下一代安全可信IP网络的神秘之旅 2006年3 月8 日-12日,题为" 安全可信校园新网络" 的锐捷网络2006高校用户大会在湖南长沙隆重召开,来自全国的528 位高校领导、网络中心主任、技术人员出席了此次高教行业网络技术与应用的高端峰会,也预示着" 安全可信校园新网络" 的建设必将在我国教育实现跨越式发展的历史时期起到积极的推动作用。虽然这是一次针对高等院校网络信息化建设的会议,但也蕴涵着对各个领域以安全可信为基本特征的下一代网络发展观的阐述。而在实现安全可信的网络环境的话题中,GSN 全局安全解决方案始终是核心关键词。 由锐捷网络提出的" 安全可信新网络" 及"GSN全局安全解决方案" 经历了一年多的沉淀之后,在此次大会上眩出了更为丰富的涵义,也重申了安全可信在现实中存在的重大意义。 安全可信:一个预言 社会信息化的飞速发展与日益增长的市场需求是密不可分的。追求现代化的生活方式的人们,几乎习惯于使用互联网,他们有着4A情结:即希望任何事情都可以使用互联网(ANYTHING),希望任何时间都可以使用互联网(ANYTIME ),希望任何地点都可以使用互联网(ANYWHERE),希望以任何方式如WLAN/WiMax、以太网、3G等都能使用互联网(ANYWAY)。而互联网技术的发展也给人们带来了满足与永远都要延续下去的需求,正如随着互联网从以内容为中心到以用户为中心的转型,我们有了想写就写(Blog)、想看就看(RSS )、想找就找(SNS )、想编就编(WiKi)、想唱就唱(Podcasting)的欲望的宣泄载体;有了更多P2P 的应用;有了网上购物、网络游戏、IPTV、视频、语音等应用。 这些业务和应用在影响人们生活方式的同时,也给出了我们更值得思考的话题――安全。其实很多人都明白:下一代网络得以创新发展的基础,就是要首先实现网络的安全可信。并且BT、Emule 等很多类似的应用已经给互联网带来了流量模型上的变化,这就需要带宽及性能上的提升。我们也可以从发生过的事件中看到,我们进行网上购物、网游、IPTV、视频会议、语音聊天的操作真的不会将您" 暴露" 吗?凡此种种的互联网应用层面的需求需要足够的互联网技术的支撑,而这种互联网业务的可续性与安全性也一样成为商家们发展自己互联网事业的要点。 以WLAN技术为例,WLAN是以空间为传输介质、以移动用户的接入为目的,其更容易受到安全攻击和干扰,因此作为在互联网的发展与应用趋势之一的WLAN,其技术的安全可信性是刻不容缓要解决的问题。 随着互联网各种应用的不断增加,今天的带宽仍然不能满足客户的需求,单纯地升级带宽而不考虑安全问题使网络更加混乱无序,因此,在带宽/ 性能提升的同时要保障安全性的提升,否则将客观上导致蠕虫传播速度更快。 [NextPage] 有人说,IPv6无处不在。的确,在智能交通、话音\ 视频业务、移动办公、信息家电、全球定位、物流IPv6+RFID 领域已经有了成功的应用,并且世界范围以及中国的IPv6的骨干网络已经初步建设成功,Ce.net2 也走在了CNGI的最前列,因IPsec 是自带、不使用NAT/PAT ,保证了身份和地址唯一,也使病毒及网络蠕虫在IPv6的网络中传播将会变得很困难,中国的教育行业也积极投入到了IPv6试验网的建设中。但目前对IPv6协议威胁最大的要属在应用层的攻击,由于缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段,同时也难以实现严格的用户限制功能,以及针对IPv6的防火墙等安全设备匮乏也是向IPv6迁移过程中的漏洞的表现。而作为未来网络发展趋势之一的多业务融合的智能网络,其各种业务的运营也需要一安全可靠的网络,以识别网络应用,动态分配网络资源,进行身份识别以实现准确计费。 因此,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色。因此,安全可信是下一代网络发展的基石。 安全可信的密码 理解预言的涵义需要密码,这个密码也就是对安全可信内涵的关键词。 