Juniper网络公司中国北方区技术部经理 王栋 通常来说,电信领域内的安全指的是公共线路或接入设备的物理安全。以往,数据及内容的安全通常被认为是用户自身的责任,而电信运营商只负责提供数据通道。因此,运营商当时只局限于关注在传统的范畴上,如服务质量、服务覆盖、网络和组件冗余性以及成本效益等。 但是今天,随着新应用的不断涌现,专网逐步转向采用公网的趋势,全球化商业协作的增加以及黑客事件频率的急剧上升,都迫使电信运营商要在保证安全传送客户数据方面承担起更为重要的责任。 电信运营商必须为以上市场的发展做好准备。总的来说,其采用的安全解决方案必须和现有的通信基础设施完全兼容,且一样具有高性能、高冗余性和高稳固性,否则就会成为网络中的瓶颈。除此之外,电信运营商需要提供更高级的网络安全,包括超高的运算能力、网络冗余性、多功能安全性、整合式的深层防护等。 一、对处理大/小数据包的一致高速算法 今天大多数的高级通信应用,比如IP电话、流媒体、多媒体、多播(Multi-Cast)等,都需要安全组件共同参与数据流处理。因此安全组件必须具备在更深层次上监测数据帧和内容,还需具有同时对协议交换进行跟踪的能力,但传统的防火墙和VPN解决方案却未能配合到。 另一方面,随着越来越多基于client/server模式和P2P技术的相关应用的出现,如电子商务、金融交易、电话服务(如SMS和MMS)、GPRS等,导致小数据包成为传送数据的重要特征和发展方向。由于这类应用的数据包大多都很小,因此对安全设备的要求需要达到在确保不丢帧的情况下实现高速处理。目前只有安全优化的专属安全系统才能对大、小数据包处理确保一致的高速运算和传输。除高速算法之外,运营商还须考虑和提供以下需求和功能。 斜率(ramprate),即每秒状态连接数; 高传输量,需强调的是在高会话负荷下,安全系统还能提供一致的传输率; 提供处理小数据包性能,即无论数据包的大小,均能达到或超过千兆的速率; VPN或无线技术,除一般的DES、3DES,现今的新基准为基于硬件的AES加密; 支持应用层网关(“ALG”); 基础设施安全,需强调的“周界式的安全”已不够,运营商需为其内部/部门间提供进一步的基础式防护; 深层式的网络安全方案,除检测外,还需提供主动式的防护; 大规模部署能力,以便更容易招募新客户,扩展其服务范围; 可扩展的管理及易用性; 系统必须可扩大、可延伸,且具成本效益; 系统的冗余性和稳固性; 最佳化的功能整合,逻辑地集成多项安全功能和网络互通功能于同一平台上。 相对来说,美国及欧洲在骨干网及通信基础建设上发展的较早较快,这对中国及亚洲的电信运营商来说可以从它们身上汲取经验,并可直接享用及选购当今最新型的安全技术及方案。大多数的亚洲及国内运营商正专注于骨干网的建设及部署以及如何配合与大型企业以至大众用户的接入。现阶段,运营商主要是通过部署具有防火墙功能的高性能设备得以实现的,而部署这些安全组件的关键在于满足上面提到的对斜率、高传输量、小数据包性能以及VPN和无线应用的需求。 在安全设备的要求上,与运营商网络中的其他设备相类似,为了保证性能和容量要求,所有硬件都需要专属定制。图1显示了专属安全硬件设备与基于PC的设备(或是伪PC设备)相比所具有的显著优势以及运营商只选择部署基于硬件设备的原因。 二、网络冗余性和稳固性是全天候服务的必要保证 对于电信运营商来说,系统的冗余性和稳固性是需要衡量的另一个重要指标,他们需要为其骨干网及客户的网络服务提供全天候无间断的连接。这一点对于网络安全设备来说则意味采用何种拓朴结构和相关技术手段。实现的方法包括采用主动/被动模式、双主动模式以至双主动全网状拓朴结构,拓扑图参见图2。 从技术上来说,采用双主动全网模式(active/activefullmesh)和高可用性(HA)技术能提供比一般主动/被动(active/passive)模式高出一倍的传输速率。两台设备都配置为主动,网络和VPN流量同时通过两台设备,如果一台设备出现故障,那么另一台设备就成为主设备并继续处理所有流量。为了实现最高的可用性并确保两个设备的同步,每台高端安全性产品都有一对专用的高可用性接口。如果到一个接口的连接由于某种原因而丢失,同步信息就会通过另一个接口传输。 三、多功能且高性能的安全方案 只有基于硬件以ASIC芯片为基础的设备才能满足运营商的高性能要求。所以对运营商而言,其所选购的防火墙和安全解决方案须在高速度、高传输率前提下,还须提供多功能的安全性。而同样,安全性并不能以牺牲性能或速率为代价。图3为运营商需要考虑的防火墙基本的功能。 除上所列,如果电信运营商同时提供外包服务,他们必须为对外网流量与内部流量进行安全的分隔。同样,运营商需为企业用户之间建立独立的安全政策和区域。 目前市场上的虚拟系统(Vsys)技术就是针对电信业的环境和需要,通过逻辑分区法将一个安全物理平台区分成数十以至数百个虚拟式防火墙,而且每个分区都具有自己的安全策略和地址薄等。需要再一次强调的是,在提供这些功能的时候,性能是关键因素,因此所选购的安全解决方案必须能兼顾安全性与功能性,缺一不可。 四、网络安全的构建需要整合式、深层化 运营商除了着眼于今天,还要为未来的安全需求进行策划和投资。例如,如何在提升系统安全性时,同时为客户提供更深层次的安全保护,这样还可以增加收入。全球网络安全分析家已经预测并支持了安全整合的必然趋势和需求,即将防火墙、VPN、DoS防护、流量管理和入侵防护等相关技术整合到一个单一的高性能安全平台上。 对于已经部署了整合方案的运营商而言,他们可以按客户的业务发展和不同时期的需要而“开启”和“关闭”个别安全功能和技术,而无需另行添置更多硬件设备。以日本最大的电信运营商NTT为例,其旗下ISP公司NTT-ME选用JuniperNetScreen-5系列作为MSP服务的基础,并按企业客户的SLA内容而提供安全的VPN和VoIP连接服务。这样一来,运营商又可以在资本支出、安装和售后支持方面节省大量成本。 显然,在增加了为用户提供安全服务后,运营商的工作比以前任何时候都更为艰巨了,服务的范围也在无限地扩展。因此,只有那些设计了专用平台设备的厂商才能满足市场对性能、可部署性、可管理性、系统可靠性/可用性以及服务等级的需求。
图1专属安全硬件设备与基于PC的设备的优势比较
图3运营商防火墙基本功能异常数据包保护