在现今的信息科技年代,每一个迅速发展的企业都已全面应用网际网络在所有业务环节中,以配合分公司、远程工作人员和其它外连网络用户增长之需求。然而,网际网络在安全上潜在着严重的问题,产生很多漏洞,使得企业主机遭受计算机病毒感染,或者资料数据外泄的机会大增。为满足企业在网络安全方面的需求,加密、虚拟专用网络(VPN)及相关技术相继涌现,但许多信息科技企业却没有时间和专才为企业执行相关的安全方案。对企业来说,他们需要专注于经营业务发展,而不是管理信息科技的工作;因此,越来越多企业将网络连接以及主要的电子商务和企业应用方案外包给其它服务供货商。据市场研究机构Infonetics指出,VPN服务的市场总值到2003年将增至350亿美元,即由2000年至2004年间,市场的年成长率高达606%。这种情况显示目前网站代管、主机代管设施和可控安全等市场的服务供货商正采用多种不同的安全产品和平台,来肩负起保护重要客户数据之重任。所以,一个可高度扩展和操作互通的方案对于上述的服务供货商是极为重要的。
随着企业将服务外包的情况不断增加,服务供货商的安全系统必须能够扩展,以迎合市场增长之需求。可是,大部分供货商直到最近仍被迫将供企业用的防火墙和VPN等安全产品「拼凑」成不完整的方案。
VPN旨在确保透过公共网络连接的两个或多个点之间的安全和专有通讯,在业界皆追求操作简易和费用廉宜的网络方案的情况下,VPN被普遍采用。根据IDC和Infonetics的统计显示,到2003年时,防火墙产品的销售额将增至14亿美元,而VPN产品更高达33亿美元。
VPN的销售能不断攀升,是由于VPN技术拥有众多的优点,使得企业对VPN的需求增加。VPN利用先进的加密和身份确认协议提供高度的安全性,较传统的专线网络更具高成本效益。VPN技术出现后,企业无需再使用收费昂贵的800号码或长途电话连接调制解调器群组,远程用户只需要通过当地的网际网络服务供货商便可连接至企业网络。VPN亦可帮助远距办公室透过网际网络与企业保持联系,无需使用费用较高的讯框中继(Frame Relay)或专属线路等私人网络。
VPN的可扩展性特点更能节省企业在设备方面之成本开支,无需增添大量的基础设施便可无限量地扩充系统容量。企业亦能够充分利用网际网络服务供货商之基础设施,只需一台VPN设备和一条数字用户回路(DSL),便可代替昂贵的服务器和调制解调器线路。
但是VPN要和防火墙等其它安全产品结合一并使用,才能发挥最大的效能。所以我们只要了解VPN技术的基础标准和建立标准时所遇到的挑战,便能妥善地运用VPN和防火墙各自的独特功能。
目前网络、拨号连接所采用的标准为IPSec(Internet Protocol Security)。尽管IPSec是众多协议中最为复杂的,然而它包含网络安全的所有元素,而成为业界中被肯定的标准。
其它较为普遍的协议有PPTP和L2TP,虽然两者同样包括部分主要的安全元素,却不及IPSec的表现全面和高度效率。
IPSec提供一般专有远程访问方案所不能提供的加密、关键管理和严密的身份确认标准,使其顺理成章地成为满足VPN公共线路要求的唯一选择。值得注意的是,安全标准的未来发展很可能是将L2TP的强力度纳入IPSec的安全性内。
所有这些特别元素令IPSec的执行较为复杂,单是其基本的加密功能已经对一般的硬件和软件式产品造成容量压力。要建立一条信道,IPSec除了需要加密外,还要利用公钥密码演算来提供高度安全性,以确认信道两端的身份及保障数据经过信道时能保持其隐私。
大部分防火墙都有提供内容过滤和病毒扫瞄的功能,这些都是任何企业最关注的安全问题。但是这些功能却会带来降低网际网络性能的副作用,如果为远程访问用户再加入软件式加密设备,防火墙肯定会丧失其应有的功能。
在此情况下,供货商采用多种不同作法解决这些问题,有些防火墙供货商转用硬件式加密加速卡,以减轻软件式存取监管产品的负载。但这种方法只是权宜之计,因为尽管在一般用途的计算机加装硬件配件可以短暂地提高VPN的性能,但长远来说,对总线速度和其它架构上则会有所限制。
而且,当系统需要处理远程访问用户及其加密信道的特别需求时,仍然是力有不逮的。远程用户经常地登入和注销网络,同时,每条新信道需要多重公钥运作,处理这些运作必须使用特别专属的硬设备,犹如VPN市场中的法拉利品牌。
高性能的VPN系统和产品在设计上必须兼具面板配置、处理器速度、提升驱动器性能,以及加上用作公钥运作和加密的订制安全ASIC芯片。若干测试显示这种设备装置与硬件加速组态的软件式产品比较,产品性能方面可快五至十倍之多。
当然,在比较VPN系统的性能时,速度只是其中一项因素,我们还需考虑管理能力的问题。在选购独立的VPN和防火墙产品时,首先需要决定如何将它们互相整合,以及如何配合其它设备如网络地址转译(NAT)、公钥基建(PKI)和路由器等。
