神秘之旅：下一代安全可信的IP網路(轉)

神秘之旅：下一代安全可信的IP網路(轉)[@more@]

　　在下一代網路的發展中，不管是WLAN、IPv6還是網路頻寬效能的提升，以及多業務融合的智慧網路都將由" 安全" 下達" 是否繼續" 的指令。正如一種預言：下一代網路的發展沒有安全可信作為前提，作為技術保障，所有的新技術、新方向將黯然失色。這預言是科學的預言，是基於一定現實的對未來的判斷。因此，揭示規律，實現這一願景，將是我們必爭的任務與榮耀。

　　下一代安全可信IP網路的神秘之旅

　　2006年3 月8 日－12日，題為" 安全可信校園新網路" 的銳捷網路2006高校使用者大會在湖南長沙隆重召開，來自全國的528 位高校領導、網路中心主任、技術人員出席了此次高教行業網路技術與應用的高階峰會，也預示著" 安全可信校園新網路" 的建設必將在我國教育實現跨越式發展的歷史時期起到積極的推動作用。雖然這是一次針對高等院校網路資訊化建設的會議，但也蘊涵著對各個領域以安全可信為基本特徵的下一代網路發展觀的闡述。而在實現安全可信的網路環境的話題中，GSN 全域性安全解決方案始終是核心關鍵詞。

　　由銳捷網路提出的" 安全可信新網路" 及"GSN全域性安全解決方案" 經歷了一年多的沉澱之後，在此次大會上眩出了更為豐富的涵義，也重申了安全可信在現實中存在的重大意義。

　　安全可信：一個預言

　　社會資訊化的飛速發展與日益增長的市場需求是密不可分的。追求現代化的生活方式的人們，幾乎習慣於使用網際網路，他們有著4A情結：即希望任何事情都可以使用網際網路（ANYTHING），希望任何時間都可以使用網際網路（ANYTIME ），希望任何地點都可以使用網際網路（ANYWHERE），希望以任何方式如WLAN/WiMax、乙太網、3G等都能使用網際網路（ANYWAY）。而網際網路技術的發展也給人們帶來了滿足與永遠都要延續下去的需求，正如隨著網際網路從以內容為中心到以使用者為中心的轉型，我們有了想寫就寫（Blog）、想看就看（RSS ）、想找就找（SNS ）、想編就編（WiKi）、想唱就唱（Podcasting）的慾望的宣洩載體；有了更多P2P 的應用；有了網上購物、網路遊戲、IPTV、影片、語音等應用。

　　這些業務和應用在影響人們生活方式的同時，也給出了我們更值得思考的話題――安全。其實很多人都明白：下一代網路得以創新發展的基礎，就是要首先實現網路的安全可信。並且BT、Emule 等很多類似的應用已經給網際網路帶來了流量模型上的變化，這就需要頻寬及效能上的提升。我們也可以從發生過的事件中看到，我們進行網上購物、網遊、IPTV、視訊會議、語音聊天的操作真的不會將您" 暴露" 嗎？凡此種種的網際網路應用層面的需求需要足夠的網際網路技術的支撐，而這種網際網路業務的可續性與安全性也一樣成為商家們發展自己網際網路事業的要點。

　　以WLAN技術為例，WLAN是以空間為傳輸介質、以移動使用者的接入為目的，其更容易受到安全攻擊和干擾，因此作為在網際網路的發展與應用趨勢之一的WLAN，其技術的安全可信性是刻不容緩要解決的問題。

　　隨著網際網路各種應用的不斷增加，今天的頻寬仍然不能滿足客戶的需求，單純地升級頻寬而不考慮安全問題使網路更加混亂無序，因此，在頻寬/ 效能提升的同時要保障安全性的提升，否則將客觀上導致蠕蟲傳播速度更快。

[NextPage]

 

有人說，IPv6無處不在。的確，在智慧交通、話音 影片業務、移動辦公、資訊家電、全球定位、物流IPv6+RFID 領域已經有了成功的應用，並且世界範圍以及中國的IPv6的骨幹網路已經初步建設成功，Cernet2 也走在了CNGI的最前列，因IPsec 是自帶、不使用NAT/PAT ，保證了身份和地址唯一，也使病毒及網路蠕蟲在IPv6的網路中傳播將會變得很困難，中國的教育行業也積極投入到了IPv6試驗網的建設中。但目前對IPv6協議威脅最大的要屬在應用層的攻擊，由於缺乏對IPv6網路進行監測和管理的手段，缺乏對大範圍的網路故障定位和效能分析的手段，同時也難以實現嚴格的使用者限制功能，以及針對IPv6的防火牆等安全裝置匱乏也是向IPv6遷移過程中的漏洞的表現。而作為未來網路發展趨勢之一的多業務融合的智慧網路，其各種業務的運營也需要一安全可靠的網路，以識別網路應用，動態分配網路資源，進行身份識別以實現準確計費。

