最近幾年來可以說是網(wǎng)絡(luò)安全行業(yè)大發(fā)展的時(shí)期，由于越來越多的用戶連接到公共網(wǎng)絡(luò)上，越來越多的用戶依賴公共網(wǎng)絡(luò)提供的資源，這些用戶總要保護(hù)自己內(nèi)部信息的安全，必然需要各種網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)安全措施以及網(wǎng)絡(luò)安全服務(wù)。
在網(wǎng)絡(luò)安全領(lǐng)域中，BSD Unix毫無疑問占據(jù)了重要地位，很多網(wǎng)絡(luò)安全設(shè)備就是基于BSD Unix構(gòu)建的，例如Nokia等廠家的防火墻設(shè)備等。當(dāng)然，網(wǎng)絡(luò)安全設(shè)備操作系統(tǒng)也有采用其他操作系統(tǒng)的，例如Linux或者其他專用操作系統(tǒng)。大量的網(wǎng)絡(luò)安全設(shè)備采用BSD Unix，是因?yàn)锽SD Unix本身就具備了相當(dāng)豐富的網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)，本身的靈活性、穩(wěn)定性也都十分優(yōu)秀。
1. BSD中的網(wǎng)絡(luò)安全技術(shù)
在BSD Unix本身，就包含了多種有效的網(wǎng)絡(luò)安全技術(shù)，從代理服務(wù)器、網(wǎng)絡(luò)地址轉(zhuǎn)換、包過濾到數(shù)據(jù)加密等等。
由于代理服務(wù)器本身是一個(gè)應(yīng)用層次上的技術(shù)，軟件本身的可移植性是非常良好的。特別是很多代理服務(wù)器本身就是在Unix系統(tǒng)下開發(fā)的，因此，BSD Unix對他們的支持是自然而然的。BSD Unix下可以運(yùn)行多種代理服務(wù)器軟件，如著名的squid、fwtk等等。
毫無疑問，包過濾技術(shù)在BSD Unix中很早就應(yīng)用了，網(wǎng)絡(luò)地址轉(zhuǎn)換也是最早在BSD Unix下實(shí)現(xiàn)的。當(dāng)然，隨著學(xué)習(xí)Linux內(nèi)核的開發(fā)人員的不斷增加，目前編寫一個(gè)簡單的包過濾軟件并不困難，但一個(gè)全功能的、高度可靠和穩(wěn)定的包過濾軟件，仍然并不容易實(shí)現(xiàn)。在BSD Unix中應(yīng)用的ipfilter，毫無疑問是功能最強(qiáng)大的、最為可靠的、支持平臺(tái)最廣泛的包過濾軟件之一。除了ipfilter之外，還有FreeBSD下的ipfw/natd，在OpenBSD下還有pf，都能比較好的完成包過濾和地址轉(zhuǎn)換的任務(wù)。
除了上述的防火墻技術(shù)之外，另一個(gè)比較重要的網(wǎng)絡(luò)安全技術(shù)是VPN，目前VPN的核心是IPSEC，也有一些其他相關(guān)的協(xié)議，例如PPTP、L2TP等等，但這些協(xié)議通常只應(yīng)用于特殊領(lǐng)域，例如L2TP主要用在ISP的接入方面。BSD Unix是最早支持IPSEC的系統(tǒng)之一，目前能夠完善的支持這些協(xié)議，BSD Unix甚至還支持硬件的加密卡，以便加速IPSEC的加密解密處理。
此外，攻擊檢測系統(tǒng)IDS目前也越來越重要了，但事實(shí)上現(xiàn)有的IDS系統(tǒng)都不是十分理想，特別是網(wǎng)絡(luò)攻擊檢測系統(tǒng)，主要是由于網(wǎng)絡(luò)性能方面的影響，使得IDS系統(tǒng)比較難于獲得可能的網(wǎng)絡(luò)攻擊信息。在IDS系統(tǒng)中，一個(gè)重要的自由軟件為snort，有關(guān)報(bào)道表明，snort在很多方面要優(yōu)于很多商業(yè)的攻擊檢測系統(tǒng)。事實(shí)上，很多商業(yè)攻擊檢測系統(tǒng)就是基于snort進(jìn)行的二次開發(fā)。