将这些功能和次系统结合为一整套安全系统是极具挑战性的工作,因为过程中存在很多变量、限制和未能互相兼容的问题。当使用不同的设备装置分别处理IPSec VPN、存取监管(防火墙)和NAT时,可以预见将会发生以下的情形:由于VPN流量是通往VPN网关器,进入网络时不会有任何问题,但要令VPN流量经由正确的设备装置离开网络,却是一大难题。IPSec功能具有高度的安全性,使其无法与 NAT功能无缝地接合起来。在安全信道的传输中,NAT装置会令IP地址转变,因而改变原来的封包资料,做成「中途拦截攻击式」的情况,导致IPSec连接受到阻断。此外,部分IPSec协议,例如标题确认(authentication header)主要是保障封包不会被改变,因此在原则上不能与NAT兼容。
就算可寻找到一项IPSec协议能与NAT兼容,却会有其它问题出现,例如负责IPSec所需的对称密码钥交换的Internet Key Exchange (IKE) 管理协议,在众多NAT组态下,无法执行安全确认。这些问题只有两种可行的解决作法。第一是完成NAT程序后才进行处理IPSec;第二是由整合式硬件VPN与防火墙产品之同一系统内处理两者的运作。
倘若将VPN系统设置在防火墙以外,由于所有流量在到达防火墙时已经解密,会导致防火墙无法分辨出加密与非加密的流量;再者,我们亦无法为防火墙建立政策。在这情况下,即使VPN网关器采用数码认证的方法,亦无法确认在线路另一端的对方身份,结果可能需要用户进行一次、两次或多次身份确认。
另一选择就是将VPN系统设置在防火墙内,但这同样也会出现另一问题。因为防火墙必须容许经过加密的流量通过,并依赖由流量解密的VPN设备装置执行企业安全政策。由于两种系统在组态上会出现兼容和协调问题,VPN系统设置将来能否支持与防火墙一样的企业安全政策?另外VPN系统设置将来在政策改变时能否与防火墙同步一致?这两点都是疑问。在这情况下,IPSec VPN流量将所有原来的封包资料加密,例如来源和目的地地址及应用类型。防火墙只能分辨出IP协议号码,因而不能进行过滤处理,以得悉封包的详细内容,故此只能无奈地阻截或让封包通过。此外,将VPN系统设置于防火墙内,亦不能利用IPSec封包进行周边内容或病毒扫瞄处理。
将VPN与防火墙的功能分开处理也会引起组织性问题,因为VPN与防火墙在网络基础设施、安全和通讯各方面的线路界限互相重叠,故此必需结合以及组态成为一台安全系统,以执行同一个安全政策。最重要的是所有这些组态必须在严格的监控下进行,确保所有组织政策得以执行,以及能够应付企业的需求。如果这些功能在多重系统和多重的责任范围之间未能操作,个别企业的部分安全政策很容易遭受破坏。
另一方面,Virtual Private Network Consortium (www.VPNC.org) 提供一份VPN产品名单,详列所有通过基本以及合乎更改密码钥测试的产品。VPNC重申符合性(conformance)与操作互通性完全是两回事,符合性是单指VPN产品曾经在两台不同的服务器上进行测试,并通过该项测试。但进一步研究发现,这些能够通过符合性测试的VPN产品,当互相连接时,经常会出现不能操作的情况。
即使是通过操作互通性测试和符合有关标准的产品,要与多个供货商的方案拼在一起使用亦是一大挑战。事实上,拼凑式的方案在本质上是很难安装和管理,因为个别供货商会经常定期提升和改革他们的产品。虽然如此,操作互通性基本上是可以达到的,而供货商亦为此付出了不少时间和精力,以满足客户对执行互通性的需要。不过,由于市场环境瞬息万变,这种方案已经逐渐未能配合所需。同时处理不同的接口、功能和多重供货商关系,只会为客户带来一个管理上分散的安全方案。
总结来说,利用一台整合式的安全设备装置,集中VPN、防火墙、NAT、甚至流量管理等多种功能于单一管理站台,可以达致高度操作互通性和符合业内标准,且简单易用、安全可靠。单一安全设备装置无需请来顶尖的高深科学家来管理,只需有限的人力、时间和金钱便可,而且大部分设备装置拥有简单、统一以及易于熟练操控的接口。而且,在采用整合式的VPN/防火墙系统方面安装简便,无需担心因为使用多个安全产品供货商提供的“拼凑”方案而产生的建置和操作互通性问题。
在现今的信息世界,网际网络可以将远程用户(和骇客)连接至企业数据和应用系统,故此,采用高阶的安全技术是必需的。将防火墙、NAT和IPSec VPN功能集中在单一系统内,用户便可以轻易地获得高度的安全保障,而且管理执行起来亦非常简单。至于缺乏这方面资源的信息科技企业,另一个可行的方法就是外包给可控安全服务供货商,由他们根据实际情况量身定制安全解决方案,这方面的需求今后会增长很快。
原作者:美国网屏技术有限公司
