企業網絡安全解決方案淺談

企業網絡安全解決方案淺談
（企業防火墻）

 21世界的是個零距離的世界，是Internet讓世界上的電腦都連在了一起，隨著Internet的快速發展，給現代人的生活、工作、學習帶來了極大的飛躍，比如在企業中，幾乎所有的企業都有自己的局域網，為了讓自己的企業和世界接軌，企業局域網都會連入Internet，通過這種方式，與世界各地的人進行溝通，進行信息的交換。但是同時，也帶來了另一個日益嚴峻的問題——網絡安全。網絡安全問題，成為了一個日益熱門的話題，不管是在企業、學校，還是在銀行、政府部門。
 一、企業網絡所面臨的主要安全威脅
 根據現今企業的網絡結構，可以分成3個層次：網絡層設備（路由器交換機之類）、操作系統（Windwos、Linux）、應用服務器（Web、Sql、Mail）。這3個層次也構成了企業網絡安全的3個邊界，網絡上黑客們的攻擊也就是針對這3個邊界展開的，企業網絡的安全，也是這3個邊界。
 第一、網絡設備層。像是路由器或者是交換機上的弱口令、IOS自身的缺陷、非授權用戶可以管理設備、CDP協議造成設備信息的泄露，這些看似無關緊要的漏洞，都可能會成為攻擊者的目標，嚴重的，還可能讓整個設備癱瘓而無法正常運行。
 第二、操作系統。操作系統是整個系統管理和應用的基礎，地位非常重要，因為操作系統的復雜性，所以漏洞總是存在，而且是非常多，比如說IPC$入侵，如果攻擊者已經知道目標主機的賬號和密碼，入侵者就可能使用net use \\IP地址\IPC$“password”/user：“administrator”這樣的命令遠程操作目標主機，還比如系統管理員的口令強度不夠、未用NTFS分區進行文件的管理、未啟用審核策略、開啟了不必要的服務和端口、沒有及時跟新系統的補丁等等。
 第三、應用服務器。比如Web服務器上的IIS，IIS服務在給用戶提供方便的同時，也由于自身的漏洞而帶來安全隱患，企業的郵件服務器，也是有不少的垃圾郵件干擾用戶的正常工作，還有就是企業的數據庫，如果是不設置SA口令或者是設置非常簡單，這等于是將企業的重要機密暴露在外。
 企業還存在著其他的攻擊，攻擊者的手段非常多，像是基于木馬的入侵，更重要的是，要防止內部員工的破壞行為，他們的破壞力遠比外部的攻擊者來得徹底，來得突然。
 二、網絡安全解決方案簡單介紹
 首先最重要的是要公司的員工建立起信息安全的意識，其次才是安全防范的技術和手段，技術方面，主要有以下3步，第一、路由器的安全防護，第二、防火墻是網絡安全的關口設備，第三、入侵檢測系統（IDS），做好這3方面，基本上是為企業提供了安全的防護。
 加固操作系統，是非常重要的，這個責任要落實到每臺服務器上，比如像是帳戶安全、文件系統的安全、停止多余的服務、系統異常檢測、Windows日志維護等等。
 為企業全面部署防病毒系統也是非常重要的，平時及時更新病毒庫和產品、做到預防為主、時常加強培訓、提高防毒意識。
 僅僅只是安裝殺毒軟件是不夠的，所以還要部署網絡防火墻，它是一道把企業內網和外網隔離開的安全屏障，它可以對進出內網的數據包進行篩選，并且按照事先定義的策略允許或者是拒絕數據包的通過。防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，才能對通過的數據包進行檢查、過濾，因此，在網絡拓撲上，防火墻應當處在出口處和不同安全等級區域的結合點處。這些位置經常位于：企業內部網與Internet出口鏈路處、主干交換機至服務器區域工作交換機的骨干鏈路上、內部網與高安全等級的企業涉密網的連接點、遠程撥號服務器與企業骨干交換機或者路由器之間。
 部署了防火墻，也不是高枕無憂了，如果一些攻擊繞過了防火墻，進入了內部網絡，還有就是內部人員對網絡的攻擊，這些問題就要靠入侵檢測系統（IDS）來檢測了。它能夠對網絡或操作系統上的可疑行為作出反應，及時切斷入侵源，并通過各種途徑通知到網絡管理員，最大幅度的保障系統的安全，它是防火墻的合理補充。也成為是防火墻之后的第二道閘門。IDS主要是部署在盡可能的靠近攻擊源的節點，而且還要盡可能的保護其他服務器資源，這些位置通常是：服務器區域的交換機上、Internet接入路由器之后的第一臺交換機上、重點保護網段的局域網交換機上。
 最后，部署好以上的幾道閘門，了解一些常見的網絡攻擊手法，還是非常必要的，常見的掃描攻擊、安全漏洞攻擊、口令入侵、木馬程序、電子郵件攻擊、DoS攻擊等。
 三、企業防火墻
 經過上面幾點的簡單的網絡安全介紹，下面單獨來談談企業防火墻。
