网络边界

一、网络边界

1.网络边界基本概念

网络边界是一个网络的重要组成部分，负责对网络流量进行最初及最后的过滤，对一些公共服务器区进行保护，因此边界安全的有效部署对整网安全意义重大。网络边界通常理解就是企业网络与其他网络的分界线。事实上，我们应该把具有不同安全级别的网络之间的分界线都可以定义为网络边界。

2.划分边界的依据

防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。安全区域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。

定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。归纳起来划分网络边界主要有三步：

1)确定安全资产

2)定义安全策略和安全级别

3)划分不同的安全区域

通常一个企业网络可划分为：互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。

3.边界安全防护机制和措施

在GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》中提到：根据对信息系统运行安全的不同要求，信息系统边界安全防护采用的安全机制和措施分为：

1)基本安全防护：采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系

统边界安全防护；

2)较严格安全防护：采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防

火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。

3)严格安全防护：根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的

登录/连接机制，高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。

4)特别安全防护：采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实

现特别安全要求的边界安全防护。

二、防火墙技术

网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙，防火墙是不同网络互联时最初的安全网关。

图1 防火墙

防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。因为ACL控制的是网络的三层与四层，对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部“看不到”的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而“穿透”NAT的“防护”，P2P应用也采用这种方式“攻破”了防火墙。

防火墙的作用就是建起了网络的“城门”，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可缺的一部分。

防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都毫无办法。所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。

三、多重安全网关技术

随着时间的演进，信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面，从前的安全威胁和恶意行为与现在采用的技术和方法不可同日而语。安全厂商忙于升级产品的检测数据库，系统厂商忙于修补产品漏洞，而用户也需要检查自己的主机中到底还有多少破绽暴露在攻击者的面前。那么，既然一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的IPS、用于对付病毒的防病毒产品、用于对付DDoS攻击的专用防火墙技术……此时UTM（Unified Threat Management）安全网关设备就诞生了。设计在一起是UTM，分开就是各种不同类型的安全网关。

多重安全网关的安全性显然比防火墙要好些，对各种常见的入侵与病毒都可以抵御。但是大多

的多重安全网关都是通过特征识别来确认入侵的，这种方式速度快，不会带来明显的网络延迟，但也有它本身的固有缺陷，首先，应用特征的更新一般较快，目前最长也以周计算，所以网关要及时地“特征库升级”；其次，很多黑客的攻击利用“正常”的通讯，分散迂回进入，没有明显的特征，安全网关对于这类攻击能力很有限；最后，安全网关再多，也只是若干个检查站，一旦“混入”，进入到大门内部，网关就没有作用了。

四、网闸技术

网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。

网闸只是单纯地摆渡数据，近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”，通过的内容清晰可见，“水至清则无鱼”，入侵与病毒没有了藏身之地，网络就相对安全了。但是，网闸作为网络的互联边界，必然要支持各种业务的连通，也就是某些通讯协议的通过，所以网闸上大多开通了协议的代理服务，就象城墙上开了一些特殊的通道，网闸的安全性就打了折扣，在对这些通道的安全检查方面，网闸比多重安全网关的检查功效不见得高明。

网闸的思想是先堵上，根据“城内”的需要再开一些小门，防火墙是先打开大门，对不希望的人再逐个禁止，两个思路刚好相反。在入侵的识别技术上差不多，所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。

图2 网闸

后来网闸设计中出现了存储通道技术、单向通道技术等等，但都不能保证数据的“单纯性”。

五、数据交换网技术

从防火墙到网闸，都是采用的关卡方式，“检查”的技术各有不同，但对黑客的最新攻击技术都不太好用，也没有监控的手段，对付“人”的攻击行为来说，只有人才是最好的对手。

数据交换网技术是基于缓冲区隔离的思想，把城门处修建了一个“数据交易市场”，形成两个