下载掌阅APP,畅读海量书库
立即打开
本书描述的传统架构通常被称为边界安全模型,借鉴了现实世界中通过修建城墙来保护城堡的方法。这种方法通过构建层层防线来保护敏感资源,入侵者必须穿透这些防线才能访问敏感资源。可惜这种方法在计算机网络中存在根本缺陷,当前已无法提供足够的保护。为了帮助读者充分理解这种缺陷,让我们回顾一下这种模型的发展历程。
边界安全模型的发展历程始于地址分配。在互联网发展的早期,越来越多的网络连接在一起。在那个时候,互联网并不像现在这样无处不在,有些网络并没有连接到互联网,而是与其他业务部门、公司或研究机构网络相连。即便如此,每个网络使用的IP地址也必须是独一无二的,如果两个网络恰好使用了重合的地址范围,网络管理员必须花很大的力气进行修改。如果网络连接到了互联网,其使用的地址必须是全局唯一的,显然,为确保这一点,必须做些协调工作。
1998年,互联网编号分配机构(Internet Assigned Numbers Authority,IANA)正式成立,是当前负责协调工作的机构,承担IP地址分配工作。在IANA成立之前,这项职责由乔恩·波斯特尔(Jon Postel)承担,他绘制了如图1-3所示的互联网地图。乔恩·波斯特尔是IP地址所有权记录的权威来源,要确保IP地址全局唯一,必须向他注册。在那个时候,即便注册的网络不会连接到互联网,也鼓励网络管理员去注册IP地址空间,因为说不定哪天就可能要连接到其他网络。
图1-3 乔恩·波斯特尔绘制的互联网发展早期(1982年2月)的地图
20世纪80年代末到90年代初,IP网络技术的应用日益广泛,随意使用地址空间的问题变得严重。很多网络没有连接到互联网,却占用了很大的公有IP地址空间,这样的典型示例包括连接ATM的网络、连接大型机场航班信息显示屏的网络。出于各种原因,这些网络确实需要与互联网隔离:为满足安全或隐私需求,有些设备(如ATM)不能连接到互联网;有些设备功能有限(如机场航班信息显示屏),以至需要访问互联网的可能性极小。为了解决公有IP地址资源浪费问题,RFC 1597(Address Allocation for Private Internets)应运而生。
RFC 1597发布于1994年3月,它规定IANA保留3个IP地址范围给私有网络使用,分别是10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。这确保了大型私有网络只使用上述范围内的IP地址,降低了公有IP地址的消耗速度,同时让网络管理员能够在适当的情况下使用非全局唯一的地址。这还带来了另一个有趣的影响:使用私有地址的网络更安全,因为这些网络基本上不能连接到其他网络,尤其是互联网。
在那个时候,连接到互联网的组织很少,因此内部网络通常使用保留的私有IP地址空间。另外,因为这些网络通常限于组织内部,所以安全措施薄弱甚至根本就没有。
互联网上有趣的新生事物层出不穷,很快大多数组织想要以某种方式出现在互联网上。一个早期的例子是电子邮件,大家希望能够收发电子邮件,这就意味着需要有可供公众访问的邮件服务器,而要实现邮件服务器可供公众访问,就必须连接到互联网。在那时的私有网络中,通常只有邮件服务器是连接到互联网的,这些服务器有两个网络接口,一个面向互联网,另一个面向内部网络,这让内部私有网络中的系统和用户能够收发互联网邮件。
人们很快就认识到,在原本安全的私有网络中,这些服务器打开了通往互联网的通道。如果攻击者攻陷了一台邮件服务器,就可能进入私有网络,因为私有网络中的主机能够与邮件服务器通信。考虑到这一点,必须严格地检查这些服务器及其网络连接。为了限制通信,并挫败潜在攻击者从互联网访问内部系统的企图,网络管理员在服务器两侧部署防火墙,如图1-4所示。至此,边界安全模型便诞生了。在这种模型中,内部网络为“安全”网络,而受到严格控制的服务器所在的区域为隔离区(DMZ)。
图1-4 在互联网和私有网络中,均可访问位于隔离区的服务器,但在私有网络中,访问范围仅限于隔离区,不能直接访问互联网
随着需要从内部网络访问的互联网资源数量的快速增长,相比于为每个所需的应用维护代理主机,授予内部系统访问互联网的权限是一项更容易完成的工作。网络地址转换(NAT)很好地解决了这个问题。
RFC 1631(The IP Network Address Translator)定义了相关标准,规定了位于组织边界的网络设备如何执行IP地址转换。这些设备维护着一个映射关系表,在公有IP地址/端口和私有IP地址/端口之间建立映射关系,让私有网络中的设备能够访问任何互联网资源。这种轻量级映射关系独立于应用,这就意味着网络管理员不再需要提供针对应用的互联网连接,而只需要提供一般性的互联网连接。
NAT设备有一个有趣的特性:IP地址映射关系是多对一的,因此除非有相应的NAT配置,否则无法从互联网访问内部的私有IP地址,这让NAT设备具有与有状态防火墙一样的功能。事实上,防火墙很快就集成了NAT功能,将这两项功能合二为一,使它们几乎无法区分开来。这让防火墙同时提供了网络连接功能和严密的安全控制措施,因此几乎所有的组织边界上都有它们的身影,如图1-5所示。
图1-5 典型的边界防火墙设计(经过简化)
在内部网络和互联网之间部署防火墙/NAT设备后,便清晰地划分出了不同的安全区域,包括内部安全区、隔离区和不可信区域(互联网)。如果组织需要与其他组织相连,将以类似的方式在边界上部署防火墙/NAT设备,而所连接的另一个组织将成为一个新的安全区,该安全区与当前组织的隔离区和安全区一样,也定义了什么样的流量可以进出的规则。
回顾过去,可以看到明显的进步:最初私有网络是离线的,只有一两台主机能够访问互联网,后来私有网络是高度互联的,并在边界部署了安全设备。显然,出于各种商业目的,必须向互联网敞开大门,同时又不能以牺牲离线网络的安全性为代价,因此必须在敞开的每扇大门处采取严密的安全控制措施,以最大限度地降低风险。