1.2 邊界安全模型的演進

本書提到的傳統(tǒng)安全架構(gòu)通常是指“邊界安全模型”。該模型的基本思想與物理世界中通過修建城墻來保護城堡一樣，是通過構(gòu)建層層防線來保護網(wǎng)絡(luò)中的敏感資源。入侵者必須穿透這些防線，才能夠訪問敏感資源。遺憾的是，這種做法在計算機網(wǎng)絡(luò)場景下存在根本性的缺陷，實質(zhì)上無法保證敏感資源的安全性。為了充分理解這種缺陷，有必要回顧一下邊界安全模型出現(xiàn)的原因及其發(fā)展歷程。

1.2.1 管理全球IP地址空間

導(dǎo)致邊界安全模型出現(xiàn)的原因要從互聯(lián)網(wǎng)的IP地址分配開始說起。在互聯(lián)網(wǎng)發(fā)展的早期，越來越多的網(wǎng)絡(luò)連接在一起。在那個年代，互聯(lián)網(wǎng)還沒有大規(guī)模普及，一個網(wǎng)絡(luò)可能是連接到互聯(lián)網(wǎng)，也可能是與其他業(yè)務(wù)部門、公司或是某個研究機構(gòu)的網(wǎng)絡(luò)相連。當然，在任何IP網(wǎng)絡(luò)中，IP地址都必須是唯一的。如果不同網(wǎng)絡(luò)的運營者使用了重疊的IP地址空間，那么他們必須花費很大的力氣進行修改。如果正在連接的網(wǎng)絡(luò)恰好是互聯(lián)網(wǎng)，那么IP地址必須是全球唯一的。很顯然，網(wǎng)絡(luò)的IP地址分配必須通過統(tǒng)一的協(xié)調(diào)。

互聯(lián)網(wǎng)號碼分配機構(gòu)（Internet Assigned Numbers Authority, IANA）于1998年正式成立，直到今天IANA仍然是IP地址分配的協(xié)調(diào)機構(gòu)。在IANA成立之前， IP地址分配和協(xié)調(diào)的職責(zé)是由Jon Postel來承擔(dān)的，他繪制了如圖1-3所示的互聯(lián)網(wǎng)地圖。Jon是IP地址所有權(quán)記錄的權(quán)威來源，如果你想確保自己的IP地址是全球唯一的，那么就需要到他這里注冊。在那個時代，即使網(wǎng)絡(luò)暫時不需要連接到互聯(lián)網(wǎng)，也鼓勵人們?yōu)槠渥訧P地址，因為說不定哪天這個網(wǎng)絡(luò)就會連接到另一個網(wǎng)絡(luò)。

1.2.2 私有IP地址空間的誕生

20世紀80年代末和20世紀90年代初，隨著IP網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣，隨意使用IP地址空間成為一個嚴重的問題。許多網(wǎng)絡(luò)雖然事實上與互聯(lián)網(wǎng)隔離，但是卻有很大的IP地址空間需求，連接ATM的網(wǎng)絡(luò)、連接大型機場航班信息顯示屏的網(wǎng)絡(luò)等，都是典型的例子。出于各種原因，這些網(wǎng)絡(luò)的確需要與互聯(lián)網(wǎng)隔離，有的設(shè)備因為需要滿足安全或隱私的要求而與互聯(lián)網(wǎng)隔離（如ATM）；有的設(shè)備功能非常有限，通過網(wǎng)絡(luò)大規(guī)模地連接起來意義不大（如機場的航班信息顯示屏）。于是，私有互聯(lián)網(wǎng)地址分配標準——RFC 1597誕生了，其目的是解決大量公共IP地址空間的浪費問題。

1994年3月，RFC 1597宣布IANA為私有網(wǎng)絡(luò)保留3個IP地址范圍：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。這樣可以確保大型私有網(wǎng)絡(luò)的地址空間不會超出分配的范圍，從而減緩公共IP地址空間的消耗，也使得網(wǎng)絡(luò)運營者能夠在適當?shù)臅r候使用非全球唯一的IP地址。此外，私有IP地址空間的使用還產(chǎn)生了另外一個效果，而且直到今天仍然在發(fā)揮作用——使用私有地址空間的網(wǎng)絡(luò)更加安全，因為這些網(wǎng)絡(luò)無法連接到其他網(wǎng)絡(luò)，特別是連接到互聯(lián)網(wǎng)。

在那個年代，連接到互聯(lián)網(wǎng)的組織相對來說比較少，因此，內(nèi)部網(wǎng)絡(luò)經(jīng)常使用保留的私有網(wǎng)絡(luò)地址空間。另外，網(wǎng)絡(luò)的安全防護措施也非常弱，甚至完全沒有，因為這些網(wǎng)絡(luò)在物理上通常位于一個組織的內(nèi)部，攻擊者很難接觸到。

1.2.3 私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)

互聯(lián)網(wǎng)應(yīng)用的發(fā)展非常迅速，很快大多數(shù)組織都希望以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。電子郵件就是較早的互聯(lián)網(wǎng)應(yīng)用之一。人們希望能夠發(fā)送和接收電子郵件，這就意味著他們需要一個可公開訪問的郵件服務(wù)器，也意味著他們需要以某種方式連接到互聯(lián)網(wǎng)。

