一

前言

ZTNA為以“網絡為中心”的傳統企業體系架構向以“身份為中心”的新型企業安全體系架構轉變，提供解決方案。隨著傳統網絡邊界不斷弱化，企業SaaS規模化日益增多，給終端安全訪問接入創造了多元化的空間。其中BYOD辦公方式尤為突出，移動化辦公確實為個人提升了效率，為組織節省了成本；但是給業務系統的安全接入，業務處理及時響應上帶來了成本和挑戰。需要我們思考是否引入非傳統的技術點來解決用戶需求側的痛點，同時保障整體方案的穩定性和可實踐性。

二

ZTNA實施過程中遇到了哪些問題

移動化辦公場景下，特別在高鐵，地下停車場等基站變更頻繁或弱網等場景下，傳統TCP應用接入模式下，會導致基于TCP創建的零信任通道在不斷地中斷，重新建鏈；導致業務訪問無法做到及時響應，體驗性很差。

ZTNA解決方案上特別提到了單包授權；而單包授權雖然解決了防火墻端口必須要默認打開的弊端；需要先敲門后授權，減少業務系統的網絡攻擊面。但是單包授權在應用過程中，還是存在需要改進的點：

●單包授權模式下，業務報文往往都會伴隨著有敲門報文；UDP敲門報文必須要鑒權成功，打開相應業務端口，業務報文才能具備有效性。往往實際落地過程中，由于中間轉發設備多路徑，以及QoS等問題，首個SYN包握手大概率失敗，增加了訪問時延。

●同時傳統單包敲門還有一個問題，就是無法解決nat網絡場景，導致敲門放大問題。帶來了網絡不確定性。而傳統模型下，只能借助縮小敲門有效時間來應對。

如何來解決上述問題，提升ZTNA解決方案的穩定性？我們最終選用QUIC協議來保障。

三

QUIC是什么

QUIC(Quick UDP Internet Connection)最開始是由Google提出的一個基于UDP的傳輸協議，為了解決傳統tcp協議固 有的性能瓶頸，它是下一代互聯網協議HTTP/3的底層傳輸協議。除了應用于Web領域，它同樣適用于一些通用的需要低延遲、高吞吐特性的傳輸場景。IETF推進其標準化工作，2021 年，QUIC 協議的正式標準化版本 RFC9000 發布。

四

選型QUIC的優勢體現點

1. 握手建鏈相比較傳統TCP更快

QUIC建鏈時間大約0~1 RTT，其在兩方面做了優化：●傳輸層使用了UDP，相比TCP需要三次握手，減少了1個RTT延遲。●QUIC底層使用tls1.3進行加密通信，相比tls1.1和tls1.2， 通過ClientHello和ServerHello的擴展進行密鑰交換，省去了1.2版本中KeyExchange的過程，又省去了一次握手。

2. 支持連接遷移

相比傳統的TCP使用5元組來區別一個連接，QUIC在握手階段隨機生成connection id，不在通過五元組來區分，這樣當網絡發生改變導致五元組發生變化后，依舊可以通過握手階段的connection id關聯連接。

3. 可插拔的擁塞控制

QUIC在應用層協議實現了Cubic、BBR、Reno等擁塞控制算法，用戶可以根據不同的網絡場景選擇合適的擁塞控制算法，也可以自己實現私有的擁塞控制算法。

4. 避免隊首阻塞的多路復用

QUIC 一個連接支持多個 stream，stream之間相互獨立，一個stream丟了一個packet，并不影響其他stream。

5. 解決弱網場景

● tcp重傳報文導致rtt無法準確計算。● tcp擁塞控制在丟包場景會進行退讓，導致發生窗口減少，但丟包有可能是網絡狀況差，不一定是發生擁塞。

五

QUIC落地ZTNA場景下實踐效果

1. 確認通道穩定性明顯提升

從上圖表面，當網絡發生切換后，零信任通道還是可以正常使用，不需要重新連接。

2. 確認訪問速度顯著提升

六

QUIC落地ZTNA場景下實踐效果

1. 相比較TCP服務側處理CPU偏高

相比于TCP的ack是在內核處理，QUIC的ack報文需要從內核提到用戶態處理，增加了額外的用戶態內核態切換和數據拷貝，并且QUIC的ack報文也是加密的，增加了tls加解密，所以cpu負載更高。

2. 運營商UDP流量限速

由于UDP無連接，中間設備無法進行連接跟蹤，當中間網絡帶寬瓶頸時，TCP有擁塞控制主動讓出帶寬，而UDP沒有擁塞控制，運營商中間設備會對UDP報文QoS限速丟包。

七

總結

技術本身均有其優勢和劣勢，這個都是技術選型橫向比較中確實存在的。技術的落地關鍵點還是要來源于結合落地場景的分析，什么樣的場景或者需求驅動力下，采用哪種技術會更加穩妥。例如在局域網辦公場景下，網絡環境趨于穩定，選擇QUIC驅動力則不強，可以選用傳統TCP進行應用訪問建鏈即可。而我們整體ZTNA解決方案中，均具備靈活可配置，讓用戶在技術落地和用戶場景上找到最優解。

審核編輯 黃宇