　　因此，不管是WLAN、IPv6還是網路頻寬效能的提升，以及多業務融合的智慧網路都將由" 安全" 下達" 是否繼續" 的指令。正如一種預言：下一代網路的發展沒有安全可信作為前提，作為技術保障，所有的新技術、新方向將黯然失色。因此，安全可信是下一代網路發展的基石。

　　安全可信的密碼

　　理解預言的涵義需要密碼，這個密碼也就是對安全可信內涵的關鍵詞。

　　從對網路安全的認識歷程上看，在IT業界，對網路安全的認識總能歷久彌新，因為安全問題總會層出不窮。在剛剛結束的RSA2006 大會上比爾。蓋茨先生提出了整個社會的安全性問題，即要想提升整個社會的安全性，業界首先必須做到四個方面：相互信任的生態系統、安全工程、簡易性和安全基礎平臺。無疑這是對安全可信大環境的闡述與暢想。

　　在隨著安全事件發生的頻率升高，我國對安全意識程度的反覆強調近幾年也逐步升溫。對於安全，人們的解釋已經從區域性發展到全域性，從邊界層面發展到應用層面，從對安全硬環境的要求發展到對安全軟環境的要求。因此，我們將給出了對安全可信新網路，也就是以" 安全" 、" 可信" 為基本特徵的下一代IP網路的理解。

　　到目前為止，我們將基於網路的業務應用（如資料、語音、影片、儲存、P2P 應用等）的" 安全可信" 內涵分為" 安全" 建設和" 可信" 建設兩部分內容。" 安全" 建設主要是指智慧、主動、聯動地進行網路、主機、管理層面的安全防護和建設。這裡網路曾面的安全防護是指採用網路裝置進行全網安全防護，是透過安全裝置的重點區域進行的安全防護；主機層面安全防護是指增強終端系統的安全性，是透過端點防護系統來進行的終端安全防護；管理層面安全建設是指對統一的網路監控，對統一的安全事件管理、安全策略管理，以及對網路安全的狀態彙總分析。

　　" 可信" 建設即建立可識別、可信任、可保障的系統體系，主要是指網路身份、網路環境、網路業務的可信，需要透過高可用的網路結構設計、穩定可靠的核心裝置以及全網統一的身份管理系統來實現。至此，" 安全可信" 的內涵就形成了一個完整、完善的對網路安全防護機制的整體性概括。而作為理解和揭示安全可信的密碼，不外乎上述提到的智慧、主動、聯動及可識別、可信任、可保障等特徵。進而，成功揭開安全可信神秘面紗就在於對上述的幾個特徵詞彙的掌握，因此破解、實現安全可信志在必得。

[NextPage]

 

GSN ――揭開與實現安全可信的核心

　　銳捷網路在2004年就提出了GSN 全域性安全解決方案，這一方案的推出不僅將兌現下一代網路發展的安全可信的技術保障，而且構築了一個強有力的務實於各領域各行業的應用方案模型，並在教育、金融、醫療領域及中小企業有成功應用。2006年3 月GSN 成功實現了全面的升級，並使湖南農業大學和有" 千年學府" 之稱的湖南大學成功開通了GSN 全域性安全校園網路，率先提供了GSN 全新應用的例項，並得到教育界、IT業界相關領導和專家的首肯。集" 自御、自愈、自育" 為一體的GSN 也從此具有了可以更全面、更務實地解讀與實現" 安全可信新網路" 的功能和能力，將突破性地實現安全管理全域性性，更新時時性，事件發現與強有力的控制能力。

　　安全管理全域性性的實現

　　目前，使用者網路的安全規則都由管理員手工完成，並且這些規則都基於IP，因此如果需要對全網的安全規則進行一次調整，假設有2000臺交換機的使用者網路，那麼將其乘以對每臺設定規則，其所花的時間會很長，而一旦進行安全規則的修改，還要檢查所修改的規則是否和原有的規則有衝突，這是安全管理最基礎的工作。同時更要針對部分的使用者採用適合的、相應的安全規則。此時，就將啟用RG-SMP（全網統一的安全管理），並與RG-SAM身份認證系統聯動，實現全網統一的安全交換機註冊功能，並透過統一的安全管理平臺來進行安全規則的定義以及查詢，要注意的是需要針對不同物件（如有基於使用者、使用者組，有基於交換機的）進行安全規則的靈活定義。這裡就給出了具體的例子以更明瞭SMP 的存在價值：假設，在某天某時將有一個新的蠕蟲病毒從歐洲傳播到中國，攻擊形態為利用WINDOWS 的一個漏洞，以攻擊校園網為例，某校有使用者資訊點2 萬，攻擊系統的TCP 1883埠，那麼不難得出這將導致被攻擊系統當機，系統需頻繁重起的後果。因此，RG-SMP系統啟用，進行全域性的安全策略定義，將一個針對TCP1883 的安全規則統一下發到所有的註冊安全交換機上，整個過程的花時需要5 分鐘。那麼如果是辦公網路，其衝擊波病毒的埠和網路共享有衝突，那麼就可以透過RG-SMP定義一條針對使用者或者使用者組的安全策略，允許使用者使用該網路行為，進而避免衝突。

