Paul Vixie:企业级乃至于国家级防火墙如何提高效率? 原创

今天,以“新技术·新架构·新网络”为主题的“GNTC全球网络技术大会” 在北京长城饭店会议中心火热开幕。天地互连下一代互联网国家工程中心遍邀全球顶尖技术专家,增设多场峰会与热点Workshop,会议将全方位呈现产业和技术最新发展情况,促进合作共赢。

今天,以“新技术•新架构•新网络”为主题的“GNTC全球网络技术大会”遍邀全球顶尖技术专家,增设多场峰会与热点Workshop,将在3天的会议里分享最纯粹的技术趋势,全方位呈现产业和技术最新发展情况,为各方代表提供一个沟通交流的平台,促进合作共赢,推动网络重构发展进程。

2014互联网名人堂入选者Paul Vixie也是ISC的创始人,在DNS领域工作了30年的Paul是互联网基础资源领域资深专家,本次GNTC大会上,他为与会嘉宾分享了自己在网络建设的成功经验,从网络安全的角度分享其对全球网络发展的理解和判断。他最后带来的意大利的实例展示更是让与会嘉宾更细致的了解了防火墙能力的重要性。

Paul Vixie:企业级乃至于国家级防火墙如何提高效率? 

以下为演讲原文整理:

大家好,非常高兴能受邀参会。

我在DNS领域工作了30年,最早,致力于让人们能够通过网络得到充分的交流,这也是DNS的初衷,我们在那个时候很想实现这种可能性,一开始是为国家网络设计罪犯的宣传、恐怖组织宣传工作,有时必须把某些内容过滤掉,我们可以选择不同的方式过滤处理这些信息,可以在中间或者是远端、近端拦截,我们能做的事情是做出相应的选择,而且是基于已有的处理能力,在自己的计算能力、处理能力之下,在硬件、软件层面进行相应的拦截工作。

我肯定不是来中国告诉大家如何运营网络的,我跟大家分享的是,我相信现在中国政府和国内相关领域的专家们都是非常专业的,中国政府他们自己也会决定出来如何发展网络,不仅仅是全球化的策略,我只是想给大家介绍一下我们自己国家发生的状况,以及我们公司的经验。

今天给大家介绍一下在建立网络时,如何做到更加便宜,更加有效、更加合理。

2016年,总统选举非常激烈,外界有很多声音和不同的证据说明,可能别的国家干涉到了总统的选举,比如说俄罗斯干涉总统选举,影响选举的结果,直到现在调查仍在进行。我知道网络方面漏洞一定有,还有中国以外的不法分子很多,但要想影响中国的选举会非常难,中国人民大会或者中国的选举结果极少受到外面的影响,中国在安全管控方面非常严格。如果一个国家想要控制一系列的信息发布的话,我觉得可能会进行两方面的工作,中国在安全防护方面做的比较不错。关于整个的过滤方面,大家知道有组织机构特别是国家政府,他们决定在网络方面过滤某些信息是肯定会存在相应的成本的,单就电力就是一个成本,要实现计算能力进行过滤或计算他们就需要相应的设备,必须保持运营,要把防火墙打开,会消耗相应的电能。另外运维需要精力和成本,要精确的瞄准阻拦一些对经济有负面影响的消息,就需要去了解相应的任务、具体信息的构成,进行拦截。

但是如果你有国家的安全网的话,一般都有防火墙的设计,你就可以通过高层决议后的防火墙设置,设定黑名单,决定是否让不认识的内容进来,我自己在建立一个国家级或者企业级的防火墙时都有一个更有效的方式,就是有时候很多信息我们并不是很理解,这样的话,我们会有很多信息获取不到,后面我会具体介绍一下相应的拦截方式。

我很注重成本方面的问题,因为这可能花费很高。有很多人通过翻墙的方法获取更多的信息,但是还有很多人也通过翻墙的方法实施网络犯罪。在这个过程中,我们就需要不断的更新防火墙,更新运维方式,这个也算是成本升高的大问题。我觉得可能最简单的方式,就是把不认识的拦在外面,但是看起来不是那么简单。

我的另一个做法是,如果了解到一个国家、一个公司的文化,或者在经济方面的能力和合作潜力,我们就会邀请他们去学习,去采用新的VPIN,他们可以用合规、合理的隔离方式,用防火墙拦住某些数据和流量,但之后他们要花费很多的时间去更新他的硬件或者协议,或者是创新技术。在某种层面上,要跟国家的安全网、防火墙合作,更重要的是在合规的情况下尽可能高的提高效率。

考虑到网络犯罪的问题,如果我们建立一个国家级别的防火墙,我们可能得出台一个法律,来要求大家都遵守相关的政策,这样防止有人会违反我们的法律,防止这些人可能会传播一些我们不吸收他们传播的意识形态,或者是一些信息,比如他们安装的VPN来进行翻墙,我们需要设定相关的政策防止这样的事情发生。我们希望能够不断地加强创新,还有效率,对于每个国家来说这都是非常重要的。