从对网络安全的认识历程上看,在IT业界,对网络安全的认识总能历久弥新,因为安全问题总会层出不穷。在刚刚结束的RSA2006 大会上比尔。盖茨先生提出了整个社会的安全性问题,即要想提升整个社会的安全性,业界首先必须做到四个方面:相互信任的生态系统、安全工程、简易性和安全基础平台。无疑这是对安全可信大环境的阐述与畅想。 在随着安全事件发生的频率升高,我国对安全意识程度的反复强调近几年也逐步升温。对于安全,人们的解释已经从局部发展到全局,从边界层面发展到应用层面,从对安全硬环境的要求发展到对安全软环境的要求。因此,我们将给出了对安全可信新网络,也就是以" 安全" 、" 可信" 为基本特征的下一代IP网络的理解。 到目前为止,我们将基于网络的业务应用(如数据、语音、视频、存储、P2P 应用等)的" 安全可信" 内涵分为" 安全" 建设和" 可信" 建设两部分内容。" 安全" 建设主要是指智能、主动、联动地进行网络、主机、管理层面的安全防护和建设。这里网络曾面的安全防护是指采用网络设备进行全网安全防护,是通过安全设备的重点区域进行的安全防护;主机层面安全防护是指增强终端系统的安全性,是通过端点防护系统来进行的终端安全防护;管理层面安全建设是指对统一的网络监控,对统一的安全事件管理、安全策略管理,以及对网络安全的状态汇总分析。 " 可信" 建设即建立可识别、可信任、可保障的系统体系,主要是指网络身份、网络环境、网络业务的可信,需要通过高可用的网络结构设计、稳定可靠的核心设备以及全网统一的身份管理系统来实现。至此," 安全可信" 的内涵就形成了一个完整、完善的对网络安全防护机制的整体性概括。而作为理解和揭示安全可信的密码,不外乎上述提到的智能、主动、联动及可识别、可信任、可保障等特征。进而,成功揭开安全可信神秘面纱就在于对上述的几个特征词汇的掌握,因此破解、实现安全可信志在必得。 [NextPage] GSN ――揭开与实现安全可信的核心 锐捷网络在2004年就提出了GSN 全局安全解决方案,这一方案的推出不仅将兑现下一代网络发展的安全可信的技术保障,而且构筑了一个强有力的务实于各领域各行业的应用方案模型,并在教育、金融、医疗领域及中小企业有成功应用。2006年3 月GSN 成功实现了全面的升级,并使湖南农业大学和有" 千年学府" 之称的湖南大学成功开通了GSN 全局安全校园网络,率先提供了GSN 全新应用的实例,并得到教育界、IT业界相关领导和专家的首肯。集" 自御、自愈、自育" 为一体的GSN 也从此具有了可以更全面、更务实地解读与实现" 安全可信新网络" 的功能和能力,将突破性地实现安全管理全局性,更新时时性,事件发现与强有力的控制能力。 安全管理全局性的实现 目前,用户网络的安全规则都由管理员手工完成,并且这些规则都基于IP,因此如果需要对全网的安全规则进行一次调整,假设有2000台交换机的用户网络,那么将其乘以对每台设定规则,其所花的时间会很长,而一旦进行安全规则的修改,还要检查所修改的规则是否和原有的规则有冲突,这是安全管理最基础的工作。同时更要针对部分的用户采用适合的、相应的安全规则。此时,就将启用RG-SMP(全网统一的安全管理),并与RG-SAM身份认证系统联动,实现全网统一的安全交换机注册功能,并通过统一的安全管理平台来进行安全规则的定义以及查询,要注意的是需要针对不同对象(如有基于用户、用户组,有基于交换机的)进行安全规则的灵活定义。这里就给出了具体的例子以更明了SMP 的存在价值:假设,在某天某时将有一个新的蠕虫病毒从欧洲传播到中国,攻击形态为利用WINDOWS 的一个漏洞,以攻击校园网为例,某校有用户信息点2 万,攻击系统的TCP 1883端口,那么不难得出这将导致被攻击系统死机,系统需频繁重起的后果。因此,RG-SMP系统启用,进行全局的安全策略定义,将一个针对TCP1883 的安全规则统一下发到所有的注册安全交换机上,整个过程的花时需要5 分钟。那么如果是办公网络,其冲击波病毒的端口和网络共享有冲突,那么就可以通过RG-SMP定义一条针对用户或者用户组的安全策略,允许用户使用该网络行为,进而避免冲突。 