人民观察：基于Linux的防火墙不安全

Linux的版权风波引起一家中国网络安全厂商的思考

　　2003年3月 6日，美国的SCO公司，控告IBM公司盗用SCO拥有的Unix技术并擅自植入Linux内，要求赔偿10亿美元以上。5月14日，SCO继续扩 大法律行动，再次发函给全球1500家大企业，警告称，使用Linux的用户可能触犯法津。SCO公司近一步要求这些公司为每台的Linux服务器支付 699美元的使用许可费用。9月4日，一些大客户要求戴尔向他们做出保证，一旦SCO起诉他们使用戴尔安装了Linux产品的计算机时，戴尔应为他 们提供保护，戴尔明确拒绝说，不提供这样的保护。

　　在美国引发的Linux版权风波，引起了大洋彼岸的一家中国网络安全公司的密切关注。这家名为中网的公司，多年来一直关注Linux的发展 ，开发了不少基于Linux的软件，其中一部分还是安全产品，是我国主流的网络安全厂商之一。“使用Linux的用户可能触犯了法律”，让中网 公司的总经理万平国立刻放下所有的工作，把公司的法律顾问召来，详细研究讨论Linux有关的版权问题。

　　这一研究不要紧，研究结果却让中网公司捏了一把冷汗，SCO状告IBM的版权风波与我们无关，但Linux的版权许可证协议，却让很多的中国 厂商隐藏着诸多潜在的知识产权风险，同时使用这些中国厂商的Linux衍生产品的用户也存在被索赔及起诉的风险，不仅基于Linux的防火墙产 品不安全，而且我国大力推行的建立基于Linux的自主软件产业的提法也是完全不可行的。

　　天上掉下的Linux

　　很多人都知道， Linux是可以免费下载的，可以得到源代码，有很多好处。尤其是对中国这样的发展中国家，由于操作系统不能自主，一些 外国公司每年赚取大量的外汇，让我们一直耿耿于怀。忽然有一个功能强大的操作系统，是免费的，而且还可以得到源代码，无论是院士，还 是厂商，包括政府，几乎都是喜出望外。一时间， Linux成了中国软件产业的救星，中国兴起了Linux的热潮。Linux在政府采购中成为热点、亮 点和明星。

　　我们搞了几十年的自主的操作系统，没有结果，现在忽然从天上掉下了一个近乎完美的Linux，着实让我们高兴一阵子。连学习研究都来不 及，没有人去关心那个所谓的通用公共许可协议（General Public License，即GPL）。也因为国内软件产业的基础比较薄弱，很少有人能深入 地研究和学习LINUX源代码，基本上是拿来就用。这就是国内厂商为什么早期没有注意到Linux版权风险的原因。

　　通用公共许可（GPL）之迷

　　那个GPL协议到底是一个什么东西？GPL这个许可协议主要几个特点，包括免费使用，开放源代码，最重要的一点是版权留下（CopyLeft） 。只要不收钱，免费，可以下载，还可以得到源代码。版权留下就留下，有什么大不了？很多国人都这么想。这个观点，对最终用户是可以 的，对厂商就不行。

　　GPL从本质上是反版权的，但GPL反版权却是从承认版权开始的。GPL承认著作者的版权，但要求作者开放源代码，提供免费下载，让用户自 由地得到和使用。从这个意义上来讲，GPL是用户的天堂。GPL反版权实际上是反厂商，尤其反对厂商利用版权来赚取，从而达到用户免费 使用的目的。一个厂商利用 GPL许可的软件来开发自己特有的功能，再想申请版权来赚钱，就触犯了GPL协议，侵犯了原著作者的版权。所以，G PL是利用版权来反版权的。从这个意义上来讲，GPL是商业公司的地狱。

　　Linux采用的版权许可方式就是GPL通用公共许可协议。

　　基于Linux的防火墙不安全

　　利用Linux来再开发防火墙，大大缩短了我国网络安全技术与国外的差距。我国90%以上的防火墙厂商是利用Linux来再开发自己的防 火墙。我国政府明确规定，涉及到国家安全的网络，使用的网络安全产品必须采用国产自主的防火墙。以前国家强调可控，现在国家已经提出 和强调了发展“自主知识产权”的安全产品。如果没有GPL许可证限制，基于开放源码的操作系统是一个好的选择。但GPL协议让安全厂商完全 不能自主和可控。