私有網(wǎng)絡(luò)中的郵件服務(wù)器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務(wù)器，它通常有兩個網(wǎng)絡(luò)接口，一個連接互聯(lián)網(wǎng)，一個連接內(nèi)部網(wǎng)絡(luò)。通過連接到互聯(lián)網(wǎng)的郵件服務(wù)器，私有網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和人員就能夠發(fā)送和接收互聯(lián)網(wǎng)電子郵件。

人們很快意識到，這些服務(wù)器實際上開辟了一條物理通道，把互聯(lián)網(wǎng)和安全的私有網(wǎng)絡(luò)連接了起來。如果攻擊者攻陷其中一臺服務(wù)器，那么他就能夠進入私有網(wǎng)絡(luò)，因為私有網(wǎng)絡(luò)中的主機與連接互聯(lián)網(wǎng)的服務(wù)器之間是連通的。因此，出于安全的考慮，需要嚴格檢查這些服務(wù)器及其網(wǎng)絡(luò)連接。于是，網(wǎng)絡(luò)運營者在這些服務(wù)器的兩側(cè)部署了防火墻，用于控制網(wǎng)絡(luò)通信，阻止?jié)撛诘墓粽邚幕ヂ?lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的主機，如圖1-4所示。發(fā)展到這一步，邊界安全模型就誕生了。內(nèi)部網(wǎng)絡(luò)變成了“安全”的網(wǎng)絡(luò)，受到嚴格控制的服務(wù)器所部署的位置成為DMZ，即隔離區(qū)。

1.2.4 NAT的誕生

由于需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長，因此，給內(nèi)部網(wǎng)絡(luò)資源賦予訪問互聯(lián)網(wǎng)的權(quán)限，要比為每個應(yīng)用維護代理主機更加容易。NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）能夠很好地解決這個問題。

RFC 1631為網(wǎng)絡(luò)設(shè)備定義了一個標準，使其能夠在組織的網(wǎng)絡(luò)邊界執(zhí)行IP地址轉(zhuǎn)換。通過維護一張公共IP/端口與私有IP/端口的映射關(guān)系表，NAT設(shè)備能夠使私有網(wǎng)絡(luò)中的設(shè)備訪問任意的互聯(lián)網(wǎng)資源。這種輕量級的映射關(guān)系與應(yīng)用程序無關(guān)，也就是說，網(wǎng)絡(luò)運營者不再為每個應(yīng)用程序單獨配置互聯(lián)網(wǎng)連接，而只需要支持私有網(wǎng)絡(luò)的通用互聯(lián)網(wǎng)連接即可。

NAT設(shè)備有一個很有趣的特性：因為IP地址映射關(guān)系是多對一的，所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有IP地址，除非事先在NAT設(shè)備上進行專門的配置來處理這種特殊情況。因此，NAT設(shè)備具有與狀態(tài)檢測防火墻相似的特性。事實上，防火墻設(shè)備也很快開始集成NAT功能，這兩個功能合二為一，基本上無法區(qū)分。這類設(shè)備既能支持網(wǎng)絡(luò)的連通功能，又能支持嚴格的安全控制，因此很快得到廣泛應(yīng)用，幾乎每個組織的網(wǎng)絡(luò)邊界上都部署了防火墻設(shè)備，如圖1-5所示。

1.2.5 現(xiàn)代邊界安全模型

通過在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/ NAT設(shè)備，能夠清晰地劃分安全區(qū)域，包括組織內(nèi)部的“安全”區(qū)、隔離區(qū)和不可信區(qū)域（互聯(lián)網(wǎng)）。如果一個組織的網(wǎng)絡(luò)需要與另一個組織的網(wǎng)絡(luò)互連，則只需要在兩個組織網(wǎng)絡(luò)的邊界處部署防火墻/NAT設(shè)備，這樣另一個組織的網(wǎng)絡(luò)就成為一個新的安全區(qū)域。然后，就像隔離區(qū)或安全區(qū)一樣，可以在邊界防火墻設(shè)備上配置特定的規(guī)則，規(guī)定不同區(qū)域之間允許或禁止哪種類型的網(wǎng)絡(luò)流量通過。

回顧過去，可以看到很明顯的進步。我們從離線/私有網(wǎng)絡(luò)中只有個別主機能夠連接互聯(lián)網(wǎng)，發(fā)展到通過在網(wǎng)絡(luò)邊界部署安全設(shè)備來建立高度互聯(lián)的網(wǎng)絡(luò)。這種進步并不難理解，網(wǎng)絡(luò)運營者出于各種商業(yè)目的，必須讓內(nèi)部網(wǎng)絡(luò)中的服務(wù)器對互聯(lián)網(wǎng)敞開大門，但是他們又不想失去私有網(wǎng)絡(luò)的安全性，而防火墻/NAT設(shè)備能夠在網(wǎng)絡(luò)邊界進行嚴密的安全控制，極大地降低了安全風(fēng)險。