身的健康，如軟、硬件的穩定性帶來的系統中斷。邊界是指網絡與外界互通引起的安全問題，有入侵、病毒與攻擊。

如何防護邊界呢？對于公開的攻擊，只有防護一條路，比如對付DDOS的攻擊；但對于入侵的行為，其關鍵是對入侵的識別，識別出來后阻斷它是容易的，但怎樣區分正常的業務申請與入侵者的行為呢，是邊界防護的重點與難點。

我們把網絡與社會的安全管理做一個對比：要守住一座城，保護人民財產的安全，首先建立城墻，把城內與外界分割開來，阻斷其與外界的所有聯系，然后再修建幾座城門，作為進出的檢查關卡，監控進出的所有人員與車輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護城河，讓敵人的行動暴露在寬闊的、可看見的空間里，為了通行，在河上架起吊橋，把路的使用主動權把握在自己的手中，控制通路的關閉時間是安全的第二種方法。對于已經悄悄混進城的“危險分子”，要在城內建立有效的安全監控體系，比如人人都有身份證、大街小巷的攝像監控網絡、街道的安全聯防組織，每個公民都是一名安全巡視員，順便說一下：戶籍制度、罪罰、聯作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為，就會被立即揪住，這是安全的第三種方法。

作為網絡邊界的安全建設，也采用同樣的思路：控制入侵者的必然通道，設置不同層面的安全關卡，建立容易控制的“貿易”緩沖區，在區域內架設安全監控體系，對于進入網絡的每個人進行跟蹤，審計其行為等等。

三、邊界防護技術

從網絡的誕生，就產生了網絡的互聯。從沒有什么安全功能的早期路由器，到防火墻的出現，網絡邊界一直是攻防對抗的前沿陣地。邊界防護技術也在不斷對抗中逐漸成熟：

1、防火墻技術

網絡隔離最初的形式是網段的隔離，因為不同的網段之間的通訊是通過路由器連通的，要限制某些網段之間不互通，或有條件地互通，就出現了訪問控制技術，也就出現了防火墻，防火墻是不同網絡互聯時最初的安全網關。

防火墻的作用就是建起了網絡的“城門”，把住了進入網絡的必經通道。防火墻的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都好無辦法。

2、多重安全網關技術

既然一道防火墻不能解決各個層面的安全防護，就多上幾道安全網關，如用于應用層入侵的IPS、用于對付病毒的防病毒產品、用于對付DDOS攻擊的專用防火墻技術……此時UTM（Unified Threat Management）安全網關設備就誕生了。設計在一起是UTM，分開就是各種不同類型的安全網關。

多重安全網關的安全性顯然比防火墻要好些，對各種常見的入侵與病毒都可以抵御。但是大多的多重安全網關都是通過特征識別來確認入侵的，這種方式速度快，不會帶來明顯的網絡延遲，但也有它本身的固有缺陷，首先，應用特征的更新一般較快，目前最長也以周計算，所以網關要及時地“特征庫升級”；其次，很多黑客的攻擊利用“正常”的通訊，分散迂回進入，沒有明顯的特征，安全網關對于這類攻擊能力很有限；最后，安全網關再多，也只是若干個檢查站，一旦“混入”，進入到大門內部，網關就沒有作用了。

3、網閘技術

網閘的安全思路來自于“不同時連接”。不同時連接兩個網絡，通過一個中間緩沖區來“擺渡”業務數據，業務實現了互通，“不連接”原則上入侵的可能性就小多了。

后來網閘設計中出現了存儲通道技術、單向通道技術等等，但都不能保證數據的“單純性”。

4、數據交換網技術

數據交換網技術是基于緩沖區隔離的思想，把城門處修建了一個“數據交易市場”，形成兩個緩沖區的隔離。在防止內部網絡數據泄密的同時，保證數據的完整性，即沒有授權的人不能修改數據，防止授權用戶錯誤的修改，以及內外數據的一致性。

數據交換網技術給出了邊界防護的一種新思路，用網絡的方式實現數據交換，也是一種用“土地換安全”的策略。在兩個網絡間建立一個緩沖地，讓“貿易往來”處于可控的范圍之內。數據交換網技術比其他邊界安全技術有顯著的優勢：

1、綜合了使用多重安全網關與網閘，采用多層次的安全“關卡”。

2、有了緩沖空間，可以增加安全監控與審計，用專家來對付黑客的入侵，邊界處于可控制的范圍內，任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。

3、業務的代理保證數據的完整性，業務代理也讓外來的訪問者止步于網絡的交換區，所有的需求由服務人員提供，就象是來訪的人只能在固定的接待區洽談業務，不能進入到內部的辦公區。

數據交換網技術針對的是大數據互通的網絡互聯，一般來說適合于下面的場合：

1、頻繁業務互通的要求：

要互通的業務數據量大，或有一定的實時性要求，人工方式肯定不夠用，網關方式的保護性又顯不足，比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網絡(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻，但又與廣大百姓與企業息息相關，業務要求提供互聯網的訪問，在安全性與業務適應性的要求下，業務互聯需要用完整的安全技術來保障，選擇數據交換網方式是適合的。

2、高密級網絡的對外互聯：

高密級網絡一般涉及國家機密，信息不能泄密是第一要素，也就是絕對不允許非授權人員的入侵。然而出于對公眾信息的需求，或對大眾網絡與信息的監管，必須與非安全網絡互聯，若是監管之類的業務，業務流量也很大，并且實時性要求也高，在網絡互聯上選擇數據交換網技術是適合的。

四、總結

“魔高道高，道高魔高”。網絡邊界是兩者長期博弈的“戰場”，然而安全技術在“不斷打補丁”的同時，也逐漸在向“主動防御、立體防護”的思想上邁進，邊界防護的技術也在逐漸成熟，數據交換網技術就已經不再只是一個防護網關，而是一種邊界安全網絡，綜合性的安全防護思路。也許安全的話題是永恒的，但未來的網絡邊界一定是越來越安全的，網絡的優勢就在于連通。