有一些用戶在實(shí)際使用中，報(bào)告說snort在Linux下的性能要優(yōu)于FreeBSD，由于性能對于IDS系統(tǒng)是至關(guān)重要的，因此他們就對BSD的網(wǎng)絡(luò)性能提出了疑問。
為了解釋這個(gè)問題，事實(shí)上需要了解snort的工作方式。作為一個(gè)應(yīng)用程序，snort工作在用戶模式下，所有的網(wǎng)絡(luò)數(shù)據(jù)包需要從內(nèi)核傳遞給snort，然后由snort執(zhí)行分析。這個(gè)傳遞過程通常是通過libpcap庫來完成的，由于這個(gè)庫能夠支持多種平臺(tái)，因而snort就可以支持多種平臺(tái)。
在Linux下，從內(nèi)核向應(yīng)用程序傳遞數(shù)據(jù)包是直接的，不進(jìn)行任何判斷，而在BSD Unix下，這通常是要通過一個(gè)BPF的過濾器來完成，這個(gè)過濾器能在內(nèi)核中完成一定的分析判斷，從而減少內(nèi)核和應(yīng)用程序的通信量，提高性能。然而，對于snort這樣的系統(tǒng)，幾乎將所有的數(shù)據(jù)包都傳遞到用戶程序中進(jìn)行處理，這樣就導(dǎo)致沒有利用BPF的功能，反而多了一道處理步驟。因此，真正發(fā)揮BSD Unix性能優(yōu)勢的IDS系統(tǒng)，應(yīng)該將BPF的能力利用起來，這樣在性能方面并不會(huì)差于，甚至要優(yōu)于其他種類的系統(tǒng)。
當(dāng)然，具體的網(wǎng)絡(luò)性能還要受到包括網(wǎng)卡驅(qū)動(dòng)的性能等多方面的影響。
2. BSD的可定制性
眾多網(wǎng)絡(luò)設(shè)備使用BSD的另一個(gè)原因是BSD Unix具備的高度可定制性。例如，可以將系統(tǒng)定制的比較小，以至于能運(yùn)行在Flash中，這樣就可以使得整個(gè)系統(tǒng)沒有機(jī)械部件，減少機(jī)械故障的發(fā)生幾率。
BSD Unix很早就具備了支持嵌入式系統(tǒng)的這些可定制版本，例如FreeBSD下的PicoBSD，用戶可以非常簡單的，通過菜單形式的定制，就可以生成可以放置在一個(gè)軟盤中的BSD系統(tǒng)。最近，又出現(xiàn)了embedbsd、closedbsd等類似的嵌入式BSD系統(tǒng)，事實(shí)上，即便不使用這些系統(tǒng)，也可以很容易的定制出一個(gè)足夠小，可以運(yùn)行在Flash系統(tǒng)上的小BSD系統(tǒng)。
當(dāng)然，雖然BSD Unix能夠很容易的進(jìn)行這些定制，但并不意味著BSD Unix完全進(jìn)入嵌入式系統(tǒng)領(lǐng)域，目前，嵌入式系統(tǒng)的焦點(diǎn)位于PDA、機(jī)頂盒領(lǐng)域，這些領(lǐng)域中通常要求對GUI和用戶程序的定制，已經(jīng)有不少嵌入式Linux廠家在這些領(lǐng)域努力并開拓著。但對于更看重網(wǎng)絡(luò)處理能力的網(wǎng)絡(luò)安全設(shè)備而言，BSD Unix更受歡迎。
3. BSD的許可
對于商業(yè)網(wǎng)絡(luò)安全廠商而言，采用BSD Unix還有一個(gè)重要的因素，就是許可權(quán)因素。
