最近幾年來可以說是網絡安全行業大發展的時期,由于越來越多的用戶連接到公共網絡上,越來越多的用戶依賴公共網絡提供的資源,這些用戶總要保護自己內部信息的安全,必然需要各種網絡安全設備、網絡安全措施以及網絡安全服務。
在網絡安全領域中,BSD Unix毫無疑問占據了重要地位,很多網絡安全設備就是基于BSD Unix構建的,例如Nokia等廠家的防火墻設備等。當然,網絡安全設備操作系統也有采用其他操作系統的,例如Linux或者其他專用操作系統。大量的網絡安全設備采用BSD Unix,是因為BSD Unix本身就具備了相當豐富的網絡安全技術的基礎,本身的靈活性、穩定性也都十分優秀。
1. BSD中的網絡安全技術
在BSD Unix本身,就包含了多種有效的網絡安全技術,從代理服務器、網絡地址轉換、包過濾到數據加密等等。
由于代理服務器本身是一個應用層次上的技術,軟件本身的可移植性是非常良好的。特別是很多代理服務器本身就是在Unix系統下開發的,因此,BSD Unix對他們的支持是自然而然的。BSD Unix下可以運行多種代理服務器軟件,如著名的squid、fwtk等等。
毫無疑問,包過濾技術在BSD Unix中很早就應用了,網絡地址轉換也是最早在BSD Unix下實現的。當然,隨著學習Linux內核的開發人員的不斷增加,目前編寫一個簡單的包過濾軟件并不困難,但一個全功能的、高度可靠和穩定的包過濾軟件,仍然并不容易實現。在BSD Unix中應用的ipfilter,毫無疑問是功能最強大的、最為可靠的、支持平臺最廣泛的包過濾軟件之一。除了ipfilter之外,還有FreeBSD下的ipfw/natd,在OpenBSD下還有pf,都能比較好的完成包過濾和地址轉換的任務。
除了上述的防火墻技術之外,另一個比較重要的網絡安全技術是VPN,目前VPN的核心是IPSEC,也有一些其他相關的協議,例如PPTP、L2TP等等,但這些協議通常只應用于特殊領域,例如L2TP主要用在ISP的接入方面。BSD Unix是最早支持IPSEC的系統之一,目前能夠完善的支持這些協議,BSD Unix甚至還支持硬件的加密卡,以便加速IPSEC的加密解密處理。
此外,攻擊檢測系統IDS目前也越來越重要了,但事實上現有的IDS系統都不是十分理想,特別是網絡攻擊檢測系統,主要是由于網絡性能方面的影響,使得IDS系統比較難于獲得可能的網絡攻擊信息。在IDS系統中,一個重要的自由軟件為snort,有關報道表明,snort在很多方面要優于很多商業的攻擊檢測系統。事實上,很多商業攻擊檢測系統就是基于snort進行的二次開發。
有一些用戶在實際使用中,報告說snort在Linux下的性能要優于FreeBSD,由于性能對于IDS系統是至關重要的,因此他們就對BSD的網絡性能提出了疑問。
為了解釋這個問題,事實上需要了解snort的工作方式。作為一個應用程序,snort工作在用戶模式下,所有的網絡數據包需要從內核傳遞給snort,然后由snort執行分析。這個傳遞過程通常是通過libpcap庫來完成的,由于這個庫能夠支持多種平臺,因而snort就可以支持多種平臺。
在Linux下,從內核向應用程序傳遞數據包是直接的,不進行任何判斷,而在BSD Unix下,這通常是要通過一個BPF的過濾器來完成,這個過濾器能在內核中完成一定的分析判斷,從而減少內核和應用程序的通信量,提高性能。然而,對于snort這樣的系統,幾乎將所有的數據包都傳遞到用戶程序中進行處理,這樣就導致沒有利用BPF的功能,反而多了一道處理步驟。因此,真正發揮BSD Unix性能優勢的IDS系統,應該將BPF的能力利用起來,這樣在性能方面并不會差于,甚至要優于其他種類的系統。
當然,具體的網絡性能還要受到包括網卡驅動的性能等多方面的影響。
2. BSD的可定制性
眾多網絡設備使用BSD的另一個原因是BSD Unix具備的高度可定制性。例如,可以將系統定制的比較小,以至于能運行在Flash中,這樣就可以使得整個系統沒有機械部件,減少機械故障的發生幾率。
BSD Unix很早就具備了支持嵌入式系統的這些可定制版本,例如FreeBSD下的PicoBSD,用戶可以非常簡單的,通過菜單形式的定制,就可以生成可以放置在一個軟盤中的BSD系統。最近,又出現了embedbsd、closedbsd等類似的嵌入式BSD系統,事實上,即便不使用這些系統,也可以很容易的定制出一個足夠小,可以運行在Flash系統上的小BSD系統。
當然,雖然BSD Unix能夠很容易的進行這些定制,但并不意味著BSD Unix完全進入嵌入式系統領域,目前,嵌入式系統的焦點位于PDA、機頂盒領域,這些領域中通常要求對GUI和用戶程序的定制,已經有不少嵌入式Linux廠家在這些領域努力并開拓著。但對于更看重網絡處理能力的網絡安全設備而言,BSD Unix更受歡迎。
3. BSD的許可
對于商業網絡安全廠商而言,采用BSD Unix還有一個重要的因素,就是許可權因素。
雖然,BSD Unix和Linux等系統下,已經包括了很多這些豐富的網絡安全功能,但是如果一個安全廠商只是簡單的應用這些功能,那么他對于其他廠商而言有什么優勢呢?而且作為自由軟件和通用軟件,這些網絡安全功能通常考慮是軟件本身的結構、可移植性等等,并沒有極端追求某種性能,也可能缺乏一些比較少用的安全功能。因此,比較好的網絡安全設備供應商,應該提供對系統進行比較多的開發和定制,甚至重新開發相關軟件,或者設計一些特殊的加速處理硬件,并在自己的系統進行支持。
然而,按照Linux使用的GPL許可權,這些相關的改動應該公布出去。事實上,很少有廠家這么做,這可能有兩種不同的原因,一個是他們本來就沒有進行什么有意義的開發,只不過進行了一些簡單的定制,將系統裝到了工控機系統中而已,另一種可能就是他們進行了開發,但不愿意公布,那么事實上他們違反了GPL。
這樣一來,使用BSD Unix的廠商更為誠實一些,因為BSD許可權并沒有強制商業廠商一定要公布他們自己修改系統的代碼。這樣的廠商,應該是比另一類廠商更值得信賴吧!
