广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

一．引言

　　一谈到网络信息安全，许多人会首先想到防火墙，甚至认为只要使用了防火墙就可以满足所有的安全需求。事实上，防火墙的确是构建安全网络信息系统必不可少的，也是最重要的基础性网络安全产品！但作为一种访问控制类的安全产品，要解决用户所有的安全需要，防火墙还必须和防病毒系统、入侵检测系统、加密系统、认证系统等多种安全产品协同配合。

　　同时，要真正实现网络信息系统的安全，相关安全产品的简单集成和叠加也是不够的。因为让普通用户去面对这样一个复杂系统（由多种类型且各自为战的安全产品构建出来的系统），它的困境是可想而知的。在可管理性方面，由于用户需要分别对各个安全设备进行静态的手工配置和修改，要实现系统安全策略的统一性等等也都十分困难，而且手工配置的灵活性和时效性也很难令人满意，整个网络的安全性依然令人担心。

　　我们认为，真正的网络安全应该是一个综合的、动态的安全体系。它不但应是多种安全技术的有机集成和多种安全产品之间的动态联动，同时也是安全产品提供商和服务提供商之间的有机集成。

　　为了解决目前网络安全所存在的现实问题，真正满足网络安全综合性和动态性的要求，北京天融信公司依靠六年来防火墙研发的技术积累和对网络安全及用户需求的深刻理解，通过与安全业界众多优秀厂商的密切合作，推出了topsec网络安全体系平台。这一平台是天融信公司与业内众多合作伙伴在技术、产品和服务上密切合作的结晶，是真正满足网络安全综合性和动态性要求的解决方案。

二．topsec网络安全体系平台

　　topsec（taent open patform for secrity）网络安全体系平台是以天融信网络卫士（ngfw）系列防火墙产品为核心，以自主设计的topsec（taent open protoco for secrity）协议为基础框架，以pki/ca 体系为安全支撑和保障，与各类网络安全技术和优秀网络安全产品在技术上有机集成，实现安全产品之间的互通与联动，是一个统一的、可扩展的安全体系平台。

　　2.1 topsec网络安全体系平台构成


　　topsec网络安全体系平台的构成主要有三大部分：


融信网络卫士（ngfw）防火墙
网络卫士（ngfw）防火墙是topsec网络安全体系平台的核心，它不但能够提供市场上主流防火墙几乎所有的核心功能，并拥有极高的速率。天融信网络卫士防火墙是目前国产防火墙的第一品牌。

持大量的并发连接/协议还原/状态检测；
动态过滤/包过滤/代理；
地址转换（nat）/地址映射（map）；
……


opsec安全服务器（tss）
在网络卫士防火墙的外围是各类支持topsec协议的网络安全产品和系统，统称为topsec安全服务器（topsec secrity server，简称tss），主要有：入侵检测产品（ids）、防病毒产品、安全审计系统、认证系统、加密设备、pki/ca系统等。
topsec协议集
topsec协议集是天融信公司具有自主版权的协议体系，是ngfw防火墙系统与其外围的tss之间通信与联动的基础和前提。topsec协议集是由一系列子协议组成，这些子协议分别用于网络卫士防火墙与不同的tss进行通信与联动。

　　作为整个安全平台的核心，网络卫士防火墙通过topsec协议接口与外围的tss密切交互，使原本孤立的安全产品和系统与网络卫士防火墙有机联动和协同工作，构成一个完整的、积极防御的安全体系平台，实现了动态地、自适应地调整安全策略，通过配置动态规则实现动态过滤，从而大大提高了整个系统的安全性。

在实际的网络环境中，网络卫士ngfw防火墙和tss服务器的的逻辑连接关系如下图所示。


　　通常情况下，各种tss服务器都安装在网络卫士ngfw防火墙专有的ssn（安全服务器网络）中，由于ssn使用防火墙上一个独立的专用接口，从而可以通过网络卫士ngfw防火墙设备及相应的安全策略对ssn中的tss进行更好地保护，使整个系统的安全性大大提高。特殊情况下，tss由于实现其特定安全功能的需要不能工作在ssn中（如入侵检测系统需要安装在内部网或防火墙外的公共网络中），由于topsec体系中采用了高强度设备认证和通信加密机制来保障tss与ngfw防火墙之间通信的安全性，所以无论tss位于ssn中还是在ssn外，topsec体系的安全性都能得到保证。

