网络边缘:堵住漏点 不留缝隙

　　网络边缘，对于小型企业网来说，可理解为企业桌面；对于较大规模的企业网来说，可理解为企业的分支机构网络（或网络的接入层和汇聚层），是接入用户的最后一段网络。近一年来，网络技术的快速发展，使得各种网络边缘接入产品和技术应用迅速普及，网络边缘的复杂化为网络的安全和管理带来了新的问题。 　　

　　多种接入带来安全隐患 　　

　　目前常见的有以太网接入、Cable Modem接入、移动接入、无线接入、专线接入以及ISDN接入等，用户可以根据自己的需要选择不同的接入方式。可是因为来自网络中的不安定因素很多，包括网络病毒、网络链路问题、计费是否准确无误、网络的管理是否健全等，都将直接影响用户使用网络，进而影响到整个企业网络的安全。 　　

　　例如，越来越多的异地接入会带来网络和数据两大类安全问题，一方面，许多远程办公人员使用宽带连接如DSL和线缆获得足够带宽来处理工作。这使他们成为攻击目标，而一旦攻击者闯入了家用电脑系统，他就能通过VPN趁机进入企业网络。 另一方面，远程办公人员常常把公司的大量数据保存在电脑上，虽然找到并闯入远程用户的系统需要一定技能，但盗窃或闯入远程办公人员的家里偷走可能存有大量机密商业数据的电脑却相当容易。 同样，在小区以太网接入方面，如果网络安全认证系统不完善或管理不严格，用户的身份密码和权限都容易受到侵害，遭受重大损失。 　　

　　应用多样需要安全保证 　　

　　网络应用正在逐渐多样化，网络从单纯地支持数据发展到支持数据、语音和视频相融合，并越来越与企业的业务相关。网络应用从最初主要用于文件共享，逐渐发展到后来的支持统一消息，再发展到今天支持与企业业务直接相关的应用，例如企业资源计划（ERP）、客户关系管理（CRM）、电子商务、电子政务、远程教育及视频会议等，未来甚至可能发展到共享计算和网格计算。 　　

　　随着企业规模的扩大，企业会深刻意识到其分支机构与用户直接接触，获得的市场信息最全面、最准确，所以企业在各地相继成立分支机构，其网络规模逐渐扩大，业务在网络上的应用也已逐渐地延伸到网络的边缘部分。这样，企业网络不仅传输数据，还会传输语音和视频，也同样存在着被窃听的安全隐患。 　　

　　网络设计思想存在局限性 　　

　　主流的网络设计理念产生了两种不同的架构——折叠式骨干网络架构与分散式骨干网络架构。其中，折叠式骨干将智能收缩到上层的汇聚设备上，而在下层的接入设备则只强调透通与线速。这两种架构在网络边缘上存在着重大差异。折叠式骨干多以二层交换作为边缘，而分散式骨干多以三层交换作为边缘。前者透通，强调连接能力、简单管理、价格低廉；后者智能，强调控管和增值能力，因此多数复杂程度较高，成本也相对较高。就网络安全而言，前者在解决目前复杂的边缘安全时会有较大的局限性，后者可满足边缘安全和管理的需求，而不是在系统中间的设备上处理类似安全性、抑制重复消息等功能，而且有利于分布式应用程序的应用。另人遗憾的是，由于技术和认识的历史原因，折叠式骨干网络架构目前应用很多，并且相当多的网络设计人员还习惯于这种设计思维。

　　无线安全问题突出 　　

　　近一年来，WLAN技术发展迅速，并逐渐形成了WLAN的应用热潮。在网络边缘接入的多种方式中，WLAN是一种低成本的无线接入技术，它高效而灵活，但与有线网络比较，有着不可忽视的安全问题，因此，如何保障WLAN安全性成为了业界亟待解决的关键问题。

