摘要 一些ISP把他们的IP网络圈起来，增加各种边界节点，利用围起来的“比特管道”提供一些增值服务，获取更高的利益，形成了所谓的“Walled Garden（‘带围墙的花园’或‘围墙花园’）”的商业模式。本文详细介绍了“围墙花园”的含义、典型类型以及“围墙花园”的规模和上“门”类型，并分析了对“围墙花园”模型的争论。

    1、引言

    与传统电信网络和广播电视网络坚持的严格控制和管理不同，互联网倡导的是一种建立在“自律”基础之上的“开放”、“平等”和“创新”，让人人都可以参与建设和发展的精神理念。在这一精神理念的指导下，互联网工程界提出了“端到端透明性”的核心设计理念（RFC3439），是互联网少有的、一直坚持的体系架构核心设计原则之一。所谓“端到端透明性”，就是在互联网的设计中，将与通信相关的部分（IP网络）与高层应用（端点）和下层传输技术分离，让网络最大限度地具有开放性。

    端到端透明性带来的互联网开放性，为后来互联网商用化的蓬勃发展起到了决定性的作用。但与此同时，互联网的商用化也给互联网的开放性带来了严峻的挑战，改变了互联网的体系架构，尤其是开放性。互联网的开放接口只是尽力而为的IP包转发服务，而不是高层业务和应用的接口，因此互联网服务提供商（ISP）只能提供所谓的“比特管道”业务，很难提供利润更高的高层业务和应用，导致大量ISP的倒闭、破产和兼并，使得纯粹意义上的ISP没有一个能够活下来。于是，另外一些ISP开始把他们的IP网络圈起来，增加各种边界节点（Middlebox，中间体），利用围起来的“比特管道”提供一些增值服务，获取更高的利益，形成了所谓的“Walled Garden（‘带围墙的花园’或‘围墙花园’）”的商业模式。

    2、“围墙花园”的含义

    “围墙花园”是与RFC3439所谓的完全开放的互联网模型相对而言的，指ISP把用户限制在一个特定的范围内，只允许用户访问指定的网站或相关服务，防止用户访问其他未被允许的内容和服务。当然，有的“围墙花园”也可能不阻止用户访问“围墙花园”外的网站和服务，只是给用户增加了访问难度。

    ISP建立“围墙花园”的原因有多种。有的是为了防止用户不适当地访问一些有害信息或网站，如1999年美国在线服务公司（AOL）少儿频道就建立了一个围墙花园，以防止孩子们访问一些不适宜的网站。但更重要和普遍的原因是ISP的商业利益：ISP希望将用户资源掌握在自己手中，引导用户访问自己或者合作伙伴的服务，减少或防止访问竞争对手和不能带来利益的服务。

    可以说，美国在线服务公司是“围墙花园”方案主要和最成功的实践者。据称85％的美国在线用户从未离开过AOL的网络，美国人花费在网上的40％时间都处在AOL圈定的“围墙花园”内。另外，在移动数据业务中，让手机这样的无线设备只能访问限制在一个范围内的网站，也是一种典型的“围墙花园”，如I-Mode模型，很多收费WAP业务也是这样的。当前，IPTV业务网的模型，下一代网络（NGN）以及运营商组建的多个“电信级”的IP网，也普遍采用的是这种模型。

    3、“围墙花园”的典型类型

    目前，实际运行的典型“围墙花园”的类型有：

    （1）基于终端的“围墙花园”：指在终端上限定终端用户可以访问的网站范围和服务形式，超过指定范围的网站和服务不能访问。这种方式一般可用作“绿色上网”，比如防止儿童访问不适宜的网站等。

    （2）基于门户网站的“围墙花园”：在这种方式下，用户通过门户网站可以很便捷地访问指定门户网站上的服务（ISP或者ISP合作者的服务）。但这种方式没有真正的围墙，用户实际上也能访问围墙外的其它服务，只是用户访问其它服务时会更加困难一些。

   （3）基于专网或虚拟专用网（VPN）的“围墙花园”：把提供服务的所有设备都放到一个（虚拟）专用网中，访问者通过远程接入VPN来接入到“围墙花园”中去，自由访问围墙内的所有服务。这种方式不但能限制访问范围，而且也能防范来自外部的攻击。

    （4）基于防火墙或网关的“围墙花园”：类似于基于VPN的围墙花园，主要区别在于这种方式只是把业务与应用服务器真正放在围墙内，把其它网络设备放在围墙外。用户可通过防火墙或网关，使用围墙内所提供的服务。

