原作者: 東軟NetEye Support Team
TCP/IP協(xié)議棧最初由美國DOD(Department of Defense)制定并予以實現(xiàn)。在當(dāng)時,DEC公司贏得了美國陸軍計算機(jī)網(wǎng)絡(luò)系統(tǒng)的訂單,而IBM和UNISYS則分別贏得了美國空軍和海軍的垂青。然而,無論在日常使用還是在作戰(zhàn)演習(xí)中,人們發(fā)現(xiàn)多種廠商的系統(tǒng)無法進(jìn)行成功的通信與協(xié)作。這是由于各廠商各自為戰(zhàn)、自立標(biāo)準(zhǔn)的后果,所以從一開始,這種不兼容性就是不可避免的。在這種情形下,美國政府為了保護(hù)先期的巨大投資和有效提高各單位的協(xié)作效率,DOD受命為當(dāng)時已存在的各個分離的網(wǎng)絡(luò)孤島制定一個通信規(guī)程,這便是TCP/IP協(xié)議誕生的由來。
由于TCP/IP協(xié)議從一開始就是為多廠商設(shè)備之間的協(xié)同通信而制定的,因此該協(xié)議棧充分考慮了實現(xiàn)簡易性和開放性,并且的確能夠提供當(dāng)時為數(shù)不多的幾種應(yīng)用服務(wù),如Email、FTP和Remote Logon,所以在隨后短短的十多年中,TCP/IP迅速的被各廠商宣布支持并廣泛應(yīng)用于當(dāng)時的網(wǎng)絡(luò)環(huán)境中,成功的取代了當(dāng)時主流協(xié)議如SNA、SPX/IPX、DECNET、APPLETALK等并最終成為業(yè)界事實上的工業(yè)標(biāo)準(zhǔn)。TCP/IP優(yōu)勢一直保持至今,并且將會在以后很長一段時間內(nèi)繼續(xù)存在。
按照經(jīng)典的OSI模型來看,整個協(xié)議應(yīng)該分成七層結(jié)構(gòu):
1.物理層;
2.鏈路層;
3.網(wǎng)絡(luò)層;
4.傳輸層;
5.會話層;
6.表示層;
7.應(yīng)用層。
從這個理論出發(fā),任何符合開放模型的協(xié)議都應(yīng)該可以按照一定的邏輯關(guān)系把自己分成多個部分并在上述七層結(jié)構(gòu)中找到自己的位置。TCP/IP協(xié)議棧也不例外。從字面上就可以看出,TCP/IP包括了兩個部分:TCP層和IP層,分別對應(yīng)于傳輸層和網(wǎng)絡(luò)層。其他的分層,如物理層和鏈路層有NIC硬件廠商提供;會話層、表示層和應(yīng)用層則由OS和實際應(yīng)用程序共同實現(xiàn)。正是這種層次化給TCP/IP帶來了良好的可擴(kuò)展性和多廠商、多層次的合作開發(fā)可能性和兼容性。
TCP/IP向上層提交服務(wù)的接口是標(biāo)準(zhǔn)化的,但是這種標(biāo)準(zhǔn)化是在功能模塊等級上進(jìn)行定義的,所以在函數(shù)級別上可能呈現(xiàn)出各種各樣的形態(tài),如不同的函數(shù)名、不同的形式參數(shù)等。為了支持第三方應(yīng)用程序進(jìn)行網(wǎng)絡(luò)通信或進(jìn)程之間的協(xié)作,操作系統(tǒng)往往會提供一個比較穩(wěn)定、標(biāo)準(zhǔn)的網(wǎng)絡(luò)編程接口,如BSD Socket、TLI和Winsocks等,軟件工程師一般會統(tǒng)稱為Sockets。
