一

前言

ZTNA為以“網絡為中心”的傳統(tǒng)企業(yè)體系架構向以“身份為中心”的新型企業(yè)安全體系架構轉變，提供解決方案。隨著傳統(tǒng)網絡邊界不斷弱化，企業(yè)SaaS規(guī)?；找嬖龆?，給終端安全訪問接入創(chuàng)造了多元化的空間。其中BYOD辦公方式尤為突出，移動化辦公確實為個人提升了效率，為組織節(jié)省了成本；但是給業(yè)務系統(tǒng)的安全接入，業(yè)務處理及時響應上帶來了成本和挑戰(zhàn)。需要我們思考是否引入非傳統(tǒng)的技術點來解決用戶需求側的痛點，同時保障整體方案的穩(wěn)定性和可實踐性。

二

ZTNA實施過程中遇到了哪些問題

移動化辦公場景下，特別在高鐵，地下停車場等基站變更頻繁或弱網等場景下，傳統(tǒng)TCP應用接入模式下，會導致基于TCP創(chuàng)建的零信任通道在不斷地中斷，重新建鏈；導致業(yè)務訪問無法做到及時響應，體驗性很差。

ZTNA解決方案上特別提到了單包授權；而單包授權雖然解決了防火墻端口必須要默認打開的弊端；需要先敲門后授權，減少業(yè)務系統(tǒng)的網絡攻擊面。但是單包授權在應用過程中，還是存在需要改進的點：

●單包授權模式下，業(yè)務報文往往都會伴隨著有敲門報文；UDP敲門報文必須要鑒權成功，打開相應業(yè)務端口，業(yè)務報文才能具備有效性。往往實際落地過程中，由于中間轉發(fā)設備多路徑，以及QoS等問題，首個SYN包握手大概率失敗，增加了訪問時延。

●同時傳統(tǒng)單包敲門還有一個問題，就是無法解決nat網絡場景，導致敲門放大問題。帶來了網絡不確定性。而傳統(tǒng)模型下，只能借助縮小敲門有效時間來應對。

如何來解決上述問題，提升ZTNA解決方案的穩(wěn)定性？我們最終選用QUIC協(xié)議來保障。

三

QUIC是什么

QUIC(Quick UDP Internet Connection)最開始是由Google提出的一個基于UDP的傳輸協(xié)議，為了解決傳統(tǒng)tcp協(xié)議固 有的性能瓶頸，它是下一代互聯(lián)網協(xié)議HTTP/3的底層傳輸協(xié)議。除了應用于Web領域，它同樣適用于一些通用的需要低延遲、高吞吐特性的傳輸場景。IETF推進其標準化工作，2021 年，QUIC 協(xié)議的正式標準化版本 RFC9000 發(fā)布。

四

選型QUIC的優(yōu)勢體現(xiàn)點

1. 握手建鏈相比較傳統(tǒng)TCP更快

QUIC建鏈時間大約0~1 RTT，其在兩方面做了優(yōu)化：●傳輸層使用了UDP，相比TCP需要三次握手，減少了1個RTT延遲?！馫UIC底層使用tls1.3進行加密通信，相比tls1.1和tls1.2， 通過ClientHello和ServerHello的擴展進行密鑰交換，省去了1.2版本中KeyExchange的過程，又省去了一次握手。

2. 支持連接遷移

相比傳統(tǒng)的TCP使用5元組來區(qū)別一個連接，QUIC在握手階段隨機生成connection id，不在通過五元組來區(qū)分，這樣當網絡發(fā)生改變導致五元組發(fā)生變化后，依舊可以通過握手階段的connection id關聯(lián)連接。

3. 可插拔的擁塞控制

QUIC在應用層協(xié)議實現(xiàn)了Cubic、BBR、Reno等擁塞控制算法，用戶可以根據(jù)不同的網絡場景選擇合適的擁塞控制算法，也可以自己實現(xiàn)私有的擁塞控制算法。

4. 避免隊首阻塞的多路復用

QUIC 一個連接支持多個 stream，stream之間相互獨立，一個stream丟了一個packet，并不影響其他stream。

5. 解決弱網場景

● tcp重傳報文導致rtt無法準確計算?！?tcp擁塞控制在丟包場景會進行退讓，導致發(fā)生窗口減少，但丟包有可能是網絡狀況差，不一定是發(fā)生擁塞。

五

QUIC落地ZTNA場景下實踐效果

1. 確認通道穩(wěn)定性明顯提升

從上圖表面，當網絡發(fā)生切換后，零信任通道還是可以正常使用，不需要重新連接。

2. 確認訪問速度顯著提升

六

QUIC落地ZTNA場景下實踐效果

1. 相比較TCP服務側處理CPU偏高

相比于TCP的ack是在內核處理，QUIC的ack報文需要從內核提到用戶態(tài)處理，增加了額外的用戶態(tài)內核態(tài)切換和數(shù)據(jù)拷貝，并且QUIC的ack報文也是加密的，增加了tls加解密，所以cpu負載更高。

2. 運營商UDP流量限速

由于UDP無連接，中間設備無法進行連接跟蹤，當中間網絡帶寬瓶頸時，TCP有擁塞控制主動讓出帶寬，而UDP沒有擁塞控制，運營商中間設備會對UDP報文QoS限速丟包。

七

總結

技術本身均有其優(yōu)勢和劣勢，這個都是技術選型橫向比較中確實存在的。技術的落地關鍵點還是要來源于結合落地場景的分析，什么樣的場景或者需求驅動力下，采用哪種技術會更加穩(wěn)妥。例如在局域網辦公場景下，網絡環(huán)境趨于穩(wěn)定，選擇QUIC驅動力則不強，可以選用傳統(tǒng)TCP進行應用訪問建鏈即可。而我們整體ZTNA解決方案中，均具備靈活可配置，讓用戶在技術落地和用戶場景上找到最優(yōu)解。

審核編輯 黃宇