网络安全技术概述

今天要说的这个话题有点大，网络安全技术是一个很宽泛的概念，每天都有人在遭受来自各式各样的安全威胁，比如说密码被盗了，被肉鸡了，被黑客了，等等。当然这些都是一些比较具体的实例。那么，本文将用一些做项目的经验来谈谈主流网络设备商采用的安全技术有那些。一般的网络设计都是采用低端交换机划分接入网，用中端交换机构建汇聚层，用防火墙\IPS\IDS\VPN等等设备进行企业内外网隔离，当然这个时候可能会用到一些HA及热备技术做高可用，高可靠性设计，然后用高端交换机或路由器作为核心网接入设备接入ISP网络。我们从设计的角度其实也可以看到一些安全解决方案的实施，其实居多数的安全威胁并不来自外部攻击而是来自内部威胁，一些非法用户入侵，盗用账号，带病毒接入网络然后扩散到内网，威胁其他用户的安全，所以对接入层的控制是重中之重，而这方面的安全技术主要来自接入层的用户认证，比如说较为流行的802.1X，MAC地址认证，端口安全Port-security等等二层接入技术或较为流行的portal三层认证技术等等的基于AAA的认证技术。总体来说呢，对于接入层来说，确保接入网络用户合法性是重点，当然这个过程之中还可以利用AAA在授权方面的优势，可以对用户划分相应的等级及分配不同的资源（比如VLAN，ACL，User-profile(一种qos策略)），可以根据不同的授权策略访问不同的网络资源。这方面典型的代表，比如说WLAN接入安全就是采取接入控制技术（当前较为火的802.11i及WAPI都是一种典型的接入安全认证技术）。其实接入层的认证只是用来确认用户合法性的的一种技术，他确保了用户身份的真实性，但是却无法监管用户的行为及对数据做机密性保护，为了对内网和外网做隔离，业界则采用了防火墙来作为内外网的隔离器，其实防火墙也只是一种较为笼统的概念，有时候也被称为安全网关等等，它往往是一台集成了包过滤防火墙技术，状态跟踪检测动态防火墙技术，NAT地址转换技术，为了补充NAT无法处理三层以上载荷含地址的缺陷而设计的ALG技术等等。包过滤防火墙技术的核心在于ACL，对报文分而治之，匹配则采取相应的action，所以包过滤是一种静态防火墙因为ACL本身是需要静态指定。状态防火墙则可以动态跟踪协议状态机的转换，记录状态为相关报文制定临时返回通道。NAT地址转换则是为了解决IPv4地址的紧缺而提出的一种地址转换技术。由于NAT只关注三层信息，所以对于像FTP，H323等等这样的多通道协议在数据载荷中也可能携带地址信息，这些信息如果不被转换在则会带来通信的失败，所以ALG（应用层网关）诞生了，ALG一般作为一种NAT补充技术应用。除了上述的包过滤技术，状态防火墙技术，NAT及ALG等等，还有比如说攻击防范技术，防病毒技术等等也可能被集成在一起。当然也可能被单独设计成一台设备，比如说用于流量清洗的Guard及Detecter，基于当前流行的IDS，IPS等等。所有这些技术根据需要可能被集成在一台设备之上，也可能独立在一台设备上，也可能仅仅是一块分布式的板卡等等。可能现实中有很多这样的情况，大企业机构往往是异地的，比如总部在美国，分布在北京，上海等地，这个时候的问题便来了，那么该公司需要统一管理，网络上需要统一部署，所以便出现了VPN技术。企业各分部及总部之间通过VPN隧道相连接，VPN的优点在于屏蔽了中间网络，就像双方直连一样的工作。而当前较为流行的VPN技术有GRE，L2TP，PPTP，IPSEC等等。所有的隧道技术其实都是一种封装技术，将乘客协议封装在传输协议之中。GRE的优点在于可以屏蔽异构网络协议，可以封装多播数据，缺点就在于没有相应的安全性。PPTP及L2TP协议都使用PPP协议对数据进行封装，而PPTP要求传输网络必须为IP网络，而L2TP则只要求隧道媒介提供面向数据包的点对点连接，另外于PPTP只能在端点间建立单一隧道不同，L2TP支持端点间多隧道连接且可以提供安全认证功能以及可以跟IPSEC配合使用。IPSEC其实并不是单纯的隧道技术，他可以为用户提供数据的加密，完整性校验及抗重放等等的功能。而IPSEC的最为精妙之处却在于利用IKE进行密钥的管理，永远不在不安全的网络上传输密钥。其实除了上述的常用的隧道技术外，还有很多的封装技术，比如利用标签转发的MPLS VPN，方面移动用户接入的SSL VPN，4in4，DVPN（动态VPN）等相应的IPv4 VPN技术，还有IPv6过渡技术中典型的4in6，6in4，6in6，isatap，6to4，ipv6 gre等等，另外按照层次划分方面的二层的BPDU Tunnel及QinQ也属于隧道技术的范畴。不管如何vpn技术从网络结构上可以分为两种结构，一种是hub-spoke组网，另外一种是mesh全连接组网。这里不再赘述。那么一个成熟的安全解决方案必须要考虑到可靠性、高可用性，以及负载分担技术。另外还需要细致区分业务应用，对于音视频及文件服务等各种应用需要做QOS的处理，其实从某种角度来考虑Qos也是一种广泛应用的安全技术。高可靠性一般采取了主备倒换及热插拔等HA技术，另外基于VRRP的双机或多机热备技术也是今年发展比较迅速的技术。那么在负载分担技术方面一般在技术上有三种，一种是基于weight的NAT服务器负载分担，一种是防火墙三明治组网，另外就是利用隐现路由等技术的负载分担技术。当前的负载分担可以集成在路由器，交换机，防火墙中，也可以是一台独立的负载均衡器。说到这里，我们也可以发现，其实所有以上的这些安全技术多关注4层以下的安全性，那么其实现实中来自4层以上的攻击威胁是最多的，互联网每天都病毒泛滥，蠕虫，木马肆虐，那么在这些方面一些设备制造商则多采用合作策略，跟一些杀毒软件厂商合作共同开发用于防病毒的ASM模块等等，扩展病毒特征库，另一方面也跟其他的安全技术紧密结合，比如广为应用的EAD（终端准入控制）解决方案，该方案采用了整合+联动的核心思想，对于要接入网络（802.1x等接入方式或VPN方式）的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD 对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。那么这样一个综合的解决方案将所有的安全技术进行整合与联动。为用户提供了较为安全的高效的解决方案。