1.2 邊界安全模型的演進

本書描述的傳統(tǒng)架構(gòu)通常被稱為邊界安全模型，借鑒了現(xiàn)實世界中通過修建城墻來保護城堡的方法。這種方法通過構(gòu)建層層防線來保護敏感資源，入侵者必須穿透這些防線才能訪問敏感資源。可惜這種方法在計算機網(wǎng)絡(luò)中存在根本缺陷，當(dāng)前已無法提供足夠的保護。為了幫助讀者充分理解這種缺陷，讓我們回顧一下這種模型的發(fā)展歷程。

1.2.1　管理全局IP地址空間

邊界安全模型的發(fā)展歷程始于地址分配。在互聯(lián)網(wǎng)發(fā)展的早期，越來越多的網(wǎng)絡(luò)連接在一起。在那個時候，互聯(lián)網(wǎng)并不像現(xiàn)在這樣無處不在，有些網(wǎng)絡(luò)并沒有連接到互聯(lián)網(wǎng)，而是與其他業(yè)務(wù)部門、公司或研究機構(gòu)網(wǎng)絡(luò)相連。即便如此，每個網(wǎng)絡(luò)使用的IP地址也必須是獨一無二的，如果兩個網(wǎng)絡(luò)恰好使用了重合的地址范圍，網(wǎng)絡(luò)管理員必須花很大的力氣進行修改。如果網(wǎng)絡(luò)連接到了互聯(lián)網(wǎng)，其使用的地址必須是全局唯一的，顯然，為確保這一點，必須做些協(xié)調(diào)工作。

1998年，互聯(lián)網(wǎng)編號分配機構(gòu)（Internet Assigned Numbers Authority，IANA）正式成立，是當(dāng)前負(fù)責(zé)協(xié)調(diào)工作的機構(gòu)，承擔(dān)IP地址分配工作。在IANA成立之前，這項職責(zé)由喬恩·波斯特爾（Jon Postel）承擔(dān)，他繪制了如圖1-3所示的互聯(lián)網(wǎng)地圖。喬恩·波斯特爾是IP地址所有權(quán)記錄的權(quán)威來源，要確保IP地址全局唯一，必須向他注冊。在那個時候，即便注冊的網(wǎng)絡(luò)不會連接到互聯(lián)網(wǎng)，也鼓勵網(wǎng)絡(luò)管理員去注冊IP地址空間，因為說不定哪天就可能要連接到其他網(wǎng)絡(luò)。

1.2.2　私有IP地址空間的誕生

20世紀(jì)80年代末到90年代初，IP網(wǎng)絡(luò)技術(shù)的應(yīng)用日益廣泛，隨意使用地址空間的問題變得嚴(yán)重。很多網(wǎng)絡(luò)沒有連接到互聯(lián)網(wǎng)，卻占用了很大的公有IP地址空間，這樣的典型示例包括連接ATM的網(wǎng)絡(luò)、連接大型機場航班信息顯示屏的網(wǎng)絡(luò)。出于各種原因，這些網(wǎng)絡(luò)確實需要與互聯(lián)網(wǎng)隔離：為滿足安全或隱私需求，有些設(shè)備（如ATM）不能連接到互聯(lián)網(wǎng)；有些設(shè)備功能有限（如機場航班信息顯示屏），以至需要訪問互聯(lián)網(wǎng)的可能性極小。為了解決公有IP地址資源浪費問題，RFC 1597（Address Allocation for Private Internets）應(yīng)運而生。

RFC 1597發(fā)布于1994年3月，它規(guī)定IANA保留3個IP地址范圍給私有網(wǎng)絡(luò)使用，分別是10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。這確保了大型私有網(wǎng)絡(luò)只使用上述范圍內(nèi)的IP地址，降低了公有IP地址的消耗速度，同時讓網(wǎng)絡(luò)管理員能夠在適當(dāng)?shù)那闆r下使用非全局唯一的地址。這還帶來了另一個有趣的影響：使用私有地址的網(wǎng)絡(luò)更安全，因為這些網(wǎng)絡(luò)基本上不能連接到其他網(wǎng)絡(luò)，尤其是互聯(lián)網(wǎng)。

在那個時候，連接到互聯(lián)網(wǎng)的組織很少，因此內(nèi)部網(wǎng)絡(luò)通常使用保留的私有IP地址空間。另外，因為這些網(wǎng)絡(luò)通常限于組織內(nèi)部，所以安全措施薄弱甚至根本就沒有。

1.2.3　私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)