对于GSN ,SMP 就像中央指挥部,像人体的大脑,它是实现整个网络智能、联动的核心(如图2 所示为RG-SMP系统界面)。因此,RG-SMP的部署可以使网络管理员能轻松的实现对整个网络的统一安全管理,这也是构建完整的GSN 构架的第一阶段。 时时更新使终端更安全 在第一阶段GSN 的基本框架已落定,但还需要针对系统漏洞,网络中补丁的情况,以及杀毒软件安装和升级情况进入第二阶段的系统建设,即对网络中的用户终端系统进行安全性时时更新,以坚固客户端系统。 某系统在经过利用WINDOWS 的一个漏洞的攻击之后,为了能彻底的将次攻击所带来的的蠕虫对网络系统的影响去处掉,网管中心需要将所有的用户安装一个针对该问题的补丁(KB14335760)。那么就可以通过RG-SMP定义一个安全补丁的检查规则,检查所有用户是否安装了KB14335760,如果用户没有安装,终端用户将会被提示需要安装该补丁,并提示如不安装将导致的问题,同时可以自动帮助用户下载该补丁,并且所有不在线的用户可在下次登陆网络的时候自动收到该信息,这样的修复过程需花时5 分钟,这样就完成了对全网统一补丁的下载和更新。 [NextPage] 从上面的示例中,我们可以了解到,RG-RES安全修复系统是用来提供通用系统(如Windows 操作系统)的补丁时时更新,由SMP 所定义的检查规则指引,使用户补丁的更新可以达到内部网络连接的速度和外部网络的内容传输的更快捷,并需要与用户系统的杀毒软件的自动安装和更新相互配合,实现时时更新,同时RG-RES安全修复系统还可以为内容系统进行及时更新。 事件发现与强有力的控制 为保护用户系统的安全可靠,进一步坚固系统的抗攻击能力,第三阶段的安全建设就是要加强对网络安全事件的发现和控制。目前,我们的网络一直存在这样的现象:尽管系统加有杀毒软件、个人防火墙等安全防护手段,当缺乏必要的安全事件发现机制时,网络中还经常出现一些异常行为,因此,针对一些特殊数据流进行发现、控制成为难题,网络管理员没有一些很好的对网络情况进行了解和分析的渠道。 因此,GSN 在网络的安全事件的发现上,运用了RG-SA (端点防护系统),将其部署在用户的终端系统上,并通过防火墙功能对于用户的终端系统进行保护,同时利用RG-SA 的HIPS功能对威胁用户终端系统行为进行发现报警并自动阻断,进而进行用户的终端系统的安全性分析,并将信息发布给RG-SMP. 同时,在网络区域还部署了RG-IPS(入侵检测系统)对所部署的网络区域进行整体监控,实时监控,这对用户来说是完全透明的过程,RG-IPS将结果反馈给RG-SMP,RG-SMP再进行信息汇总后最终发出安全指令,进而使整个网络实现统一的联动。 综上所述,不管是在校园的应用,还是在办公网络的应用,GSN 通过三个阶段分步式的部署,让整个网络安全的形成平滑完成巩固性应用,最终使整个网络的管理处于有序状态。 GSN 的专项服务机制 对于这一安全可信实现的核心技术方案GSN ,锐捷网络打造了一批优秀的GSN 专业服务团队和专业的软件实施部署队伍,为全国的GSN 用户实施RG-SAM、RG-SMP、RG-SA 、RG-IPS的部署和使用培训,对用户网络实施全局性网络安全的设计、论证、部署和维护,使用户能更好的使用GSN 系统。锐捷网络还将自己作为一个安全信息共享体,将安全信息收集,并制定发布相应的安全更新包定期发送给用户或供其系统及安全规则、安全策略自动更新。 GSN 全局安全解决方案这一核心技术方案的研发和实验,最终将由它的应用效果和用户反馈作为它的最终定义。目前,这一推动了我国教育信息化建设的不平凡的解决方案还将成为金融行业、医疗行业、中小企业领域应用的典范,同时与锐捷网络在这方面合作的众多" 闺中密友" 也将为锐捷网络的这份成就感到骄傲和自豪。锐捷网络一直秉承的" 安全重在合作" 的原则和理念在这得以充分体现。
在下一代网络的发展中,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色。
这预言是科学的预言,是基于一定现实的对未来的判断。因此,揭示规律,实现这一愿景,将是我们必争的任务与荣耀。