Sockets秉承了模塊化編程的精髓,將網(wǎng)絡(luò)通訊所涉及的各基本功能元素進(jìn)行了良好的隔離和封裝。這大大加速了各種網(wǎng)絡(luò)應(yīng)用的開發(fā)和使用,為今天豐富多彩的Internet經(jīng)濟(jì)奠定了堅實的軟件工程基礎(chǔ)。因此,目前很多網(wǎng)絡(luò)應(yīng)用程序都采用Sockets進(jìn)行網(wǎng)絡(luò)通信,如IE、Netscape Navigator、Outlook Express等網(wǎng)絡(luò)軟件! ockets之所以大量被采用,主要得益于以下幾個特點:
- 模塊化封裝設(shè)計,以系統(tǒng)調(diào)用形式出現(xiàn),保持同一操作平臺上的兼容性;
- 基本通信功能隱藏,由操作系統(tǒng)底層實現(xiàn),降低開發(fā)強(qiáng)度,減少重復(fù)勞動;
- 面向終端用戶設(shè)計,主要針對客戶應(yīng)用程序和輕量級服務(wù)進(jìn)程提供支持,所以存在著大量缺省參數(shù),調(diào)用簡單;
- 同時還可以滿足操作系統(tǒng)本地進(jìn)程間通信,是IPC的一種主要實現(xiàn)方式。
由于Sockets所提供的大量的優(yōu)點,所以造成了目前網(wǎng)絡(luò)通信軟件過于依賴于Sockets的局面。很多網(wǎng)絡(luò)設(shè)備,都通過簡單調(diào)用Sockets以使用操作系統(tǒng)內(nèi)部所實現(xiàn)的TCP/IP協(xié)議棧進(jìn)行網(wǎng)絡(luò)通信,雖然大幅度降低了開發(fā)強(qiáng)度,縮短開發(fā)周期,但是如此同時卻帶來了很多致命的缺點:
1.操作系統(tǒng)TCP/IP協(xié)議棧和原有的Sockets接口是面向客戶應(yīng)用程序和輕量級服務(wù)進(jìn)程所設(shè)計的,通過系統(tǒng)信號機(jī)制和內(nèi)存共享等方式完成數(shù)據(jù)傳遞和報文通知,存在著與操作系統(tǒng)調(diào)用過多的交互和依賴性,占用大量的系統(tǒng)資源,處理延遲很大,無法提供對大批量網(wǎng)絡(luò)信息的處理能力和快速響應(yīng)能力;
2.同時,操作系統(tǒng)自身的部分功能也依賴于TCP/IP及Sockets,因此操作系統(tǒng)所提供的TCP/IP及Sockets開放了很多周知的或者是暗藏的端口,難以抵御網(wǎng)絡(luò)掃描軟件的窺探;
3.隨著軟件源代碼的公開化和用戶對各操作系統(tǒng)越來越深的了解,各操作系統(tǒng)TCP/IP協(xié)議棧固有的很多漏洞逐漸暴露出來。大量的黑客工具都是利用此類漏洞進(jìn)行設(shè)計攻擊的,因此存在著系統(tǒng)本身的不安全性;
4.雖然IETF和RFC相關(guān)文件都對TCP/IP協(xié)議棧作了篇幅冗長的標(biāo)準(zhǔn)化和闡述,但是每個廠商在實現(xiàn)自己的TCP/IP協(xié)議棧的時候都不可避免的帶有一些獨有特色,這些微妙的不一致性成為黑客掃描工具的主要信息來源,極易造成系統(tǒng)信息外泄;
5.Sockets編程接口依賴于操作系統(tǒng)內(nèi)部對底層報文的校驗、重組、封裝等工作,上層應(yīng)用程序往往充當(dāng)一個被動的接受/發(fā)送者,因此無法對所處理的報文進(jìn)行靈活、有效的控制。這對一個尋常應(yīng)用程序而言是無所謂的,但是對于防火墻、路由器等網(wǎng)絡(luò)通信設(shè)備卻是很難接受的。尤其是防火墻設(shè)備,由于其安全防護(hù)業(yè)務(wù)的特殊性,這些設(shè)備往往會尋求一種“透明性”,即要在黑客入侵者面前保持最大程度的“隱蔽性”并盡量維持原有網(wǎng)絡(luò)拓?fù)洳蛔。Sockets會造成信息流在較低層次上的“中斷”和“二次連接”現(xiàn)象,難以實現(xiàn)設(shè)備所追求的“透明性”,因此Sockets不適合防火墻、路由器等設(shè)備的開發(fā)。
