找准边界,吃定安全 | 梳理传统安全边界,筑牢防护第一基线


小区的保安=网络中的防火墙?

2035字讲懂传统安全边界

【找准边界,吃定安全】往期文章:

 云化下的新边界,东西南北流量该如何防护?

 高性能硬件防御问题难解?硬件加速引擎闪亮登场

 串联边界设备协同,便捷运营思维让安全更有效

相信很多人都有租房或者购房的经历,购房和租房之前的一个重要且枯燥的工作就是不断的走访潜在意向的小区,不知道各位读者在穿梭于不同小区大门的时候,有没有联想到网络中的边界?没错儿,网络中的边界的确可以和现实中的小区边界做类比。一般情况下,小区物业为了确保小区内部的业主的生命财产安全,会在小区门口设置一个保安亭,同时配备若干保安,以期通过检查进出车辆人员的合法性来满足小区业务对安全的诉求。而保安的角色,几乎完全等同于网络中防火墙的角色
很不幸,笔者曾经就恰好住过一个没有物业没有居委会的老破小社区,这个小区完全没有保安,整个社区的治安完全处于原始人时代,财物失窃或者公共设施被恶意破坏简直就是家常便饭。这就好比某个组织网络在一个“绕过防火墙成为脚本小子的必修课”的年代居然不在网络出口部署防火墙,那其网络安全的建设程度基本上可以理解为没有任何网络安全可言。
如果你租房或者买房的预算稍微丰富一些,可以找到那种门口有个看门大爷的小区,老大爷白天手持保温杯叼着旱烟枪安详的躺在摇椅中,用饱经风桑的眼神洞察着来来往往的车辆,针对一些明显和小区业主风格不符的人员会及时喊停并进行盘问,如果发现了可疑行为,则会通过对讲机呼叫治安支援。有的时候,我们的确会担心,这么一个老迈的大爷,真遇见点治安事件,能起到什么作用吗?事实上,当警察介入治安案件的调查时,一定会听取看门大爷的相关证词,说不定看门大爷在通过对人来人往的观察中,会有案件的蛛丝马迹的线索。这个看门大爷就好比网络中的防火墙,做着基础的规则检查,对身份不符的人员给予阻断通行,同时默默记录相关人员的日志,如果发生网络安全事件,其日志可便于网络管理员取证、溯源
针对一些高档的小区,其小区门口的保安是一个训练有素的团队,他们着装整齐,行动统一,眼神锐利,时时刻刻观察着周围的环境,一旦发现异常情况,立即予以处理。这类高级小区门口的小摊贩经常遭到无情的驱赶以至于业主半夜想吃碗馄饨还得驱车数公里寻找夜市摊。这类训练有素的保安团队,其实就好比是开启了入侵检测(IPS)功能的防火墙会对一切可疑的、不稳定的潜在因素予以发现并阻断
这些日子,疫情肆虐,小区门口又多了扫码测温的流程,通过比对体温、健康宝二维码、大数据行程码等特征值,试图将新冠病毒阻绝于小区之外,看似繁琐,也确实能够高效遏制新冠病毒的社区传播。在网络世界中,小区门口扫码测温就好比是开启了病毒防护(AV)功能的防火墙,通过流模式快速比对文件的特征值是否匹配病毒库的特征值,以期实现将病毒隔绝于网络之外的目的。
诚然,小区保安作为物理空间的安全基线,其专业素养确实可以给业主带来安全感。但是在选小区的时候,另一个需要考虑的因素则是小区的容积率。小区的容积率表示建筑面积和小区占地面积的比例,容积率越高,则意味着小区的住户居民越多。笔者小时候在生活在工厂大院,大院的职工过着极为规律的朝八晚六的生活,每天早上七点四十五分,工厂的上班号会准时吹响,此时生活区的大门口就会看到摩肩接踵的职工人群啃着包子步伐仓促的蜂拥而至对面的工厂,人群中不时还会有永久牌自行车摁着铃铛龟速穿行,整个场面好不热闹。让我们回到网络空间,随着数字化转型发展的进一步深化,组织内部的网络流量日益激增,这对网络出口设备的性能提出了苛刻要求。防火墙作为网络边界设备,不单纯要面临着对流量的转发处理,同时还需要做安全防护的业务,其性能压力可想而知。这就好比,在一个高容积率的小区里面,因为保安的苛刻检查(类比 IPS)以及严格的疫情防控(类比 AV),造成业主出行效率极低,肯定会受到业主的无限吐槽。事实上,在 UTM 时代,防火墙在开启 IPS\AV 等应用层防护之后,整体性能低至不可用,以至于江湖传言:UTM,样样通,样样松!故在 NGFW 时代,网络边界需要一台在开启安全防护之后还能保证高性能的防火
高性能一般对应着高效率,小区为了提升业主出行的效率,会采取人车分离的管理模式。在网络空间中,这种技术颇为常见,即对流量进行辨识,归类,不同特征的流量走不同的资源管道,从而保障和管理优化重要带宽,提高用户的网络体验和带宽资源利用率。
绝大多数的组织网络都具备若干条出口链路,这就好比某个小区周边具备多条地铁或者公交路线等公共交通资源。在现实空间,业主都会合理的选择出行线路,比如去北京前门需要坐地铁 2号线,去首都国际机场要坐机场专线,基本上没几个人会坐错地铁的。但是在网络空间中,如果没有合理的调度,去往部署在A运营商网络的视频流,有可能会从B运营商提供的出口上绕行。这时候就需要链路负载均衡技术,对于多 ISP 链路,系统利用实时链路监控技术和动态链路探测技术将流量合理分发到不同链路,缩小了各链路上的网络时延、抖动、丢包率,从而获得较为平衡的带宽利用率。
防火墙技术历经 30 多年的发展,形态虽然经历了包过滤、状态防火墙、UTM、NGFW 等多个形态,时至今日,传统的边界依然没有消失,防火墙在边界的作用,除了构建安全防护的基线之外,承载的内容也越来越多,其作用和价值不可替代。