網絡安全技術概述

                              網絡安全技術概述

今天要說的這個話題有點大，網絡安全技術是一個很寬泛的概念，每天都有人在遭受來自各式各樣的安全威脅，比如說密碼被盜了，被殭屍電腦了，被黑客了，等等。當然這些都是一些比較具體的執行個體。那麼，本文将用一些做項目的經驗來談談主流網絡裝置商采用的安全技術有那些。

一般的網絡設計都是采用低端交換機劃分接入網，用中端交換機建構彙聚層，用防火牆\ips\ids\×××等等裝置進行企業内外網隔離，當然這個時候可能會用到一些ha及熱備技術做高可用，高可靠性設計，然後用高端交換機或路由器作為核心網接入裝置接入isp網絡。我們從設計的角度其實也可以看到一些安全解決方案的實施，其實居多數的安全威脅并不來自外部攻擊而是來自内部威脅，一些非法使用者入侵，盜用賬号，帶病毒接入網絡然後擴散到内網，威脅其他使用者的安全，是以對接入層的控制是重中之重，而這方面的安全技術主要來自接入層的使用者認證，比如說較為流行的802.1x，mac位址認證，端口安全port-security等等二層接入技術或較為流行的portal三層認證技術等等的基于aaa的認證技術。總體來說呢，對于接入層來說，確定接入網絡使用者合法性是重點，當然這個過程之中還可以利用aaa在授權方面的優勢，可以對使用者劃分相應的等級及配置設定不同的資源（比如vlan，acl，user-profile(一種qos政策)），可以根據不同的授權政策通路不同的網絡資源。這方面典型的代表，比如說wlan接入安全就是采取接入控制技術（目前較為火的802.11i及wapi都是一種典型的接入安全認證技術）。

其實接入層的認證隻是用來确認使用者合法性的的一種技術，他確定了使用者身份的真實性，但是卻無法監管使用者的行為及對資料做機密性保護，為了對内網和外網做隔離，業界則采用了防火牆來作為内外網的隔離器，其實防火牆也隻是一種較為籠統的概念，有時候也被稱為安全網關等等，它往往是一台內建了包過濾防火牆技術，狀态跟蹤檢測動态防火牆技術，nat位址轉換技術，為了補充nat無法處理三層以上載荷含位址的缺陷而設計的alg技術等等。包過濾防火牆技術的核心在于acl，對封包分而治之，比對則采取相應的action，是以包過濾是一種靜态防火牆因為acl本身是需要靜态指定。狀态防火牆則可以動态跟蹤協定狀态機的轉換，記錄狀态為相關封包制定臨時傳回通道。nat位址轉換則是為了解決ipv4位址的緊缺而提出的一種位址轉換技術。由于nat隻關注三層資訊，是以對于像ftp，h323等等這樣的多通道協定在資料載荷中也可能攜帶位址資訊，這些資訊如果不被轉換在則會帶來通信的失敗，是以alg（應用層網關）誕生了，alg一般作為一種nat補充技術應用。除了上述的包過濾技術，狀态防火牆技術，nat及alg等等，還有比如說攻擊防範技術，防病毒技術等等也可能被內建在一起。當然也可能被單獨設計成一台裝置，比如說用于流量清洗的guard及detecter，基于目前流行的ids，ips等等。所有這些技術根據需要可能被內建在一台裝置之上，也可能獨立在一台裝置上，也可能僅僅是一塊分布式的闆卡等等。

可能現實中有很多這樣的情況，大企業機構往往是異地的，比如總部在美國，分布在北京，上海等地，這個時候的問題便來了，那麼該公司需要統一管理，網絡上需要統一部署，是以便出現了×××技術。企業各分部及總部之間通過×××隧道相連接配接，×××的優點在于屏蔽了中間網絡，就像雙方直連一樣的工作。而目前較為流行的×××技術有gre，l2tp，pptp，ipsec等等。所有的隧道技術其實都是一種封裝技術，将乘客協定封裝在傳輸協定之中。gre的優點在于可以屏蔽異構網絡協定，可以封裝多點傳播資料，缺點就在于沒有相應的安全性。pptp及l2tp協定都使用ppp協定對資料進行封裝，而pptp要求傳輸網絡必須為ip網絡，而l2tp則隻要求隧道媒介提供面向資料包的點對點連接配接，另外于pptp隻能在端點間建立單一隧道不同，l2tp支援端點間多隧道連接配接且可以提供安全認證功能以及可以跟ipsec配合使用。ipsec其實并不是單純的隧道技術，他可以為使用者提供資料的加密，完整性校驗及抗重放等等的功能。而ipsec的最為精妙之處卻在于利用ike進行密鑰的管理，永遠不在不安全的網絡上傳輸密鑰。其實除了上述的常用的隧道技術外，還有很多的封裝技術，比如利用标簽轉發的mpls ×××，方面移動使用者接入的ssl ×××，4in4，d×××（動态×××）等相應的ipv4 ×××技術，還有ipv6過渡技術中典型的4in6，6in4，6in6，isatap，6to4，ipv6 gre等等，另外按照層次劃分方面的二層的bpdu tunnel及qinq也屬于隧道技術的範疇。不管如何vpn技術從網絡結構上可以分為兩種結構，一種是hub-spoke組網，另外一種是mesh全連接配接組網。這裡不再贅述。

那麼一個成熟的安全解決方案必須要考慮到可靠性、高可用性，以及負載分擔技術。另外還需要細緻區分業務應用，對于音視訊及檔案服務等各種應用需要做qos的處理，其實從某種角度來考慮qos也是一種廣泛應用的安全技術。高可靠性一般采取了主備倒換及熱插拔等ha技術，另外基于vrrp的雙機或多機熱備技術也是今年發展比較迅速的技術。那麼在負載分擔技術方面一般在技術上有三種，一種是基于weight的nat 伺服器負載分擔，一種是防火牆三明治組網，另外就是利用隐現路由等技術的負載分擔技術。目前的負載分擔可以內建在路由器，交換機，防火牆中，也可以是一台獨立的負載均衡器。

說到這裡，我們也可以發現，其實所有以上的這些安全技術多關注4層以下的安全性，那麼其實作實中來自4層以上的攻擊威脅是最多的，網際網路每天都病毒泛濫，蠕蟲，木馬肆虐，那麼在這些方面一些裝置制造商則多采用合作政策，跟一些防毒軟體廠商合作共同開發用于防病毒的asm子產品等等，擴充病毒特征庫，另一方面也跟其他的安全技術緊密結合，比如廣為應用的ead（終端準入控制）解決方案，該方案采用了整合+關聯的核心思想，對于要接入網絡（802.1x等接入方式或×××方式）的使用者，ead 解決方案首先要對其進行身份認證，通過身份認證的使用者進行終端的安全認證，根據網絡管理者定制的安全政策進行包括病毒庫更新情況、系統更新檔安裝情況、軟體的黑白名單等内容的安全檢查，根據檢查的結果，ead 對使用者網絡準入進行授權和控制。通過安全認證後，使用者可以正常使用網絡，與此同時，ead可以對使用者終端運作情況和網絡使用情況進行審計和監控。那麼這樣一個綜合的解決方案将所有的安全技術進行整合與關聯。為使用者提供了較為安全的高效的解決方案。