出于對上述種種原因的充分考慮,東軟公司NetEye研發(fā)隊伍摒棄了業(yè)內(nèi)已有的各種TCP/IP協(xié)議棧,一改國內(nèi)防火墻行業(yè)陳舊的Sockets編程方式,投入了巨大的人力物力,嚴(yán)格按照國際標(biāo)準(zhǔn)重新設(shè)計、實現(xiàn)了全新的一整套TCP/IP協(xié)議棧,給網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來了一股煥然一新的技術(shù)思路。這,便是NetEye Platform專用TCP/IP協(xié)議棧,為NetEye最終用戶帶來了以下好處:
- NetEye專用TCP/IP協(xié)議棧面向網(wǎng)絡(luò)高速通信專門設(shè)計,重新設(shè)計各功能模塊的內(nèi)部代碼實現(xiàn)及接口調(diào)用方式,廢止了舊式TCP/IP協(xié)議棧的不合理、不必要的冗枝繁節(jié),直接覆蓋從低層到高層的各部分功能,采用獨有的報文處理、數(shù)據(jù)傳遞技術(shù),有力保證了信息流的線速轉(zhuǎn)發(fā)能力;
- NetEye專用TCP/IP協(xié)議棧消除了舊式TCP/IP協(xié)議棧對底層通信流的“中斷”和“二次連接”現(xiàn)象,實現(xiàn)了防火墻設(shè)備在網(wǎng)絡(luò)拓?fù)渲凶畲蟪潭鹊摹巴该餍浴保?/p>
- NetEye Platform保持對其專用協(xié)議棧技術(shù)細(xì)節(jié)的保密性,避免系統(tǒng)漏洞的外泄;
- NetEye Platform不向業(yè)務(wù)網(wǎng)段開放任何服務(wù)端口,對各種掃描和其他服務(wù)請求采用沉默方式,消除了系統(tǒng)服務(wù)被掃描的可能性;
- NetEye專用TCP/IP協(xié)議棧對各層協(xié)議的交互流程進(jìn)行了全面、慎重的設(shè)計,每字段、每比特的取值都嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行,避免產(chǎn)生任何“指紋”特征,在網(wǎng)絡(luò)通信的底層實現(xiàn)了對網(wǎng)絡(luò)掃描的抵御能力;
- NetEye流過濾技術(shù)是NetEye防火墻最亮麗的特色,但是通常TCP/IP協(xié)議棧無法滿足該技術(shù)對性能和功能的要求。NetEye專用TCP/IP協(xié)議棧經(jīng)過精心設(shè)計和整合,能夠全面支持NetEye流過濾技術(shù),保證NetEye流過濾對“包過濾線速處理速度”和“應(yīng)用級代理訪問控制力度”完美組合的實現(xiàn)。
NetEye防火墻擁有業(yè)界出色的線速處理能力和突出的訪問控制力度,能夠在路由模式和交換模式下實現(xiàn)對企業(yè)網(wǎng)絡(luò)良好的防攻擊服務(wù),是國內(nèi)新一代防火墻之翹楚。這一切成就,在很大程度上可以歸功于NetEye專用TCP/IP協(xié)議棧對NetEye Platform和NetEye“流過濾”技術(shù)強(qiáng)有力的支持。經(jīng)過對NetEye用戶數(shù)年來使用情況的跟蹤反饋,NetEye專用TCP/IP協(xié)議棧已被證明是業(yè)內(nèi)最出色的網(wǎng)絡(luò)通信協(xié)議棧之一,為NetEye網(wǎng)絡(luò)安全產(chǎn)品取得今天如此輝煌的成就奠定了堅實的基礎(chǔ)支撐。
摘自《通訊世界》