扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在下一代网络的发展中,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色。这预言是科学的预言,是基于一定现实的对未来的判断。因此,揭示规律,实现这一愿景,将是我们必争的任务与荣耀。
下一代安全可信IP网络的神秘之旅
2006年3 月8 日-12日,题为" 安全可信校园新网络" 的锐捷网络2006高校用户大会在湖南长沙隆重召开,来自全国的528 位高校领导、网络中心主任、技术人员出席了此次高教行业网络技术与应用的高端峰会,也预示着" 安全可信校园新网络" 的建设必将在我国教育实现跨越式发展的历史时期起到积极的推动作用。虽然这是一次针对高等院校网络信息化建设的会议,但也蕴涵着对各个领域以安全可信为基本特征的下一代网络发展观的阐述。而在实现安全可信的网络环境的话题中,GSN 全局安全解决方案始终是核心关键词。
由锐捷网络提出的" 安全可信新网络" 及"GSN全局安全解决方案" 经历了一年多的沉淀之后,在此次大会上眩出了更为丰富的涵义,也重申了安全可信在现实中存在的重大意义。
安全可信:一个预言
社会信息化的飞速发展与日益增长的市场需求是密不可分的。追求现代化的生活方式的人们,几乎习惯于使用互联网,他们有着4A情结:即希望任何事情都可以使用互联网(ANYTHING),希望任何时间都可以使用互联网(ANYTIME ),希望任何地点都可以使用互联网(ANYWHERE),希望以任何方式如WLAN/WiMax、以太网、3G等都能使用互联网(ANYWAY)。而互联网技术的发展也给人们带来了满足与永远都要延续下去的需求,正如随着互联网从以内容为中心到以用户为中心的转型,我们有了想写就写(Blog)、想看就看(RSS )、想找就找(SNS )、想编就编(WiKi)、想唱就唱(Podcasting)的欲望的宣泄载体;有了更多P2P 的应用;有了网上购物、网络游戏、IPTV、视频、语音等应用。
这些业务和应用在影响人们生活方式的同时,也给出了我们更值得思考的话题——安全。其实很多人都明白:下一代网络得以创新发展的基础,就是要首先实现网络的安全可信。并且BT、Emule 等很多类似的应用已经给互联网带来了流量模型上的变化,这就需要带宽及性能上的提升。我们也可以从发生过的事件中看到,我们进行网上购物、网游、IPTV、视频会议、语音聊天的操作真的不会将您" 暴露" 吗?凡此种种的互联网应用层面的需求需要足够的互联网技术的支撑,而这种互联网业务的可续性与安全性也一样成为商家们发展自己互联网事业的要点。
以WLAN技术为例,WLAN是以空间为传输介质、以移动用户的接入为目的,其更容易受到安全攻击和干扰,因此作为在互联网的发展与应用趋势之一的WLAN,其技术的安全可信性是刻不容缓要解决的问题。
随着互联网各种应用的不断增加,今天的带宽仍然不能满足客户的需求,单纯地升级带宽而不考虑安全问题使网络更加混乱无序,因此,在带宽/ 性能提升的同时要保障安全性的提升,否则将客观上导致蠕虫传播速度更快。
有人说,IPv6无处不在。的确,在智能交通、话音 视频业务、移动办公、信息家电、全球定位、物流IPv6+RFID 领域已经有了成功的应用,并且世界范围以及中国的IPv6的骨干网络已经初步建设成功,Cernet2 也走在了CNGI的最前列,因IPsec 是自带、不使用NAT/PAT ,保证了身份和地址唯一,也使病毒及网络蠕虫在IPv6的网络中传播将会变得很困难,中国的教育行业也积极投入到了IPv6试验网的建设中。但目前对IPv6协议威胁最大的要属在应用层的攻击,由于缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段,同时也难以实现严格的用户限制功能,以及针对IPv6的防火墙等安全设备匮乏也是向IPv6迁移过程中的漏洞的表现。而作为未来网络发展趋势之一的多业务融合的智能网络,其各种业务的运营也需要一安全可靠的网络,以识别网络应用,动态分配网络资源,进行身份识别以实现准确计费。
因此,不管是WLAN、IPv6还是网络带宽性能的提升,以及多业务融合的智能网络都将由" 安全" 下达" 是否继续" 的指令。正如一种预言:下一代网络的发展没有安全可信作为前提,作为技术保障,所有的新技术、新方向将黯然失色。因此,安全可信是下一代网络发展的基石。
安全可信的密码
理解预言的涵义需要密码,这个密码也就是对安全可信内涵的关键词。
从对网络安全的认识历程上看,在IT业界,对网络安全的认识总能历久弥新,因为安全问题总会层出不穷。在刚刚结束的RSA2006 大会上比尔。盖茨先生提出了整个社会的安全性问题,即要想提升整个社会的安全性,业界首先必须做到四个方面:相互信任的生态系统、安全工程、简易性和安全基础平台。无疑这是对安全可信大环境的阐述与畅想。