　　對於GSN ，SMP 就像中央指揮部，像人體的大腦，它是實現整個網路智慧、聯動的核心（如圖2 所示為RG-SMP系統介面）。因此，RG-SMP的部署可以使網路管理員能輕鬆的實現對整個網路的統一安全管理，這也是構建完整的GSN 構架的第一階段。

　　時時更新使終端更安全

　　在第一階段GSN 的基本框架已落定，但還需要針對系統漏洞，網路中補丁的情況，以及防毒軟體安裝和升級情況進入第二階段的系統建設，即對網路中的使用者終端系統進行安全性時時更新，以堅固客戶端系統。

　　某系統在經過利用WINDOWS 的一個漏洞的攻擊之後，為了能徹底的將次攻擊所帶來的的蠕蟲對網路系統的影響去處掉，網管中心需要將所有的使用者安裝一個針對該問題的補丁（KB14335760）。那麼就可以透過RG-SMP定義一個安全補丁的檢查規則，檢查所有使用者是否安裝了KB14335760，如果使用者沒有安裝，終端使用者將會被提示需要安裝該補丁，並提示如不安裝將導致的問題，同時可以自動幫助使用者下載該補丁，並且所有不線上的使用者可在下次登陸網路的時候自動收到該資訊，這樣的修復過程需花時5 分鐘，這樣就完成了對全網統一補丁的下載和更新。

[NextPage]

 

從上面的示例中，我們可以瞭解到，RG-RES安全修復系統是用來提供通用系統（如Windows 作業系統）的補丁時時更新，由SMP 所定義的檢查規則指引，使使用者補丁的更新可以達到內部網路連線的速度和外部網路的內容傳輸的更快捷，並需要與使用者系統的防毒軟體的自動安裝和更新相互配合，實現時時更新，同時RG-RES安全修復系統還可以為內容系統進行及時更新。

　　事件發現與強有力的控制

　　為保護使用者系統的安全可靠，進一步堅固系統的抗攻擊能力，第三階段的安全建設就是要加強對網路安全事件的發現和控制。目前，我們的網路一直存在這樣的現象：儘管系統加有防毒軟體、個人防火牆等安全防護手段，當缺乏必要的安全事件發現機制時，網路中還經常出現一些異常行為，因此，針對一些特殊資料流進行發現、控制成為難題，網路管理員沒有一些很好的對網路情況進行了解和分析的渠道。

　　因此，GSN 在網路的安全事件的發現上，運用了RG-SA （端點防護系統），將其部署在使用者的終端系統上，並透過防火牆功能對於使用者的終端系統進行保護，同時利用RG-SA 的HIPS功能對威脅使用者終端系統行為進行發現報警並自動阻斷，進而進行使用者的終端系統的安全性分析，並將資訊釋出給RG-SMP. 同時，在網路區域還部署了RG-IPS（入侵檢測系統）對所部署的網路區域進行整體監控，實時監控，這對使用者來說是完全透明的過程，RG-IPS將結果反饋給RG-SMP，RG-SMP再進行資訊彙總後最終發出安全指令，進而使整個網路實現統一的聯動。

　　綜上所述，不管是在校園的應用，還是在辦公網路的應用，GSN 透過三個階段分步式的部署，讓整個網路安全的形成平滑完成鞏固性應用，最終使整個網路的管理處於有序狀態。

　　GSN 的專項服務機制

　　對於這一安全可信實現的核心技術方案GSN ，銳捷網路打造了一批優秀的GSN 專業服務團隊和專業的軟體實施部署隊伍，為全國的GSN 使用者實施RG-SAM、RG-SMP、RG-SA 、RG-IPS的部署和使用培訓，對使用者網路實施全域性性網路安全的設計、論證、部署和維護，使使用者能更好的使用GSN 系統。銳捷網路還將自己作為一個安全資訊共享體，將安全資訊收集，並制定釋出相應的安全更新包定期傳送給使用者或供其系統及安全規則、安全策略自動更新。

　　GSN 全域性安全解決方案這一核心技術方案的研發和實驗，最終將由它的應用效果和使用者反饋作為它的最終定義。目前，這一推動了我國教育資訊化建設的不平凡的解決方案還將成為金融行業、醫療行業、中小企業領域應用的典範，同時與銳捷網路在這方面合作的眾多" 閨中密友" 也將為銳捷網路的這份成就感到驕傲和自豪。銳捷網路一直秉承的" 安全重在合作" 的原則和理念在這得以充分體現。