    （5）基于用户注册的“围墙花园”：只有注册的用户才能使用所保护的服务，非注册用户不能使用。一般基于一组或一类网络服务进行注册。该类“围墙花园”旨在提供应用层保护，用户、网络以及应用服务器都暴露在外界的安全威胁下。

    4、“围墙花园”的规模

    探讨“围墙花园”的规模，首先要看“围墙”上面是否需要开“门”（与外界互通），把“花园”与别的“围墙花园”或互联网连接起来。其次，如果需要开“门”，还需要看要开一个“门”还是多个“门”。如果“围墙花园”不需要对外开放“大门”（与外界分离），那么在“花园”中可以采用任何类型的编址方式，比如私有地址（RFC1918）、偷偷把别人的公有地址拿来私用（“公有地址私用”），甚至IPv6地址等。因为这时“围墙花园”不和外界发生关系，不存在编址冲突的可能性，因此想让“花园”做多大就可以做多大。

    但一般情况下，都需要让“围墙花园”与外界互联互通起来，这时花园的规模就会受到限制，就要仔细研究和规划了。因为规模很大的时候，与“花园”内部可以采用的IP编址方式以及“门”（NAT，网络地址翻译）的类型都存在很大的关系。当花园的规模小于RFC1918规定的大约1600万个IP地址时（10/8，192.168/16和172.16/12），内部不用再分级就可以全部使用平面化的私有地址，在“围墙”上使用传统的NAT就完全可以了。只是需要注意，要尽量避免NAT可能会出现单点性能瓶颈和故障。

    不分级的平面式内部编址，在“花园”规模很大，超过1600万时，采用RFC1918规定的全部私有地址也不够时，可以有两个办法来解决：

    （1）分级编址，多级传统NAT，这时需要注意多级NAT的穿越。

    （2）内部不分级，“公有地址私有”，但这需要使用“Twice NAT”和“Multihoming NAT”，并解决由此而带来的各种复杂问题。

    这两种技术方法都存在很多缺陷，迫不得已时推荐使用第一种。

    5、“围墙花园”上“门”的类型

    “围墙花园”一般都采用私有编址，都需要“门”，因此这个“门”一般都需要具有网络地址翻译的功能。RFC1631以及相关RFC定义的NAT/NAPT是一种将IP地址从一个编址域（如“围墙花园”）映射到另外一个编址域（如互联网）的方法。NAT最典型的应用是把RFC1918定义的私有IP地址映射与互联网所使用的公有IP地址做相互映射。从功能上看，主要有以下几种典型的NAT（RFC2663）：

    （1）传统NAT（Traditional NAT）

    在多数情况下，传统NAT允许位于围墙内部的主机（采用RFC1918地址）透明地访问围墙外部（互联网）的主机，把从围墙外部到围墙内部的访问作为一种特例，为事先选择好的特定内部主机做静态地址映射。围墙外部中主机的IP地址在围墙外部以及围墙内部中是惟一的和有效的，但围墙内部主机的IP地址只有在围墙内部中才是惟一的，在围墙外部中不一定有效。换言之，NAT不会向外部编址域通告内部网络的地址，但有可能向内部网络通告外部互联网的地址。围墙内部使用的地址一定不能与围墙外部的地址重叠，任何一个地址或是一个内部地址或外部地址，不能同时是内部和外部地址。传统NAT又包括基本NAT和NAPT两大类。

    （2）双向NAT（Bi-directional NAT，Two-WayNAT）

    当使用双向NAT（Bi-directional NAT或Two-Way NAT）时，可以从围墙内部向围墙外部发起会话请求，也可以从围墙外部向围墙内部发起会话请求。当在外出或进入任何一个方向上建立连接时，把围墙内部地址静态或动态绑定到全局惟一的地址上。这里假设位于围墙内部和外部网络之间的名字空间（FQDN，Fully Qualified Domain Names）是端到端惟一的，因为只有这样才能够使得位于外部编址域的主机利用域名系统（DNS）访问内部网络的主机。在双向NAT上必须部署DNS-ALG（DNS应用层网关，DNS-Application Level Gateway），以处理名字到地址的映射。当一个DNS包需要穿越围墙内部和外部网络编址域时，DNS-ALG必须能够将DNS查询和响应消息中的内部地址翻译成外部地址，或把外部地址翻译成内部地址。