互聯(lián)網(wǎng)上有趣的新生事物層出不窮，很快大多數(shù)組織想要以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。一個早期的例子是電子郵件，大家希望能夠收發(fā)電子郵件，這就意味著需要有可供公眾訪問的郵件服務(wù)器，而要實現(xiàn)郵件服務(wù)器可供公眾訪問，就必須連接到互聯(lián)網(wǎng)。在那時的私有網(wǎng)絡(luò)中，通常只有郵件服務(wù)器是連接到互聯(lián)網(wǎng)的，這些服務(wù)器有兩個網(wǎng)絡(luò)接口，一個面向互聯(lián)網(wǎng)，另一個面向內(nèi)部網(wǎng)絡(luò)，這讓內(nèi)部私有網(wǎng)絡(luò)中的系統(tǒng)和用戶能夠收發(fā)互聯(lián)網(wǎng)郵件。

人們很快就認(rèn)識到，在原本安全的私有網(wǎng)絡(luò)中，這些服務(wù)器打開了通往互聯(lián)網(wǎng)的通道。如果攻擊者攻陷了一臺郵件服務(wù)器，就可能進入私有網(wǎng)絡(luò)，因為私有網(wǎng)絡(luò)中的主機能夠與郵件服務(wù)器通信。考慮到這一點，必須嚴(yán)格地檢查這些服務(wù)器及其網(wǎng)絡(luò)連接。為了限制通信，并挫敗潛在攻擊者從互聯(lián)網(wǎng)訪問內(nèi)部系統(tǒng)的企圖，網(wǎng)絡(luò)管理員在服務(wù)器兩側(cè)部署防火墻，如圖1-4所示。至此，邊界安全模型便誕生了。在這種模型中，內(nèi)部網(wǎng)絡(luò)為“安全”網(wǎng)絡(luò)，而受到嚴(yán)格控制的服務(wù)器所在的區(qū)域為隔離區(qū)（DMZ）。

1.2.4　NAT的誕生

隨著需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量的快速增長，相比于為每個所需的應(yīng)用維護代理主機，授予內(nèi)部系統(tǒng)訪問互聯(lián)網(wǎng)的權(quán)限是一項更容易完成的工作。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）很好地解決了這個問題。

RFC 1631（The IP Network Address Translator）定義了相關(guān)標(biāo)準(zhǔn)，規(guī)定了位于組織邊界的網(wǎng)絡(luò)設(shè)備如何執(zhí)行IP地址轉(zhuǎn)換。這些設(shè)備維護著一個映射關(guān)系表，在公有IP地址/端口和私有IP地址/端口之間建立映射關(guān)系，讓私有網(wǎng)絡(luò)中的設(shè)備能夠訪問任何互聯(lián)網(wǎng)資源。這種輕量級映射關(guān)系獨立于應(yīng)用，這就意味著網(wǎng)絡(luò)管理員不再需要提供針對應(yīng)用的互聯(lián)網(wǎng)連接，而只需要提供一般性的互聯(lián)網(wǎng)連接。

NAT設(shè)備有一個有趣的特性：IP地址映射關(guān)系是多對一的，因此除非有相應(yīng)的NAT配置，否則無法從互聯(lián)網(wǎng)訪問內(nèi)部的私有IP地址，這讓NAT設(shè)備具有與有狀態(tài)防火墻一樣的功能。事實上，防火墻很快就集成了NAT功能，將這兩項功能合二為一，使它們幾乎無法區(qū)分開來。這讓防火墻同時提供了網(wǎng)絡(luò)連接功能和嚴(yán)密的安全控制措施，因此幾乎所有的組織邊界上都有它們的身影，如圖1-5所示。

1.2.5　現(xiàn)代邊界安全模型

在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/NAT設(shè)備后，便清晰地劃分出了不同的安全區(qū)域，包括內(nèi)部安全區(qū)、隔離區(qū)和不可信區(qū)域（互聯(lián)網(wǎng)）。如果組織需要與其他組織相連，將以類似的方式在邊界上部署防火墻/NAT設(shè)備，而所連接的另一個組織將成為一個新的安全區(qū)，該安全區(qū)與當(dāng)前組織的隔離區(qū)和安全區(qū)一樣，也定義了什么樣的流量可以進出的規(guī)則。

回顧過去，可以看到明顯的進步：最初私有網(wǎng)絡(luò)是離線的，只有一兩臺主機能夠訪問互聯(lián)網(wǎng)，后來私有網(wǎng)絡(luò)是高度互聯(lián)的，并在邊界部署了安全設(shè)備。顯然，出于各種商業(yè)目的，必須向互聯(lián)網(wǎng)敞開大門，同時又不能以犧牲離線網(wǎng)絡(luò)的安全性為代價，因此必須在敞開的每扇大門處采取嚴(yán)密的安全控制措施，以最大限度地降低風(fēng)險。