下面我来为大家举一个意大利的例子,在几年前,意大利政府决定要关闭特定的网站、域名,尤其是指那些在线赌博的网站域名,赌博在意大利比较流行的一种娱乐方式,在意大利他们这些赌博网站的漏洞让收税问题很严重,他们对于特定的基础设施,比如道路,税收入严重不足,意大利希望能够把这些网站屏蔽掉。我想特别强调,我对赌博问题没有特定的立场,我只是想给大家举一个例子,有关于网络过滤的问题。意大利政府发现很多人都在使用这些在线的网站都不在意大利,也不是在意大利注册的,他们没有缴纳相应的税用,意大利政府需要这些财政税收,所以他们决定把这些域名全部都给屏蔽掉。这些在线的赌博网站,它的影响是什么?最后的结果其实不是他们的预期,首先是有一些DNS是Google提供的,最终这个数量大大下降,因为很多意大利人不希望完全按照政府的做法去做,比如说政府说我们不希望你们去访问这些不在意大利的域名,这些在线赌博的域名,觉得这样做对于整个国家的税收不利,意大利人则是认为政府你通过这样的方法来控制意大利的DNS,这对于我来说是不可接受的。这个也是可预测的,甚至可以预防的一种不良的后果,最后在2013年欧盟认为,通过了一项决策,这样的一种过滤都是不合法的,这样的话,意大利如果还要继续采取这样的过滤措施的话,欧盟就会采取相关的组织措施。其实这是一个非常尴尬的结局,现在全世界都知道意大利绝大多数的赌博者都不相信意大利政府,我想这对于政府的公信力也是一种摧毁。

再看一个土耳其的例子,土耳其在2016年发生了很多的变动,在那一年意大利的政府还采取了网络的过措施,主要是针对特定的社会问题,尤其是针对于卖淫相关问题,有趣的一点,政府并不要求所有公民都遵守这样的措施,这样你作为一个意大利的消费者,如果不想要这个过滤的措施,我希望能够访问这些服务的话,对于大家而言都非常震惊的一点,最终你就可以选择不使用这些过滤,事实上最后真正决绝过滤的人很少,这让大家很惊讶。充分展示了通过过去的历史经验告诉我们,如果我们对网络不进行一些控制的话,我们最终就需要考虑如何把各方结合在一起进行一个合作,这个事实上也可行。当各方利益不相合的时候,我们应当采取有效的措施,我们不能够仅仅去想人们在网上不能做什么,相反我们可以采取立法,出台政策的方式,但是如果大家真的想一定要做什么,他们通过网络可以做到特定事情,我们这些措施尽管最终面向全社会,但是也许并没有办法确保所有的人都能够严格遵守我们的规定。

最后,我们再看一下中国的例子,我到中国来用的是一台安卓手机,我发现如果我使用手机流量,我就可以使用Facebook,我可以使用Google、推特,可以在网上自由的冲浪,这是因为我的手机是自带VPN的,可以在中国使用相应的外网,这就意味着我所使用的数据流量,跟整个的万维网进行了沟通互联。我使用酒店的WiFi或者咖啡厅的WiFi,所有被屏蔽的网络我就使用不了了。我想有的时候这对我来说,这些不能够用的软件,比如Facebook在一定程度上也是对我来说是浪费时间的,因为我在Facebook上花的时间太多了,所以我想在这个层面上,这种屏蔽对我来说也许不是一件坏事,但是事实上国家的防火墙有些事情不允许国民做,比如说YouTube、Google搜索功能,也是没有办法使用的。对于各地政府来说,其实大家并没有办法去预测我到底想做什么,我需要什么,所以对于个体来说,如果我不能使用我的特定应用,比如说Google的话,我就没有办法确保我在这里的业务会增加,当然我也不希望违法。但是我想特定的法律规定,也许是有特定的目的才需制订的,对于我来说,我希望能够在中国,在不违法的情况下,都能够推动我自己公司的业务发展,这样我们就要想如何达到两全。

2011年美国发生了一个重大事件,SOPA,这是对于在线的防伪措施,其实整个措施建设了好几年最终成形,主要针对信息和数据而言的,这种措施主要是为了保证知识产权,保证各大品牌的安全。作为美国一家公司来说,他们所面临了一个挑战,可能是他们虽然花费了成千上万做一个电影,来验证一份成功,但是最后发现这个在网上被提前透露出去了,最终你可能发现你的票房数量下降,这就是因为有人盗版了你这个电影,美国国会决定采取措施解决这个问题。所有制作版权在还没有公布之前,都不能在网上任意一个地址公开出来,这也引起了一些讨论。