    （3）两次NAT（Twice NAT）

    两次NAT是NAT的一个变种，它同时修改源和目的地址。这与前面的传统NAT和双向NAT（Bi Directional）都不同，前面的两种NAT只翻译源或者目的地址（端口）。两次NAT在围墙内部编址域和围墙外部编址域存在冲突时非常有用。典型例子之一是当一个“围墙花园”（不恰当地）使用已分配给其它机构的公开IP地址对其内部主机进行编址时（“公有地址私用”）；例子之二是当一个站点从一家运营商换到另外一家运营商，同时又希望（在内部）保留前一家运营商分配的地址时（而前一家运营商可能会在一段时间后将这些地址重新分配给其它人使用）。在这些情况下，非常关键的一点就是外部网络的主机可能会分配得到以前已分配给内部主机的同一地址。如果该地址碰巧出现在某个包中，则应该将它转发给内部主机，而不是通过NAT转发给外部编址域。两次NAT通过同时翻译IP包的源和目的地址，试图桥接这些编址域，解决了地址冲突的问题。

   （4）多宿主NAT（Multihomed NAT）

    使用NAT会带来很多问题（RFC2993）。比如，NAT设备要为经过它的会话维护状态信息，而一个会话的请求和响应必须通过同一NAT设备做路由，因此通常要求允许NAT“花园”边界路由器必须是惟一的，所有的IP包要么发起，要么终结在该域。但这种配置将NAT设备变成了可能的单点故障点。

    为了让一个内部网络能够在某个NAT链路故障的情况下，也可以保持与外部网络的连通性，通常希望围墙内部网络到相同或不同的ISP具有多条连接（多宿主的），希望经过相同或不同的NAT设备。又如，多个NAT设备或多条链路使用同一NAT，共享相同的NAT配置能够为相互之间提供故障备份。在这种情况下，有必要让备份NAT设备交换状态信息，以便当主NAT出现故障时，备份NAT能够担负起透明地保持会话的能力。

    6、“围墙还原”模型的争论

    关于“围墙花园”商业模型是否合理、合法的问题，围绕着“网络中立”和商业模式，业界存在很大的争议。但这种争论仍然基本属于电信界和互联网界的“理念”争议之一。从当前情况的发展看，这将是自互联网商用以来，电信业与互联网业的一次世纪性大搏弈，事关两大产业的利益格局，事关所有用户的切身利益。

    主张“花园”不能有“围墙”的主要来自互联网界，以“网络中立”的讨论为代表，认为网络是一种公共的基础设施，任何人都能平等地在网络上传输数据，ISP不得对网上的传输进行任何岐视性限制或收费。“网络中立”议案由美国消费者协会提出，获得Google，eBay等互联网公司力挺，遭到AT&T，Verizon为代表的运营商的反对。

    当前，美国主要运营商都在对线路进行扩容，为大规模上IPTV做准备，并在讨论是否要向内容提供商收取线路租用费以外的额外费用。而Google等互联网公司则认为不应额外收费，并试图以立法的形式确立“网络中立”的原则，从法律上堵住运营商额外收费的可能性。在运营商看来，Google等互联网公司利润丰厚，而运营商利润情况较差，在线路扩容上投资巨大，如不再收取额外的费用是不公平的。而Yahoo等互联网公司则认为，运营商已经收取线路费用，额外收费会导致阻碍创新，违反互联网开放、公平的原则，限制了互联网业务的发展，损害了消费者的利益。互联网界没有自己的网络基础设施，只能使用别人的，因此从他们自身的角度看坚持互联网不能有围墙的想法很正常。

    运营商与互联网公司的这种利益关系调整是全球性的。一旦“网络中立”在美国成立或者不成立，都会是全球性的定论，各国运营商和互联网公司都不会有再次选择的机会。无可否认的是：目前互联网产业链各环节之间缺乏有效的利益分配和协调机制。端到端的业务与承载分离使得网络基本成为透明的传输通道，业务实现与控制的权利和责任完全推向业务提供商和用户。这一方面使得业务提供商和用户承担了过多的责任；另一方面也导致业务的开发部署不需要ISP的参与，没有使ISP成为“利益攸关方”，打击了他们的投资积极性，因而很多与网络属性密切相关的业务无法顺利开展。这是导致互联网泡沫的主要原因，因此建立“适当”的围墙，以便让业务具有提供更高的服务质量，更好的安全服务和更合理的商业模式。但什么是“适当”的，则需要进一步的研究和实践。

    7、结束语

    由于互联网的应用目的发生了很大变化，而且“用户自律”的假设不再适用，因此未来互联网应对完全开放、没有“围墙”的体系架构做相应地修正和发展，以便在新的历史发展阶段适应新的应用需求。虽然未来互联网仍将坚持“端到端透明性”的体系架构，但应修建适当的“围墙”来满足一定的约束条件，即“有条件的端到端透明性”。在保证人人能够继续参与互联网发展和创新的前提下，网络中应内嵌一些对用户透明的管理和控制机制（即“围墙”），抑制用户的不自律行为，平衡产业链不同角色之间的职责和利益。