信息中心
網改要重視網絡安全及解決方案
網絡改造對企業的網絡來說是一個契機,我們應重視安全建設升級及新安全問題的防范。
在過去的中小型企業的網絡建設時,可能出于成本問題或網絡安全的重要性不那么強烈而對企業網的網絡安全建設的缺失或不足。現在企業成長了,企業網也跟著成長,網絡安全也要跟著成長。如今網絡黑客、網絡病毒、間諜軟件層出不窮,企業網絡如何才能有“一個免疫的身體”不至于遭到安全損失。網絡改造的契機,我們要重視網絡安全,我們要了解現在我們可以用什么樣的設備來調整、升級我們的網絡,在以下方面建立起網絡的安全體系。
網關型防火墻
企業網安全的主要部分就是內外網分界處的安全,也就是在企業網上網的同時,如何能保障企業網的內網安全。在企業初建時期,由于成本問題,可能無法在這個分界處放置路由器和防火墻設備,可能是外線的接入經過接入設備后就直接接到內網的交換機,如從ADSL MODEM就直接接入交換機,這樣的網絡拓撲沒有任何安全可言。但現在這種情況已經改變,近幾年順應寬帶的興起,也紛紛出現了寬帶路由器等寬帶網關設備。
現在企業接入廣域網或者說互聯網的方式已經與過去很不同,也就是我們常說的“寬帶接入”,如:ADSL、光纖專線等,接入的線路設備如:ADSL MODEM、單模光纖收發器等,這樣經過信號轉換后就成了以太網信號,可以直接入任何有以太網接口的寬帶網關設備(如寬帶路由器)。這樣接入帶寬不僅更寬,網關設備的成本比傳統路由器更低,配置也非常簡易,基于WEB方式的設置界面,就能完成各種協議的設置。
對于中小企業網安全,現在一種集成了安全的寬帶網關設備值得我們關注。這種設備集成入了防火墻,稱為“防火墻寬帶路由器”,個別集成VPN(虛擬專網)、IDS(入侵檢測)等號稱為“統一安全網關”,它還有一個專有名詞“UTM統一威脅管理”。因此這樣的設備不僅能提供網關功能,也同時提供網絡的安全功能,它們在目前的中小企業網建設中很流行。它是路由器+防火墻的集成設備,比過去企業單獨購買這兩樣設備支出的成本大大降低。因此對于中小企業我們沒有必要單獨購買網關(路由器)和防火墻,要求較高的企業可以采購“統一安全網關”,要求一般的企業可以采購“防火墻寬帶路由器”。
方案一:整體安全方案
值得一提的是“統一安全網關”或稱“UTM統一威脅管理”對于中小企業更是一個結構簡單而有效的網絡整體安全解決方案。這設備是一個“多合一”設備,因此在中小企業的網絡邊界部署這么一臺機器就能以一當十,把它部署在企業網絡的邊界就能省下很多安全方面的考慮。
如今來自網絡的針對應用層的攻擊越來越多,只針對網絡層以下的安全解決方案已經不足以應付。法國LANGATE公司為代表的LanGate UTM(統一威脅管理)整體安全網絡架構方案就能解決當今中小企業面臨的安全挑戰。
法國LANGATE專利的LanGate UTM(圖1)在專用高效安全硬件平臺上集成了Firewall(防火墻)、VPN(虛擬專用網絡)、Content Filtering(內容過濾)、IPS(Intruction Prevention System,即入侵檢測系統)、QoS(Quality of Services,流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒)及 Wireless Connectivity (無線接入認證)技術。無線接入認證對于企業網中有無線網的企業是一個高級的無線局域網安全選項,因為現在的無線AP等WLAN設備的本身安全不是很有效,有了這個認證,企業就可以放心使用無線網了。基于硬件加速的LanGate UTM系統在網關處實時地掃描email、Web和文件傳遞內容,在病毒、蠕蟲和其它不合適和有害內容進入企業網絡之前抵擋住它們的攻擊。
這樣的設備還有JUNIPER 的NETSCREEN -5GT,在升級了網絡操作系統以后,也可以具有UTM的能力。
網絡的連接方法是,ADSL MODEM或光纖收發器接到統一安全網關再接入交換機,這樣就在企業內網之前(交換機之前)樹立起一道能防黑客、防病毒、反垃圾郵件、無線接入認證等來自外部的攻擊。
由于防毒是要時常更新,需要為此付費,這個方案實施起來要比方案二成本高,它適合于中型企業應用。
圖1
方案二:局部安全方案
局部安全方案其實是為了與方案一呼應而來。我們在這里指的是集成了防火墻(有時還集成VPN)的寬帶路由器。這個方案說的是用集成防火墻的寬帶路由器來部署在企業的邊界部分,既承擔網關的功能,又同時承擔防火墻的功能,是一個二合一的設備。我們舉一個產品。
NETEGAR ProSafe FVS318 VPN防火墻(圖2)是那些想用一個簡單的設備來執行關鍵功能的企業的理想選擇。這個8端口以太網路由器防火墻賦予了完全狀態包檢測(SPI)防火墻,拒絕服務(DoS)攻擊保護和入侵監測,URL關鍵字和內容過濾,也可以發起8路IPSec VPN隧道。我們可以看到這款設備較重要的網絡安全特性是集成了SPI狀態檢測防火墻,另外還有入侵監測和VPN,多數普通點的同類設備只有SPI防火墻功能。它沒有象方案一的LanGate產品那樣還具有防病毒能力。因此企業在防病毒方面還需依靠安裝防毒、防御軟件等。
這個方案適合于小型企業,它可以不用另外購買防火墻,也可以享受防火墻的保護。
圖2
總結:
在寬帶網絡風行之初,我們企業網可能單純能上網就行,但是現在,我們要能安全上網才行。網絡改造后會牽涉到網絡用途及人員的改變,也要隨著網絡的改變修訂網絡安全管理規范。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