雖然，BSD Unix和Linux等系統(tǒng)下，已經(jīng)包括了很多這些豐富的網(wǎng)絡(luò)安全功能，但是如果一個(gè)安全廠商只是簡單的應(yīng)用這些功能，那么他對于其他廠商而言有什么優(yōu)勢呢？而且作為自由軟件和通用軟件，這些網(wǎng)絡(luò)安全功能通常考慮是軟件本身的結(jié)構(gòu)、可移植性等等，并沒有極端追求某種性能，也可能缺乏一些比較少用的安全功能。因此，比較好的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商，應(yīng)該提供對系統(tǒng)進(jìn)行比較多的開發(fā)和定制，甚至重新開發(fā)相關(guān)軟件，或者設(shè)計(jì)一些特殊的加速處理硬件，并在自己的系統(tǒng)進(jìn)行支持。
然而，按照Linux使用的GPL許可權(quán)，這些相關(guān)的改動(dòng)應(yīng)該公布出去。事實(shí)上，很少有廠家這么做，這可能有兩種不同的原因，一個(gè)是他們本來就沒有進(jìn)行什么有意義的開發(fā)，只不過進(jìn)行了一些簡單的定制，將系統(tǒng)裝到了工控機(jī)系統(tǒng)中而已，另一種可能就是他們進(jìn)行了開發(fā)，但不愿意公布，那么事實(shí)上他們違反了GPL。
這樣一來，使用BSD Unix的廠商更為誠實(shí)一些，因?yàn)锽SD許可權(quán)并沒有強(qiáng)制商業(yè)廠商一定要公布他們自己修改系統(tǒng)的代碼。這樣的廠商，應(yīng)該是比另一類廠商更值得信賴吧！
4.基于硬件和軟件的網(wǎng)絡(luò)安全設(shè)備
從前面的討論，我們可以看出，如果沒有一些特殊的優(yōu)化和功能性的改進(jìn)，一個(gè)基于BSD或Linux的網(wǎng)絡(luò)安全設(shè)備是非常容易實(shí)現(xiàn)的，因?yàn)榛镜墓δ埽珺SD或Linux系統(tǒng)本身已經(jīng)完全具備了，廠商所需要的開發(fā)任務(wù)也就是對系統(tǒng)的定制，和管理界面的開發(fā)等相對簡單的任務(wù)。這也就是最近兩年來，國內(nèi)出現(xiàn)了無數(shù)家網(wǎng)絡(luò)安全設(shè)備提供商的原因。
這么多網(wǎng)絡(luò)安全設(shè)備提供商，就使得網(wǎng)絡(luò)安全市場非常混亂，最終用戶很難搞清楚一個(gè)廠商是對系統(tǒng)進(jìn)行了特殊開發(fā)，提供了必要的安全功能，還是只是聲稱進(jìn)行了特殊開發(fā)，其實(shí)系統(tǒng)內(nèi)核仍然只是BSD或Linux。因?yàn)槭欠襁M(jìn)行特殊開發(fā)對于用戶來講是不可見的，但對于廠商來講，必然涉及重要的成本投入，影響設(shè)備的最終價(jià)格。這個(gè)時(shí)候，用戶也只好將分析判斷的能力交給品牌等其他的因素，就個(gè)人的意見而言，國內(nèi)的一些所謂知名網(wǎng)絡(luò)安全品牌，也沒有做什么特殊的開發(fā)。
當(dāng)然，進(jìn)行過特殊開發(fā)的網(wǎng)絡(luò)安全設(shè)備，在一些安全指標(biāo)上還是會(huì)顯著的優(yōu)勢的。例如抗DOS攻擊能力，一個(gè)普通的系統(tǒng)，大約十幾兆的syn flooding攻擊包就可以將系統(tǒng)完全癱瘓，但具備這個(gè)防護(hù)能力的安全系統(tǒng)就會(huì)仍然正常運(yùn)行，更優(yōu)秀的安全系統(tǒng)還會(huì)保護(hù)正常連接的正常通信。如果一個(gè)安全設(shè)備具備了這些特殊的安全特性，用戶花費(fèi)幾萬、十幾萬的費(fèi)用去采購這樣的一個(gè)設(shè)備還是物有所值的，否則，如果只是獲得的一個(gè)簡單定制過的BSD/Linux系統(tǒng)，作為一個(gè)網(wǎng)絡(luò)安全行業(yè)的旁觀者，說實(shí)話，對此感到特別的悲哀。