　　2.2 topsec协议

　　topsec协议是由网络卫士防火墙（ngfw）用来与不同的tss进行联动的多个具体协议组成的协议集。


　　具体协议包括：

idbp（intrusion detection & blocking protoco）入侵检测与阻断协议
icsp（information check & screen protoco）信息检查与过滤协议
asi（authentication service interface）鉴别服务接口
tsi（trust service interface）信任服务接口
lep（log exporting protoco）日志输出协议
cgp（crypto gateway protoco）加密网关协议
hap（high availability protoco）高可用协议
rmp（remote management protoco）远程管理协议
xp（x protoco）有待扩展的协议
topsec协议集中不仅有天融信公司独立制定或与合作伙伴联合制定的开放的可扩展的协议接口，同时支持国际标准的网络安全和管理协议，主要有：pki系列协议和标准、radius协议、snmp协议、ldap协议等，这使得ngfw与更多的（包括国外的）第三方安全产品和设备实现有效联动成为可能。

　　idbp 入侵检测/阻断协议

　　idbp协议是用来实现ids（入侵检测系统）与ngfw有机联动的协议，以实现积极的入侵检测、阻断与防御功能。


　　如图所示，当ids在网络或主机上检测到黑客入侵行为后，通过idbp协议与ngfw进行通信，通知ngfw生成动态规则，以实现对入侵行为的控制和阻断。根据入侵的性质和危险级别的不同，ngfw可生成不同的具有一定时效性的动态规则，实现多种控制操作，如：报警、结束当前会话、阻断来自特定源的所有连接等；ngfw防火墙采取措施后，将处理结果反馈给ids。


icsp 信息检查过滤协议

　　icsp协议是用来实现ngfw与信息内容检查系统之间的有机联动。如图所示，当ngfw收到源主机发出的信息后，ngfw中的icsp客户端将信息缓存后通过icsp协议请求外围信息检查tss中的icsp服务器对信息进行检查处理；icsp服务器根据需要对信息进行字符匹配、修改或密级审查等操作，并将处理后的结果数据和响应信息发回给ngfw中的icsp客户端；icsp客户端根据响应信息的指示，将缓存信息与结果数据合并处理后发给目的主机或者将信息阻断/丢弃。

　　除以上同步检查模式外，icsp协议还可以支持异步检查模式，其主要特点是icsp客户端不需要对信息进行缓存，这种模式适应于特定的信息检查系统，且其效率较高。


通过icsp协议与ngfw有机联动的安全设备和系统较多，主要包括：

防病毒系统
检测病毒和恶意的java/activex小程序，也可对源文件进行必要修改，实现杀毒；对于未知或不明病毒，可禁止通过。由于在出口处进行统一的检查，为实现全网一致的病毒防范安全策略提供了可能。
信息审计类系统
对http、ftp、smtp/pop3等应用层协议的信息内容进行检查，电子交易监管与审计，以及对其他特定业务的审计。
url过滤系统
文件密级检查系统
cgp 加密网关协议

　　通过cgp协议，网络卫士ngfw防火墙可以根据统一的安全策略，将需要建立安全通道的数据包转发给vpn等网络层加密设备处理，实现ngfw防火墙与vpn设备之间的有机联动。
安全通道根据用户要求建立，有以下几种：

网关-网关
端用户-网关
端用户--端用户
相对于防火墙和vpn实现在同一设备上的情况，通过cgp实现的ngfw与vpn联动的系统，可以合理分担负载，使ngfw和vpn分别更专注更高效地进行访问控制和加密操作，保证fw效率和出口带宽。

　　asi 鉴别服务接口
　　通过asi（authentication service interface）鉴别服务接口，ngfw可以和多种身份鉴别系统进行有机联动。

　　在用户首先通过鉴别系统的身份鉴别后，鉴别系统通过asi通知ngfw防火墙生成动态的用户/组规则，以实现基于用户身份的过滤策略。

　　asi支持的鉴别系统有：

otp一次性口令鉴别系统（s/key）
radius/tacacs+
令牌卡
ldap/证书

　　通过asi实现鉴别系统与ngfw的联动，可以使ngfw与系统内其他安全设备及应用以相同的特征作为安全控制（身份鉴别）的依据，从而从基础上保证了整个系统安全策略的一致性。

　　lep 日志输出协议
　　lep是ngfw防火墙与日志服务器之间进行通信和联动的专用协议。通过lep协议ngfw可以实时地或将一段时间内累积的系统管理日志和运行日志倒出，由专用的日志服务器进行处理，提供给安全管理员进行查询并可以辅助进行系统安全分析。

　　lep协议不仅可以用来倒出ngfw防火墙系统的日志，同时对于支持lep协议的其他多种tss的系统日志，也可以通过lep协议倒出到日志服务器上进行处理、查询和安全性分析，从而可以动态地、及时地调整整个安全体系平台的安全策略。

　　由于日志数据的敏感性，从ngfw或其他tss到日志服务器的通信过程中，必须通过安全的ssl通道进行传送。

ap 高可用协议
　　hap协议主要是用于ngfw防火墙与ngfw防火墙之间，以及ngfw防火墙与其他支持topsec协议的其他防火墙之间进行联动，通过双机热备及负载均衡等方式提高系统的可用性。

　　主要实现途径是：通过hap协议实现ngfw防火墙系统运行侦测，并进行防火墙系统之间系统状态表同步。状态表内容包括：安全策略、安全规则（静态/动态）、当前连接以及其他业务/应用相关状态。

　　rmp 远程管理协议
　　rmp协议开放了ngfw防火墙系统的远程管理接口，通过rmp协议可以安全地远程访问ngfw防火墙系统的安全策略和安全规则（动态规则/静态规则），并进行相应的读取和修改操作。