我们当时的论点是来自于地域,如果有人想违法,总是能找到定位,总能够找到这些电影的来源,而不是说以这个为理由禁止大家在网上做沟通和交流,屏蔽各方的沟通和交流。自那以后我一直持这样的观点,现在我们能够发现一些有趣的数字,我跟音乐界的人经常讨论这些问题,刚刚我们讨论的是电影,现在讨论一下音乐,对于整个音乐行业,大概有三分之一的听音乐的人都没有付费,都是听的盗版音乐,有三分之一人的确付过钱,比如他们购买了CD、MP3格式的文件,他们通过一定供应商的途径付钱买了这些音乐,另外还有三分之一的听音乐人,他们在不了解法律的条件下违反了法律,他们以为买了正版CD,但其实是盗版的,这三分之一的人是完全可以把他们改造为不违法的人群,我们可以通过一定方法,让他们真正购买到正版的CD。这就能达到一种双赢,最终真正会损失利益的是违法者,是侵权盗版者,其实很多人不希望侵权,不希望盗版。还有一些人找不到盗版的途径,比如说RSP可以对客户提供这些过滤的服务,这样的话就能够防止知识产权的盗版,大多数的美国终端用户都会选择使用这样的服务,因为他们并不希望与那些造假的网站打交道,比如说那些售卖盗版软件、音乐的网站。最终我们能够找到一个方法,在美国很好的去示范各方利益协调的一种力量,因为事实上各方的利益可以通过一个政策实现协调。

我要讲一下什么是SOPA,域名系统有三种不同的参与方,比如说大家的终端设备,你的手机、电脑、SPU,远端还有内容资源,这个就是三大类型,DNS的使用量达到了数十亿的用户,都是使用这三类不同的产品,虽然类别很少量很大。还有第四方,比如SOPA、各国的政府,政府的要求特定的事物不能够使用,必须要在DNS上进行过滤,这就会对整个的系统产生破坏,因为这对于这个系统而言是一种侵入,是一种干预,根据在DNS的协议当中并没有特定的说法说这是我们必须要做的,而相反这是法律规定的,这两种之间的冲突会产生矛盾。

政府所做的这些改变DNS内容的做法,最终与那些犯罪者做的做法,他们的这些非法做法,我们很难去区别两者之间的界限在哪位,对于DNS内容来说。从技术层面说,这些干预措施甚至完全不可能生效,但是我们可以以字面的方法来采取特定的措施,比如我设计了这么一个系统,通过特定的途径、安全的途径,比如说其他的企业,只要是特定的组织,我们设计出这样一种DNS过滤的系统,这个区别是你能够看到这些特征,你应该看到这些特性,所以我们能够清晰地看到我这些政府政策的具体内容是什么,也能够清晰地看到,它的透明度非常高。如果大家把这种视为一种服务,最终这些政策就能够生效。相反,如果大家没有办法把它看作成一种服务,作为终端用户大家根本不知道这些措施与那些违法措施的界限在哪,大家就不会选择采用这些措施。

所以,总得来说有三个选择,对于国家级的网络过滤来说,首先我们建立一个国家防火墙,但是这有可能会产生国内到国外的数据传输的一定影响,另外有可能会对流量的速度产生特定的影响,它户有一些上限,再一个会加大电量的使用,我们还需要出台特定的政策加以支持,最终会产生人力资源的问题,会有复杂性的问题,会有电力的问题,还有其他的经济上的负面影响。因为这就意味着整个国家使用网络,将不够快,有可能阻碍国家经济的发展。这种对于经济增长产生的负面影响有的时候是难以预估的。

第二个途径,使用路由体系,过去的路由体系都表现的非常好,我们使用这些体系来做转发,即便是没有DNS,但是传统的非DNS的路由器也能够使用DGC的政策和协议。这个是我在90年代的时候开发的,这是一种IP网络地址的体系,这样的一种做法其实可以在全国层面开展,而且它的速度非常快,但是所有的没有触及到的流量,最终都有可能流失,也会对经过产生影响。

第三个途径,我是这么做的,我们制订免费的不需要认证的DNS的特定系统,我这里并不是为了我自己的商业利益这么说的,虽然这是我自己设计的体系,但这是非常有效的。在政府层面政府能够颁布DNS政策,特定的域名不能够使用的,ISP可以加以注册,政府希望改变整个的环境,但是整个国家的网速并不会引起大规模的影响,否则就会导致无效的流量。

最后的两个措施,我想是不需要在途径这方面加以考量的,不会给整个国家的经济带来任何的负面影响,这是非常重要的一点,我们只是去把该停的给关停,不影响其他的部分,要知道绝大多数的人不希望违反,他们希望在遵守法律的情况下获得他们所需要的信息,我们希望去做相应的监测,我们只惩罚那些违法者。我们也应当传递这样的信息,包括政府层面也应当传递这样的信息,我们要对用户表现出足够多的信任,让他们来做出恰当的选择,我们应当使用政策的管控体系,来管控我们的各类资源。在网络过滤方面的规则设计,以及其他的规则掌控,包括路径以及所有的控制过程当中,不同的方式进行管控,包括国家防火墙和自己制订的黑洞政策,以及背后和其他的过滤方法。如果跟整个企业打交道,有的时候大家可能感兴趣,从政府的角度考虑,可能必须找到这些人,能够让他们自己对你的公司比较有吸引力,你必须要看到动态方面观察,进行相应的过滤,不管他装成什么样子,要把实质违反的信息过滤出去。

我自己创立了DNSPRPZ的相应过滤机制,能够在速度不受影响的角度下,提高我们的过滤效率。

谢谢大家的聆听。

来源:至顶网网络频道

0赞

好文章,需要你的鼓励

2017

11/28

11:13

分享

点赞

邮件订阅
白皮书