4.基于硬件和軟件的網絡安全設備
從前面的討論,我們可以看出,如果沒有一些特殊的優化和功能性的改進,一個基于BSD或Linux的網絡安全設備是非常容易實現的,因為基本的功能,BSD或Linux系統本身已經完全具備了,廠商所需要的開發任務也就是對系統的定制,和管理界面的開發等相對簡單的任務。這也就是最近兩年來,國內出現了無數家網絡安全設備提供商的原因。
這么多網絡安全設備提供商,就使得網絡安全市場非常混亂,最終用戶很難搞清楚一個廠商是對系統進行了特殊開發,提供了必要的安全功能,還是只是聲稱進行了特殊開發,其實系統內核仍然只是BSD或Linux。因為是否進行特殊開發對于用戶來講是不可見的,但對于廠商來講,必然涉及重要的成本投入,影響設備的最終價格。這個時候,用戶也只好將分析判斷的能力交給品牌等其他的因素,就個人的意見而言,國內的一些所謂知名網絡安全品牌,也沒有做什么特殊的開發。
當然,進行過特殊開發的網絡安全設備,在一些安全指標上還是會顯著的優勢的。例如抗DOS攻擊能力,一個普通的系統,大約十幾兆的syn flooding攻擊包就可以將系統完全癱瘓,但具備這個防護能力的安全系統就會仍然正常運行,更優秀的安全系統還會保護正常連接的正常通信。如果一個安全設備具備了這些特殊的安全特性,用戶花費幾萬、十幾萬的費用去采購這樣的一個設備還是物有所值的,否則,如果只是獲得的一個簡單定制過的BSD/Linux系統,作為一個網絡安全行業的旁觀者,說實話,對此感到特別的悲哀。
當然,雖然進行特殊的開發能夠增強網絡安全,從另一方面來講,更多的低端市場并不需要這些高級功能,很可能一些基礎的防火墻功能就足夠了,這樣的話,簡單定制過的BSD/Linux系統,也是可以滿足低端用戶的需要的。
但是,雖然相關的安全指標還有不少,遺憾的是,用戶很難獲得權威的第三方中立評測機構對不同系統的評測,將市場正確的劃分為高中低端,指導用戶對安全設備的采購。這就使得目前市場如此的混亂,用戶無法進行正確的判斷。
既然很多低端設備本身就是一個簡單的BSD或Linux,那為何還要迷信硬件安全設備呢?在國外,軟件形式已經開始成為低端網絡安全市場中非常重要的一部分,很多Linux廠商都發行了安全系統軟件,包括標準的操作系統和安全相關的管理界面,以及預先定制好的安全策略等等,用戶只需要簡單安裝,就可以在普通服務器系統中實現一個基本的網絡安全設備,這樣的系統并不次于所謂的硬件設備,而且要靈活的多,用戶也比較容易承擔和實施。但是考慮到國內的實際情況,國內IT決策人員對硬件設備存在一種近乎迷信的信任,總認為硬件設備要比軟件強,這樣就導致例如checkpoint這樣在國外只做軟件的公司,在國內竟然也做硬件設備起來了,此外,安全廠商也存在盜版的顧慮,寧愿開發硬件版本,因此這種低端市場軟件化的進程會比國外要慢得多,但它顯然也是網絡安全市場的低端領域的一個重要發展方向。
5.網絡安全服務
使用網絡安全設備的好處是比較簡單,只需要將設備連接上,簡單配置之后,就可以實施相應的網絡安全策略。
但是,這些基于網絡安全設備的安全策略,實質上是比較簡單的,用戶的網絡狀況多種多樣,具體的安全需求也多種多樣,這就導致真正的網絡安全策略是比較復雜的,需要有網絡安全方面的專家根據具體的需求量身定做,這就給安全服務提供了生存空間。
事實上,很多廠商轉向網絡安全服務也是不得已的行為,因為BSD和Linux的出現,使得網絡安全設備的門檻極度降低,這么多安全設備廠商,又沒有比較權威的評測,這么混亂的狀態,就使得一些廠商轉而去提供安全服務,提供網絡安全評估、分析并提出建議,甚至幫助進行系統實施等等。
事實上,網絡安全服務對于真正需要實施網絡安全的網絡系統而言,是十分必要的,這就體現了個性化的安全需求。但是對于大部分普通用戶,如果沒有那么高的安全需求,也許低端的網絡安全設備或安全軟件就已經能夠滿足需要了。