　　通过rmp协议，更多的tss可以方便地与ngfw防火墙系统进行更深层次的联动。同时也支持其他合作伙伴oem网络卫士ngfw防火墙系统以及用户对管理界面的集成定制开发。

　　在rmp协议中提供了ngfw对snmp协议和fwmib的支持，同时在topsec安全体系平台中的各个tss都支持标准的snmp协议，从而通过统一基于snmp的网络安全管理平台，可以对topsec安全体系中的ngfw和各种tss进行集中管理和监控。

　　rmp协议通过高强度的ssl通道来保护其通信安全。

　　topsec的安全性--tsi 信任服务接口
　　topsec安全体系平台是以pki/ca 体系作为其自身安全的基石。而与pki/ca系统的联动则需要通过tsi信任服务接口来进行。

　　tsi信任服务接口支持与pki/ca体系相关的系列标准，主要有：pkcs、x.509、ldap、ocsp等国际标准和协议。通过tsi接口及其支持的这些标准协议，topsec安全体系平台中ngfw和各种tss可以与多家pki/ca厂商提供的pki/ca产品和服务进行联动。

　　通过tsi，整个topsec安全体系平台可以由pki/ca为体系内的各个组件设备发放设备证书，并使用这些设备证书在ngfw与各tss之间建立高强度ssl 安全通道，实现topsec网络安全体系统一的安全联动和管理 。

　　目前，作为天融信topsec安全体系平台合作伙伴之一的天威诚信电子商务服务有限公司，通过tsi接口为topsec平台提供的pki/ca服务及产品联动支持，可以实现自动的证书/信任服务，方便用户对设备证书的管理。

2.3 topsec网络安全体系的特点

　　通过topsec协议进行有机联动的ngfw防火墙系统和各种tss，以及作为安全保障的pki/ca系统，共同构成了topsec安全体系平台。

　　综合前述内容，不难发现topsec安全体系具有以下特点：

动态联动/互操作性：
各种安全产品与系统不再是各自为战的孤立设备，而是以网络卫士ngfw防火墙为核心，通过统一的topsec协议进行有机联动形成的一个动态的、完整的安全体系。
安全性：
安全产品不再是简单的叠加集成，而是有效地协同配合、优势互补，因而整个系统的安全性显然应该是"1+1>2"。
模块化/可伸缩性：
构成整个安全体系平台的各种安全功能，合理地分布在ngfw和各种tss上来实现，因而可以根据不同的安全需求和成本组合不同的功能模块，随时增减也便于系统规模的伸缩，同时，防火墙和tss都能更专注于其核心功能的实现与效率，进而使整个系统具有更好的综合功能。
高性能
经过研究分析和相关的测试证实，尽管在ngfw上实现topsec协议的所有接口需要一定的系统开销，但这对ngfw实现核心功能的性能影响很小。相反由于安全功能/任务的合理分发使各种安全设备更专注于核心功能的实现；同时通过ngfw调度多个tss 可同时并发处理同一数据，从而实现了从现有的串行处理到并行处理模式的转变。在对性能要求较高的网络环境下，还可通过hap 实现高可用性，也可配置ngfw 对tss 的响应超时，并根据需要实施宽松或严格的超时处理策略……由于采取以上措施，系统的整体性能明显提高。
开放性/可扩展性
topsec安全体系平台是一个开放的平台，可以实现与现有各种安全设备之间的互通与联动，对于新出现的安全技术和产品也保留了开放的扩展接口。
易用性/可管理性
由于topsec安全体系平台具有一定程度的智能性，通过ngfw与tss之间的有机联动，用户不必再手工地配置和调整每个安全设备上的安全策略和规则。同时，整个topsec安全体系平台可以通过统一的基于snmp的网络安全管理平台来进行集中管理和监控，具有更好的可管理性。
2.4 topsec安全体系平台的受益者

由于topsec安全体系平台具有以上几方面的突出特点，合作伙伴和最终用户都可从中获益。

　　作为合作伙伴，支持topsec可以提高其产品在市场上的竞争力，同时也能够提供最好的、满足用户安全需求的安全解决方案。

　　作为用户，选择topsec平台就等于选择了安全产业内专业厂商提供的最优秀的技术、产品和服务，以及他们之间的最佳组合。用户得到的不止是更好的产品，而且拥有更大的选择空间，从而获得更优质的安全服务。

　　三．结束语

　　众所周知，网络/信息安全不是绝对的、静止的、某一时刻的一种状态，而是相对的、动态的、发展的一个过程。而作为一种安全体系平台，topsec亦需要不断完善与发展。目前已经有包括启明星辰、北信源、复旦光华、天威诚信等多家优秀的安全厂商与天融信携手联动。我们期待有更多的安全专业厂商携起手来，共同构筑topsec网络安全体系平台，使它成为满足网络安全综合性、动态性要求的最佳解决方案。

（）