網絡安全技術概述
今天要說的這個話題有點大,網絡安全技術是一個很寬泛的概念,每天都有人在遭受來自各式各樣的安全威脅,比如說密碼被盜了,被肉雞了,被***了,等等。當然這些都是一些比較具體的實例。那麼,本文將用一些做項目的經驗來談談主流網絡設備商採用的安全技術有那些。
一般的網絡設計都是採用低端交換機劃分接入網,用中端交換機構建匯聚層,用防火牆\IPS\IDS\***等等設備進行企業內外網隔離,當然這個時候可能會用到一些HA及熱備技術做高可用,高可靠性設計,然後用高端交換機或路由器作爲核心網接入設備接入ISP網絡。我們從設計的角度其實也可以看到一些安全解決方案的實施,其實居多數的安全威脅並不來自外部***而是來自內部威脅,一些非法用戶***,盜用賬號,帶病毒接入網絡然後擴散到內網,威脅其他用戶的安全,所以對接入層的控制是重中之重,而這方面的安全技術主要來自接入層的用戶認證,比如說較爲流行的802.1X,MAC地址認證,端口安全Port-security等等二層接入技術或較爲流行的portal三層認證技術等等的基於AAA的認證技術。總體來說呢,對於接入層來說,確保接入網絡用戶合法性是重點,當然這個過程之中還可以利用AAA在授權方面的優勢,可以對用戶劃分相應的等級及分配不同的資源(比如VLAN,ACL,User-profile(一種qos策略)),可以根據不同的授權策略訪問不同的網絡資源。這方面典型的代表,比如說WLAN接入安全就是採取接入控制技術(當前較爲火的802.11i及WAPI都是一種典型的接入安全認證技術)。
其實接入層的認證只是用來確認用戶合法性的的一種技術,他確保了用戶身份的真實性,但是卻無法監管用戶的行爲及對數據做機密性保護,爲了對內網和外網做隔離,業界則採用了防火牆來作爲內外網的隔離器,其實防火牆也只是一種較爲籠統的概念,有時候也被稱爲安全網關等等,它往往是一臺集成了包過濾防火牆技術,狀態跟蹤檢測動態防火牆技術,NAT地址轉換技術,爲了補充NAT無法處理三層以上載荷含地址的缺陷而設計的ALG技術等等。包過濾防火牆技術的核心在於ACL,對報文分而治之,匹配則採取相應的action,所以包過濾是一種靜態防火牆因爲ACL本身是需要靜態指定。狀態防火牆則可以動態跟蹤協議狀態機的轉換,記錄狀態爲相關報文制定臨時返回通道。NAT地址轉換則是爲了解決IPv4地址的緊缺而提出的一種地址轉換技術。由於NAT只關注三層信息,所以對於像FTP,H323等等這樣的多通道協議在數據載荷中也可能攜帶地址信息,這些信息如果不被轉換在則會帶來通信的失敗,所以ALG(應用層網關)誕生了,ALG一般作爲一種NAT補充技術應用。除了上述的包過濾技術,狀態防火牆技術,NAT及ALG等等,還有比如說***防範技術,防病毒技術等等也可能被集成在一起。當然也可能被單獨設計成一臺設備,比如說用於流量清洗的Guard及Detecter,基於當前流行的IDS,IPS等等。所有這些技術根據需要可能被集成在一臺設備之上,也可能獨立在一臺設備上,也可能僅僅是一塊分佈式的板卡等等。
可能現實中有很多這樣的情況,大企業機構往往是異地的,比如總部在美國,分佈在北京,上海等地,這個時候的問題便來了,那麼該公司需要統一管理,網絡上需要統一部署,所以便出現了***技術。企業各分部及總部之間通過***隧道相連接,***的優點在於屏蔽了中間網絡,就像雙方直連一樣的工作。而當前較爲流行的***技術有GRE,L2TP,PPTP,IPSEC等等。所有的隧道技術其實都是一種封裝技術,將乘客協議封裝在傳輸協議之中。GRE的優點在於可以屏蔽異構網絡協議,可以封裝多播數據,缺點就在於沒有相應的安全性。PPTP及L2TP協議都使用PPP協議對數據進行封裝,而PPTP要求傳輸網絡必須爲IP網絡,而L2TP則只要求隧道媒介提供面向數據包的點對點連接,另外於PPTP只能在端點間建立單一隧道不同,L2TP支持端點間多隧道連接且可以提供安全認證功能以及可以跟IPSEC配合使用。IPSEC其實並不是單純的隧道技術,他可以爲用戶提供數據的加密,完整性校驗及抗重放等等的功能。而IPSEC的最爲精妙之處卻在於利用IKE進行密鑰的管理,永遠不在不安全的網絡上傳輸密鑰。其實除了上述的常用的隧道技術外,還有很多的封裝技術,比如利用標籤轉發的MPLS ***,方面移動用戶接入的SSL ***,4in4,D***(動態***)等相應的IPv4 ***技術,還有IPv6過渡技術中典型的4in6,6in4,6in6,isatap,6to4,ipv6 gre等等,另外按照層次劃分方面的二層的BPDU Tunnel及QinQ也屬於隧道技術的範疇。不管如何***技術從網絡結構上可以分爲兩種結構,一種是hub-spoke組網,另外一種是mesh全連接組網。這裏不再贅述。
那麼一個成熟的安全解決方案必須要考慮到可靠性、高可用性,以及負載分擔技術。另外還需要細緻區分業務應用,對於音視頻及文件服務等各種應用需要做QOS的處理,其實從某種角度來考慮Qos也是一種廣泛應用的安全技術。高可靠性一般採取了主備倒換及熱插拔等HA技術,另外基於VRRP的雙機或多機熱備技術也是今年發展比較迅速的技術。那麼在負載分擔技術方面一般在技術上有三種,一種是基於weight的NAT 服務器負載分擔,一種是防火牆三明治組網,另外就是利用隱現路由等技術的負載分擔技術。當前的負載分擔可以集成在路由器,交換機,防火牆中,也可以是一臺獨立的負載均衡器。
說到這裏,我們也可以發現,其實所有以上的這些安全技術多關注4層以下的安全性,那麼其實現實中來自4層以上的***威脅是最多的,互聯網每天都病毒氾濫,蠕蟲,***肆虐,那麼在這些方面一些設備製造商則多采用合作策略,跟一些殺毒軟件廠商合作共同開發用於防病毒的ASM模塊等等,擴展病毒特徵庫,另一方面也跟其他的安全技術緊密結合,比如廣爲應用的EAD(終端准入控制)解決方案,該方案採用了整合+聯動的核心思想,對於要接入網絡(802.1x等接入方式或***方式)的用戶,EAD 解決方案首先要對其進行身份認證,通過身份認證的用戶進行終端的安全認證,根據網絡管理員定製的安全策略進行包括病毒庫更新情況、系統補丁安裝情況、軟件的黑白名單等內容的安全檢查,根據檢查的結果,EAD 對用戶網絡准入進行授權和控制。通過安全認證後,用戶可以正常使用網絡,與此同時,EAD可以對用戶終端運行情況和網絡使用情況進行審計和監控。那麼這樣一個綜合的解決方案將所有的安全技術進行整合與聯動。爲用戶提供了較爲安全的高效的解決方案。