　　 Linux采用GPL协议，因此，基于Linux的防火墙就不能自主。Linux的核心程序代码的版权归Linus和部分相关作者，Linux的防火墙软件也 是遵循GPL协议，其版权归相关作者。利用Linux和相关的防火墙软件的改造作品自动遵循GPL协议，否则，就侵犯了Linus和相关作者的版权。 基于Linux防火墙的厂商如果遵循GPL协议，就必须开放源代码，提供免费下载。这一点，对安全产业是不合适的。并不是GPL许可证不 好，也不是Linux不好，只是对安全产品不合适。而且GPL许可证上有一个“不保证”条款，谁愿意买一个“不保证”的产品？如果公开防火墙 产品的源代码，防火墙在国内就没有市场。没有用户会喜欢自己花钱买了一个防火墙，发现网上的源代码是公开的，有人可以免费下载。

　　Linux的防火墙不安全，至少政府不会买。尽管开放Linux源代码可以尽快发现漏洞，尽快把漏洞补上，但是政府对Linux还是不放心。因为 黑客不一定对某一个防火墙的源代码感兴趣，但一定对特定的政府部门和行业感兴趣。Linux防火墙的源代码给黑客天天研究的机会，总是不合 适。黑客尝试研究源代码，不断试图攻破政府网络，这不是一个安全的行为。俗话说得好，不怕贼偷就怕贼惦记。

　　有人会说，你开放源代码给我，我不开放源代码给你，这是最安全的。学习你的，但是不告诉你我怎么修改了，这样我会更安全。但Linux 的GPL条款，封杀了这种模式。这么做就侵犯了人家的版权。基于Linux来开发防火墙的做法，一不能自主，二不能可控，三版权方面还是有问 题。以前 “基于LINUX的自主知识产权的软件产品”的提法，现在被SCO一告，已经发现是完全不可能。

　　另外一种开放源码的选择FreeBSD

　　实际上，开放源码并非只有Linux一种选择，中网公司选择了 FreeBSD。除了FreeBSD的性能更好，更安全，更稳定之外，主要原因是FreeBSD使 用的BSD协议。BSD协议源于美国的 Berkeley大学，AT&T当时也状告BSD的研究人员侵犯了他们的UNIX版权。BSD的开发人员在长达十多年的官司 之后，清除了 Unix的代码。BSD的开发者对版权主张深恶痛绝，先从自己开刀，彻底放弃对用户的限制，只保留了要求用户承认他们的劳动成果 。

　　BSD许可证准许像中网这样的国内安全厂商，对FreeBSD进行裁剪、加固、安全、优化和再利用，可以公开也可以不公开新的产品的源代码 ，可以转为商业用途，总之，没有任何限制。因此，基于FreeBSD的防火墙更安全。

　　一个关于知识产权的新闻发布会

　　2003年9月12日，一个关于知识产权的新闻发布会在北京召开。中网公司的总经理万平国在北京宣布并公开声明，中网公司的防火墙等系列 安全产品，部分采用了基于BSD许可证的FreeBSD操作系统。根据BSD许可证协议，FreeBSD要求使用的用户认可他们的劳动成果。除了在程序中 用到 FreeBSD代码的地方保留了BSD的版权申明之外，中网公司还采用新闻发布会的形式来公开认可他们的劳动成果。中网公司特别强调，这是 一个尊重知识产权，按国际规则办事的新闻发布会。

　　中网公司同时还宣布，停止在基于GPL许可证的Linux上开发网络安全产品。中网安全产品放弃 Linux全面转向BSD。这是我国第一家安全厂商 为了避开GPL许可证的限制而停止使用Linux。万平国表示，中网公司不想承担潜在的风险，也不希望购买安全产品的用户承担潜在的风险。 如果采用了基于GPL许可证的Linux，厂商又不遵循GPL协议，厂商就侵犯了Linux的版权，用户成了购买盗版的产品，中网公司不会这么干。

　　中网公司放弃Linux转向FreeBSD，引起业界的广泛关注。