在随着安全事件发生的频率升高,我国对安全意识程度的反复强调近几年也逐步升温。对于安全,人们的解释已经从局部发展到全局,从边界层面发展到应用层面,从对安全硬环境的要求发展到对安全软环境的要求。因此,我们将给出了对安全可信新网络,也就是以" 安全" 、" 可信" 为基本特征的下一代IP网络的理解。
到目前为止,我们将基于网络的业务应用(如数据、语音、视频、存储、P2P 应用等)的" 安全可信" 内涵分为" 安全" 建设和" 可信" 建设两部分内容。" 安全" 建设主要是指智能、主动、联动地进行网络、主机、管理层面的安全防护和建设。这里网络曾面的安全防护是指采用网络设备进行全网安全防护,是通过安全设备的重点区域进行的安全防护;主机层面安全防护是指增强终端系统的安全性,是通过端点防护系统来进行的终端安全防护;管理层面安全建设是指对统一的网络监控,对统一的安全事件管理、安全策略管理,以及对网络安全的状态汇总分析。
" 可信" 建设即建立可识别、可信任、可保障的系统体系,主要是指网络身份、网络环境、网络业务的可信,需要通过高可用的网络结构设计、稳定可靠的核心设备以及全网统一的身份管理系统来实现。至此," 安全可信" 的内涵就形成了一个完整、完善的对网络安全防护机制的整体性概括。而作为理解和揭示安全可信的密码,不外乎上述提到的智能、主动、联动及可识别、可信任、可保障等特征。进而,成功揭开安全可信神秘面纱就在于对上述的几个特征词汇的掌握,因此破解、实现安全可信志在必得。
GSN ——揭开与实现安全可信的核心
锐捷网络在2004年就提出了GSN 全局安全解决方案,这一方案的推出不仅将兑现下一代网络发展的安全可信的技术保障,而且构筑了一个强有力的务实于各领域各行业的应用方案模型,并在教育、金融、医疗领域及中小企业有成功应用。2006年3 月GSN 成功实现了全面的升级,并使湖南农业大学和有" 千年学府" 之称的湖南大学成功开通了GSN 全局安全校园网络,率先提供了GSN 全新应用的实例,并得到教育界、IT业界相关领导和专家的首肯。集" 自御、自愈、自育" 为一体的GSN 也从此具有了可以更全面、更务实地解读与实现" 安全可信新网络" 的功能和能力,将突破性地实现安全管理全局性,更新时时性,事件发现与强有力的控制能力。
安全管理全局性的实现
目前,用户网络的安全规则都由管理员手工完成,并且这些规则都基于IP,因此如果需要对全网的安全规则进行一次调整,假设有2000台交换机的用户网络,那么将其乘以对每台设定规则,其所花的时间会很长,而一旦进行安全规则的修改,还要检查所修改的规则是否和原有的规则有冲突,这是安全管理最基础的工作。同时更要针对部分的用户采用适合的、相应的安全规则。此时,就将启用RG-SMP(全网统一的安全管理),并与RG-SAM身份认证系统联动,实现全网统一的安全交换机注册功能,并通过统一的安全管理平台来进行安全规则的定义以及查询,要注意的是需要针对不同对象(如有基于用户、用户组,有基于交换机的)进行安全规则的灵活定义。这里就给出了具体的例子以更明了SMP 的存在价值:假设,在某天某时将有一个新的蠕虫病毒从欧洲传播到中国,攻击形态为利用WINDOWS 的一个漏洞,以攻击校园网为例,某校有用户信息点2 万,攻击系统的TCP 1883端口,那么不难得出这将导致被攻击系统死机,系统需频繁重起的后果。因此,RG-SMP系统启用,进行全局的安全策略定义,将一个针对TCP1883 的安全规则统一下发到所有的注册安全交换机上,整个过程的花时需要5 分钟。那么如果是办公网络,其冲击波病毒的端口和网络共享有冲突,那么就可以通过RG-SMP定义一条针对用户或者用户组的安全策略,允许用户使用该网络行为,进而避免冲突。
对于GSN ,SMP 就像中央指挥部,像人体的大脑,它是实现整个网络智能、联动的核心(如图2 所示为RG-SMP系统界面)。因此,RG-SMP的部署可以使网络管理员能轻松的实现对整个网络的统一安全管理,这也是构建完整的GSN 构架的第一阶段。
时时更新使终端更安全
在第一阶段GSN 的基本框架已落定,但还需要针对系统漏洞,网络中补丁的情况,以及杀毒软件安装和升级情况进入第二阶段的系统建设,即对网络中的用户终端系统进行安全性时时更新,以坚固客户端系统。
某系统在经过利用WINDOWS 的一个漏洞的攻击之后,为了能彻底的将次攻击所带来的的蠕虫对网络系统的影响去处掉,网管中心需要将所有的用户安装一个针对该问题的补丁(KB14335760)。那么就可以通过RG-SMP定义一个安全补丁的检查规则,检查所有用户是否安装了KB14335760,如果用户没有安装,终端用户将会被提示需要安装该补丁,并提示如不安装将导致的问题,同时可以自动帮助用户下载该补丁,并且所有不在线的用户可在下次登陆网络的时候自动收到该信息,这样的修复过程需花时5 分钟,这样就完成了对全网统一补丁的下载和更新。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。