边界安全跃升到WAN安全？

网络技术应用越广，其安全问题就越突出。一直以来，人们所认定的边界安全即是指保障LAN(局域网)网关处的安全，而新兴的WAN(广域网)安全概念似乎外延更加广泛。那么，与WAN所对应的骨干网网关安全能否成为边界安全的新定义?

　　

　　WAN安全保障更加注重提供终端用户解决方案。

　　网关安全产品一直是保障网络边界安全的一个代名词，面对如今承载丰富应用的WAN(广域网)安全问题，边界安全远远不再是LAN(局域网)所对应的网关处的安全了。反之，与WAN所对应的骨干网网关安全将有望成为边界安全的新定义。

　　边界安全概念外延

　　随着当今网络接入方式的多样化以及网络应用点到点的发展趋势，企业所面临的安全风险早已不仅仅是单纯来自有线宽带网络的接入网关，而且还有更多复杂、严峻的点对点应用风险和无线网络接入风险。相比一直以来人们所认定的边界安全即是指保障LAN网关处的安全，新兴的WAN安全更是面向各种新兴安全风险的边界安全概念，如点到点流媒体应用中的安全风险和骨干网海量数据夹带的风险等。

　　网络环境空前复杂，用户诸多关于应用的问题都与路由、速度、安全威胁息息相关，对骨干网的安全保护不仅需要网络层技术，而且需要对应用信息的解析及对多种网络接入方式的安全甄别，这些都已成为高端用户越来越迫切的需求。因此，越来越多的企业开始接触广域网应用交付(WAN Application Delivery)技术，并通过该技术在实现低成本集中管理的同时，确保在广域网上应用的实效性和安全性。

　　在WAN数据传输和安全性能保障方面，Blue Coat成为近两年成长最快的厂商代表之一，Riverbed、Cisco、Juniper等厂商也都在这一领域不断跟进。据Blue Coat亚太区副总裁F.Matthew Young介绍，参照OSI(开放系统模型)，传统的网络或安全设备如路由器、交换机、防火墙、IDS或IPS等都是基于网络层和传输层的信息处理技术。网络层设备解决的是IP数据包传输中的路由和安全问题，如数据包QoS(服务质量)和各种数据包优先级队列技术。

　　此外，一些基于数据包类型的带宽分配技术也被采用进来，包括减少数据包有效载荷和高速缓存在内的一些新技术。在安全性方面，IPSec技术可以保证数据包的真实性、私密性和完整性。

　　传输层解决方案用于改善传输的性能和安全，主要是TCP/IP传输，大部分性能技术关注的是流量控制，如TCP窗口扩缩的改进算法、堵塞检测和控制、延迟检测和控制以及数据包确认和重传控制。此外，传输层还采用压缩和高速缓存技术。而基于应用层的安全和信息过滤技术直到近几年才出现，如今已常见的具体技术有协议优化、数据预提取及高速缓存等。

　　内容层成为安全新突破

　　值得指出的是，在OSI模型应用层之上，行业分析人士和技术厂商最近大力推广一个被称为“内容层”的网络层。该内容层属于OSI一个网络层(第7层)。据悉，增加内容层的一个主要原因，是由于基于网络的应用程序的逐渐普及。

　　具体来讲，从OSI的角度来看，网络通信协议，即HTTP和HTTPS，属于应用层。对于网络应用程序来说，HTTP和HTTPS用作一种虚拟传输，以提供更高层的协议和应用程序。要理解和处理通过HTTP和HTTPS提供的内容，需要在OSI应用层上面有一个抽象层，也就是目前采用的内容层。

　　F. Matthew Young特别强调，内容层不是OSI模型的正式网络层，但它从根本上将应用层进行了细分，因此协议和应用内容能够分别加以讨论。他表示，内容层提供一个抽象层，将网络通信协议(如HTTP)与应用内容区别开来，这一层大多数加速技术都采用了通过分析应用内容而获取的知识以及适用于各种内容类型的数据精简和数据安全技术。

　　显然，在WAN安全性保障领域，除了传统的网关技术外，还存在着一些新的领域。这些领域能够用来对终端解决方案进行扩展，以提供额外的功能性。首先，终端是网络流量在进入网络提供给应用程序之前能够进行分级的唯一地点;其次，网络流量只有在终端处才能够与特定应用程序和用户进行准确关联。这样的可见性和内容认知度，使终端解决方案能够执行内容导向的应用程序加速和安全功能，所有这些功能都超越了网关上的技术可能性。

　　总的来讲，IT公司需要重新考虑企业网络边界处的安全机制，以应对如今复杂、广泛的安全风险，同时还需考虑终端用户的传输和应用，使他们获得其所要求的安全性和应用性能。

　　各方观点

　　WAN三个环节必须加密

　　Riverbed亚太副总裁金少陵：“WAN安全方案被部署到企业的基础设施当中，成为整个通信环境的一部分。为了将应用程序加速和广域网优化技术应用于安全的SSL流量上，相应数据和协议也必须是可视的，这意味着它们在广域网两端都必须被解密，并且在穿越以下三个任意连接的部分时必须保持加密：从服务器到服务器端的WAN安全设备、在广域网上两个WAN安全设备之间及从客户端WAN安全设备到客户。此外，SSL证书和私钥的管理必须在数据中心进行，由此避免引起新的安全薄弱环节。”

　　解决方案要服务终端

　　Blue Coat亚太区副总裁 F. Matthew Young：“对于用户应用来说，一方面，企业分支机构和移动办公人员的不断增多已经使应用几乎无处不在，安全风险随之而生;另一方面，从节约成本和法规遵从的角度讲，企业应用程序和数据信息等资源也正在向一个数据中心集中。随着IPv6、3G以及Web 2.0等新形态网络的出现，用户基于Web的流量日益增大，在远距离数据传输的现实情况下，基于多协议的路由和包转换能力以及延迟问题都成为网络设备正在面临的新挑战。公司采用的解决方案必须能够为用户终端提供必要的安全性和加速方法。”

　　确保安全性两个“重要”

　　Juniper网络公司大中华区高新技术经理孙希龙：“对于WAN优化平台，确保两个层面的安全性至关重要：一是广域网网关设备的所有接入方法都要支持使用HTTPS和SSH;二是IT人员也可定义访问控制表(ACLs)，以允许或拒绝接入平台，通过RADIUS部署基于验证、授权和记账(AAA)，还可选择关闭连接到广域网网关设备的所有网络访问，只支持控制台访问。”