當(dāng)然，雖然進(jìn)行特殊的開發(fā)能夠增強(qiáng)網(wǎng)絡(luò)安全，從另一方面來講，更多的低端市場并不需要這些高級(jí)功能，很可能一些基礎(chǔ)的防火墻功能就足夠了，這樣的話，簡單定制過的BSD/Linux系統(tǒng)，也是可以滿足低端用戶的需要的。
但是，雖然相關(guān)的安全指標(biāo)還有不少，遺憾的是，用戶很難獲得權(quán)威的第三方中立評(píng)測機(jī)構(gòu)對不同系統(tǒng)的評(píng)測，將市場正確的劃分為高中低端，指導(dǎo)用戶對安全設(shè)備的采購。這就使得目前市場如此的混亂，用戶無法進(jìn)行正確的判斷。
既然很多低端設(shè)備本身就是一個(gè)簡單的BSD或Linux，那為何還要迷信硬件安全設(shè)備呢？在國外，軟件形式已經(jīng)開始成為低端網(wǎng)絡(luò)安全市場中非常重要的一部分，很多Linux廠商都發(fā)行了安全系統(tǒng)軟件，包括標(biāo)準(zhǔn)的操作系統(tǒng)和安全相關(guān)的管理界面，以及預(yù)先定制好的安全策略等等，用戶只需要簡單安裝，就可以在普通服務(wù)器系統(tǒng)中實(shí)現(xiàn)一個(gè)基本的網(wǎng)絡(luò)安全設(shè)備，這樣的系統(tǒng)并不次于所謂的硬件設(shè)備，而且要靈活的多，用戶也比較容易承擔(dān)和實(shí)施。但是考慮到國內(nèi)的實(shí)際情況，國內(nèi)IT決策人員對硬件設(shè)備存在一種近乎迷信的信任，總認(rèn)為硬件設(shè)備要比軟件強(qiáng)，這樣就導(dǎo)致例如checkpoint這樣在國外只做軟件的公司，在國內(nèi)竟然也做硬件設(shè)備起來了，此外，安全廠商也存在盜版的顧慮，寧愿開發(fā)硬件版本，因此這種低端市場軟件化的進(jìn)程會(huì)比國外要慢得多，但它顯然也是網(wǎng)絡(luò)安全市場的低端領(lǐng)域的一個(gè)重要發(fā)展方向。
5.網(wǎng)絡(luò)安全服務(wù)

使用網(wǎng)絡(luò)安全設(shè)備的好處是比較簡單，只需要將設(shè)備連接上，簡單配置之后，就可以實(shí)施相應(yīng)的網(wǎng)絡(luò)安全策略。
但是，這些基于網(wǎng)絡(luò)安全設(shè)備的安全策略，實(shí)質(zhì)上是比較簡單的，用戶的網(wǎng)絡(luò)狀況多種多樣，具體的安全需求也多種多樣，這就導(dǎo)致真正的網(wǎng)絡(luò)安全策略是比較復(fù)雜的，需要有網(wǎng)絡(luò)安全方面的專家根據(jù)具體的需求量身定做，這就給安全服務(wù)提供了生存空間。
事實(shí)上，很多廠商轉(zhuǎn)向網(wǎng)絡(luò)安全服務(wù)也是不得已的行為，因?yàn)锽SD和Linux的出現(xiàn)，使得網(wǎng)絡(luò)安全設(shè)備的門檻極度降低，這么多安全設(shè)備廠商，又沒有比較權(quán)威的評(píng)測，這么混亂的狀態(tài)，就使得一些廠商轉(zhuǎn)而去提供安全服務(wù)，提供網(wǎng)絡(luò)安全評(píng)估、分析并提出建議，甚至幫助進(jìn)行系統(tǒng)實(shí)施等等。
事實(shí)上，網(wǎng)絡(luò)安全服務(wù)對于真正需要實(shí)施網(wǎng)絡(luò)安全的網(wǎng)絡(luò)系統(tǒng)而言，是十分必要的，這就體現(xiàn)了個(gè)性化的安全需求。但是對于大部分普通用戶，如果沒有那么高的安全需求，也許低端的網(wǎng)絡(luò)安全設(shè)備或安全軟件就已經(jīng)能夠滿足需要了。