　　制定Wi-Fi（无线兼容保证）标准的初衷，就是为了保证各种无线设备之间实现互操作，从而方便个人和企业用户进行连接。所有获得Wi-Fi认证的产品均具有Wi-Fi 40位共享密钥的WEP（有线等效保密）安全性。但它不是一种端到端的安全解决方案，只能提供基本保护。大部分SOHO用户和企业用户都需要防止别人窃听他们的无线网络，或防止黑客把开放式无线系统做为攻击的目标。在802.11b和802.11a标准下，WALN主要使用WEP加密方式和共享密钥认证来保证网络的安全性，可以适应普通用户的需求，但却不能满足更多企业和其他组织机构的需求。而共享密钥认证方式也存在缺陷，使得对保密性要求很高的企业级用户对WLAN一直持怀疑和观望的态度。毕竟，无线连接缺乏电缆连接所提供的物理保护。例如，有人就曾经非法侵入无线连接，设置破坏性接入点，然后登录有线局域网，或者盗窃用户设备的MAC地址和用户名，假冒授权用户。

　　鉴于用户对网络边缘安全的需求和网络边缘存在的问题，各网络厂商都进行了有益的探索。

　　网络安全要素

　　3Com强调，安全和网络是密不可分的，安全问题会随着网络的扩展而延伸。同时3Com也意识到，一个网络的各个部分/区段在网络中的具体作用是不一样的，所以对安全的需求可能也有所不同，需要不同的安全等级来与之对应。为此，3Com设计和推出了一系列的安全产品和解决方案，其核心是提供一个贯穿于整个企业范围内的解决方案，以“端到端”的方法解决网络安全问题。3Com的安全解决方案根据客户的不同网络环境和安全需求，划分为三个层次，提供客户安全政策实施所需要的技术和产品。

　　Cisco则认为，要让一个网络安全解决方案发挥作用，必须整合不同类型的保护方式，将它们集成到网络的各个部分。安全措施的层次越多，在攻击造成损失之前制止攻击的可能性就越大。因此，Cisco将物理安全分为三个最主要的层次：安全连接、周边安全及入侵防范，提出了SAFE（企业安全架构）理念，并提供了可以在所有三种安全层次中工作的硬件解决方案。

　　在港湾和清华紫光比威看来，简单地在网络的出口处放置防火墙、在用户端安装杀毒软件的安全措施是远远不够的。网络接入层的安全是一个全面、完整的安全，它涉及到网络的方方面面。为此，港湾通过接入交换机支持802.1x、安全端口、速率限制、访问控制等功能，实现接入层的网络安全，通过接入路由器内置DVPV功能，实现企事业单位的安全接入。清华紫光比威提倡的是一个安全的网络，而不是单一的网络的安全。通过全新的联动体系（VSIA体系），将网络接入层的各个组成部分安全、可靠地互动起来，可为用户提供一个完整的、互动式的安全网络架构。

　　对于应用多样性所带来的安全问题，Avaya提出了利用融合的思想表述了自己的观点。Avaya认为，解决融合网络的安全问题，实际上是解决语音和VPN的结合问题。融合网络对传统的网络边缘提出了更高的数据安全性，要求网络边缘支持PAP、CHAP、RADIUS等身份验证协议； 支持VoIP RADIUS，为VoIP业务提供了验证、授权、计费功能； 支持VPN (包括GRE、L2TP)等。通过在VPN网关上部署内含IP电话的一些设置的DHCP-server， Avaya的语音网关不仅解决了安全问题，也解决了易用性方面的问题。

　　对于解决无线网络的安全性问题，各网络厂商也都提出了自身的看法。3Com认为应把有线安全性扩展到无线连接领域，即不应把无线连接看作是设置在桌面的独立网关设备，而应将无线连接视为一个系统的组成部分，这就够成了多层次保护，这种系统必须能适应其网络基础架构的需要，提供更高水平的保护功能，以确保企业秘密信息、用户身份和其他资源的安全性。为了增加无线安全的层次，企业可以使用“基于用户”，而不是“基于设备MAC地址”的验证机制。这样，即使用户的笔本电脑被盗，盗贼如果不掌握笔记本电脑用户的用户名和口令，也无法访问网络。 　　

　　另外，可定期更换WEP加密密钥，或进行动态密匙管理，使用RADIUS和VPN（虚拟专网）功能构成增强型三层安全体系，可满足目前无线网络的安全要求。并且，最初由无线局域网发展起来的802.1x认证技术已得到越来越多厂商的支持。 　　

　　综上所述，网络边缘的安全问题，需要多种手段共同实现，除了提高网络边缘设备的安全功能，还要将它作为一个整体网络层次去设计实施。