| 防火墙营造内部安全办公环境 |
| 办公自动化系统降低内网安全 |
| 办公自动化系统是企业网络应用达到一定层次后,使用一种内部的通讯和消息传递机制,将办公信息规范化和一致化并汇集所有的办公文档,按照不同的权限设置在企业成员之间共享。这种内部的通讯和消息传递机制增强了计算机访问网络的能力,同时也将信息暴露给网络上的其他计算机。同时,办公自动化系统主要面向企业内部网络,主要功能在于为内网业务提供服务,并非像ISP那样面向社会提供接口。据国外专业机构统计,接近80%的网络入侵事件来自于内网攻击。因此,如何增强内网的安全性成为解决企业网络安全的关键问题。 |
| 传统防火墙存在的技术问题 |
| 1.边界防火墙技术
目前大部分与Internet相连的内网都安装了防火墙,防火墙成为企业用来增强网络安全的主要手段。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流。传统意义的防火墙通常设置在网络边界处,称为边界防火墙。随着网络安全的不断发展,边界防火墙技术逐渐暴露出一些弱点: (1)防外不防内。边界防火墙对于来自企业网内部的攻击显得无能为力。因为边界防火墙安全策略的设置基于一个出发点:内网是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部。 (2)结构性限制。以前,逻辑上的内网概念和物理上的内网概念是等同的,但是随着移动办公、家庭办公等工作方式的广泛应用,使得逻辑上的内网概念远大于物理上内网概念,因此边界防火墙的安全防护作用大大下降。 (3)效率和安全的矛盾。边界防火墙无法为网络内部的每个受保护的主机分别定制策略,只能采用一种折中的规则来满足所有受保护的主机,这样做损失了效率并降低了安全性。 (4)单点故障。由于边界防火墙安装在内网和外网单一的接入点上,在这个唯一的接入点对内网和外网的通信数据进行控制,很容易会造成网络堵塞。另外,边界防火墙作为内网的唯一出口,如果出现问题将直接影响内网与外网的数据交换。 2.主机防火墙技术 主机防火墙也是一种增强网络安全的方式。它驻留在各个主机上,保护主机安全的防火墙,可以在内网的每台机器上安装主机防火墙来增强内网的安全。但是主机防火墙也存在一些问题。 (1)可用性差。由于防火墙的配置涉及到很多网络的专业知识,对于企业内部许多使用网络办公的员工来说,要配置好防火墙很困难。如果一个企业内部都使用主机防火墙,那么只能由网络管理员来帮助配置,这将增加网络管理员工作难度。 (2)管理困难。由于主机防火墙之间不存在任何联系,因此网络管理员无法进行集中统一管理,也无法知道网络是否安全或受到攻击。如果内网中有计算机受到攻击,网络管理员无法及时获知,这将方便入侵者去攻击其他计算机,从而威胁整个内网的安全。 (3)维护成本高。如果网络管理员想要增加或者修改防火墙的过滤策略,那么必然要更改网络中每一台计算机的设置,降低了内网的效率。 无论是边界防火墙还是主机防火墙,虽然在一定程度上可以保护网络的安全,但在增强内网的安全性方面都显得力不从心。边界防火墙对内网基本上是不设防的,而主机防火墙的众多局限性也使得它在推广使用上受到一些限制。 |
| 分布式防火墙为内网护航 |
| 近几年分布式防火墙的技术逐渐成熟并得到市场认可。分布式防火墙是由驻留在网络主机(如服务器或PC机)并对主机系统提供安全防护的软件产品(客户端)和中央管理(服务器)两部分组成。分布式防火墙的主要技术优势在于:
(1)保护内网安全。堵住内网的安全漏洞是分布式防火墙的专长。分布式防火墙驻留在每一台主机上。它把该主机以外的所有网络都认为是不可信的,包括内网在内。 (2)中央管理。与单一的主机防火墙相比,分布式防火墙的中央管理解决了网络管理员的众多难题。分布式防火墙的安全策略由管理员一次性在服务器端统一配置,每个主机可以从中央管理服务器获得安全策略。中央管理服务器可以实时查看所有客户端的状态。客户端会将重要日志上传给中央管理服务器,以便网络管理员在第一时间知道网络上出现的问题。 (3)效率提高 分布式防火墙的过滤功能是由驻留在每个网络主机上的客户端实现,而不是集中在网络边界的单点上,这样既提高了效率,又有利于消除网络瓶颈问题。 下面以目前市场上比较典型的分布式防火墙产品为例来看它的组成及应用特点。
中央策略管理服务器是一个集成环境。它统一管理分布式防火墙的所有客户端,负责给客户端分发安全策略、记录客户端状态、记录各类日志,并提供方便的工具生成、指派、扫描和检查所有的客户端安全策略。客户端登陆到服务器下载相应的安全策略,客户端无法更改从服务器下载的安全策略。客户端依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查,保护计算机在正常使用网络时不会受到恶意的攻击,提高了其网络安全属性。其主要功能包括: (1) 控制网络通信 分布式防火墙通过包过滤和基于状态的包过滤来实现对网络数据包的控制。包过滤是防火墙对网络通信进行控制的最基本也是首要的方法。防火墙实时监控发送和接收的数据包,根据设定的过滤规则决定是否让这些数据包通过。 (2)入侵监测 分布式防火墙可以发现常用的网络攻击方法,如端口扫描、拒绝服务攻击、源路由数据包攻击、连续多次连接等,自动屏蔽发起网络攻击的源地址,并将发现的攻击行为记录到日志中。 (3)脚本过滤 分布式防火墙对JavaScript脚本、Visual Basic脚本、ActiveX脚本等常见的脚本都要进行分析,判断它们进行的操作;并由用户决定是否允许该脚本执行,从而对恶意的脚本执行拦截。 (4) 特洛伊木马过滤 分布式防火墙由服务器维护一个已知的应用程序列表,只有列表中的应用程序才可以使用网络。一旦检测到有未知的应用程序企图使用网络,系统将会提醒用户是否要禁止使用或者是加入到允许访问网络的程序列表中。 (5) 完善的日志 分布式防火墙提供了强大的日志记录功能,其中重要的日志信息将强制性的上传到服务器端,网络管理员可以通过查看日志来了解客户端的操作。 |
