BSD与网络安全

最近几年来可以说是网络安全行业大发展的时期，由于越来越多的用户连接到公共网络上，越来越多的用户依赖公共网络提供的资源，这些用户总要保护自己内部信息的安全，必然需要各种网络安全设备、网络安全措施以及网络安全服务。

　　在网络安全领域中，BSD Unix毫无疑问占据了重要地位，很多网络安全设备就是基于BSD Unix构建的，例如Nokia等厂家的防火墙设备等。当然，网络安全设备操作系统也有采用其他操作系统的，例如Linux或者其他专用操作系统。大量的网络安全设备采用BSD Unix，是因为BSD Unix本身就具备了相当丰富的网络安全技术的基础，本身的灵活性、稳定性也都十分优秀。

　　1. BSD中的网络安全技术 网管联盟bitsCN_com

　　在BSD Unix本身，就包含了多种有效的网络安全技术，从代理服务器、网络地址转换、包过滤到数据加密等等。

由于代理服务器本身是一个应用层次上的技术，软件本身的可移植性是非常良好的。特别是很多代理服务器本身就是在Unix系统下开发的，因此，BSD Unix对他们的支持是自然而然的。BSD Unix下可以运行多种代理服务器软件，如著名的squid、fwtk等等。

　　毫无疑问，包过滤技术在BSD Unix中很早就应用了，网络地址转换也是最早在BSD Unix下实现的。当然，随着学习Linux内核的开发人员的不断增加，目前编写一个简单的包过滤软件并不困难，但一个全功能的、高度可靠和稳定的包过滤软件，仍然并不容易实现。在BSD Unix中应用的ipfilter，毫无疑问是功能最强大的、最为可靠的、支持平台最广泛的包过滤软件之一。除了ipfilter之外，还有FreeBSD下的ipfw/natd，在OpenBSD下还有pf，都能比较好的完成包过滤和地址转换的任务。

　　除了上述的防火墙技术之外，另一个比较重要的网络安全技术是VPN，目前VPN的核心是IPSEC，也有一些其他相关的协议，例如PPTP、L2TP等等，但这些协议通常只应用于特殊领域，例如L2TP主要用在ISP的接入方面。BSD Unix是最早支持IPSEC的系统之一，目前能够完善的支持这些协议，BSD Unix甚至还支持硬件的加密卡，以便加速IPSEC的加密解密处理。 网管bitscn_com

　　此外，攻击检测系统IDS目前也越来越重要了，但事实上现有的IDS系统都不是十分理想，特别是网络攻击检测系统，主要是由于网络性能方面的影响，使得IDS系统比较难于获得可能的网络攻击信息。在IDS系统中，一个重要的自由软件为snort，有关报道表明，snort在很多方面要优于很多商业的攻击检测系统。事实上，很多商业攻击检测系统就是基于snort进行的二次开发。

　　有一些用户在实际使用中，报告说snort在Linux下的性能要优于FreeBSD，由于性能对于IDS系统是至关重要的，因此他们就对BSD的网络性能提出了疑问。

　　为了解释这个问题，事实上需要了解snort的工作方式。作为一个应用程序，snort工作在用户模式下，所有的网络数据包需要从内核传递给snort，然后由snort执行分析。这个传递过程通常是通过libpcap库来完成的，由于这个库能够支持多种平台，因而snort就可以支持多种平台。

　　在Linux下，从内核向应用程序传递数据包是直接的，不进行任何判断，而在BSD Unix下，这通常是要通过一个BPF的过滤器来完成，这个过滤器能在内核中完成一定的分析判断，从而减少内核和应用程序的通信量，提高性能。然而，对于snort这样的系统，几乎将所有的数据包都传递到用户程序中进行处理，这样就导致没有利用BPF的功能，反而多了一道处理步骤。因此，真正发挥BSD Unix性能优势的IDS系统，应该将BPF的能力利用起来，这样在性能方面并不会差于，甚至要优于其他种类的系统。

网管u家u.bitsCN.com

　　当然，具体的网络性能还要受到包括网卡驱动的性能等多方面的影响。

　　2. BSD的可定制性

　　众多网络设备使用BSD的另一个原因是BSD Unix具备的高度可定制性。例如，可以将系统定制的比较小，以至于能运行在Flash中，这样就可以使得整个系统没有机械部件，减少机械故障的发生几率。

　　BSD Unix很早就具备了支持嵌入式系统的这些可定制版本，例如FreeBSD下的PicoBSD，用户可以非常简单的，通过菜单形式的定制，就可以生成可以放置在一个软盘中的BSD系统。最近，又出现了embedbsd、closedbsd等类似的嵌入式BSD系统，事实上，即便不使用这些系统，也可以很容易的定制出一个足够小，可以运行在Flash系统上的小BSD系统。

　　当然，虽然BSD Unix能够很容易的进行这些定制，但并不意味着BSD Unix完全进入嵌入式系统领域，目前，嵌入式系统的焦点位于PDA、机顶盒领域，这些领域中通常要求对GUI和用户程序的定制，已经有不少嵌入式Linux厂家在这些领域努力并开拓着。但对于更看重网络处理能力的网络安全设备而言，BSD Unix更受欢迎。