 防火墻主要分為硬件防火墻和軟件防火墻，這里我們討論的是軟件防火墻。防火墻就像是條護城河，將內部的網絡保護起來，它是網絡安全中最主要和最基本的設施，它是保護網絡并連接網絡到外網的最有效的方法。防火墻是網絡安全防護體系的大門，所有進出的信息必須通過這個唯一的檢查點。
 防火墻的主要功能主要有以下幾點，1、過濾不安全的服務和非法用戶，強化安全策略。即在防火墻上配置一些相關的規則和策略，來保護內部網絡。2、有效記錄網上的活動，管理進出網絡的訪問行為。因為所有進出網絡的信息都必須通過防火墻，因此，它可以記錄每次用戶的訪問情況，提供有關網絡使用率有價值的統計數據。它還可以記錄站點到外部網絡之間進行的所有事件。3、隱藏用戶站點和網絡拓撲，防火墻能夠將網絡中的某個網段隔離開，它的NAT功能不僅將內部網絡拓撲信息隱藏起來，而且有利于緩解大量主機要求上網與公共IP地址空間短缺的矛盾。4、安全策略的檢查，對網絡攻擊進行檢測和告警。所有進出網絡的信息都必須通過防火墻，它便成為了一個安全檢查點，將可疑的訪問拒絕于門外，大大提供了網絡的安全性。
 防火墻的發展主要經歷了4個階段，基于路由器的防火墻階段、用戶化的防火墻工具套階段、建立在通用操作系統上的防火墻階段、具有安全操作系統的防火墻階段。
 下面來看看防火墻的3種基本類型。
 1、包過濾型防火墻。包過濾防火墻又被稱為訪問控制表，它根據定義好的過濾規則來審查每個通過的數據包是否與規則匹配，從而決定數據包是否能通過，這種防火墻可以與路由器集成，也可以用獨立的包過濾軟件來實現，而且數據包過濾對用戶透明，成本低、速度快、效率高。但不足之處有：A、IP包信息的可靠性沒有保障，IP源可以偽造，這樣可能繞過防火墻；B、它不能識別相同IP地址下的不同用戶，不具備身份驗證功能；C、工作在網絡層，不能檢測那些對高層的攻擊；D、如果是為了安全性定義復雜的過濾規則，也就大大降低了數據處理效率了。
 2、代理型防火墻，它工作在OSI的應用層，它主要是使用代理技術來阻斷內網和外網通訊，達到屏蔽內網的作用，其基本策略如下3種：不允許外網用戶連接到內網、允許內網用戶使用代理服務器訪問外網、只有定義為“可以信賴的”代理服務才允許通過。這種防火墻含有三個模塊：代理服務器，代理客戶、協議分析模塊。它在通信中執行二傳手的角色，能很好地從Internet中隔離出受信賴的網絡，不允許受信賴網絡和不受信賴網絡間的通信，具有很高的安全性。但是這是以犧牲速度為代價的，并且對用戶不透明，要求用戶了解通信細節。但這種防火墻對于每項服務代理可能要求不同的服務器，且不能保證受保護的內網免受協議弱點的限制。并且代理不能改進底層協議的安全性，不利于網路新業務的開展。
 3、狀態檢測型防火墻。它是由包過濾型防火墻發展而來，具有很高的效率，這種防火墻能通過狀態檢測技術動態記錄、維護各個連接的協議狀態，并且在網絡層和IP之間插入一個檢查模塊，對IP包的信息進行分析檢測，以決定是否允許通過防火墻。它引入了動態規則的概念，對網絡端口可以動態的打開和關閉，減少了網絡攻擊的可能性，是網絡的安全性得到了提高。狀態檢測防火墻根據過去的通訊信息和其他應用程序獲得狀態信息來動態生成過濾規則，根據新生成的過濾規則過濾新的通信。當新的通信結束時，新生成的過濾規則將自動從規則表中刪除。
 防火墻的性能及特點主要由以下兩方面所決定。1、工作層次。這是決定防火墻效率及安全的主要因素。一般來說，工作層次越低，則工作效率越高，但安全性就低了；反之，工作層次越高，工作效率越低，則安全性越高。2、防火墻采用的機制。如果采用代理機制，則防火墻具有內部信息隱藏的特點，相對而言，安全性高，效率低，如果采用過濾機制，則效率高，安全性降低了
 在企業中，防火墻體系可能是由各種軟硬件構成的一套系統，常見的有以下三種防火墻系統。
 1、雙宿主堡壘主機，這個體系用一臺裝有兩個網卡的主機做防火墻，適用于擁有幾十臺計算機的小企業。它的兩個網卡，分別連接外部網和內部網，在它的系統上運行著防火墻軟件，還可以具備其他的一些功能。它也可以實現NAT來隱藏內部網絡地址。內網計算機用戶與公司內的服務器處在同一個網絡，用戶可以直接訪問（不經過防火墻）服務器，服務器容易受到來自公司內部網絡的威脅。
 2、三宿主堡壘主機，這種體系是常見的結構，適用于中型企業，該防火墻主機上有3個網絡接口，一個接內部網，一個接外部網，最后一個接DMZ網絡，DMZ網絡主要用于放置一些信息服務器，比如Web服務器，Mail服務器等。這樣的系統中，內部網和外部網之間的訪問是有嚴格限制的，而DMZ的公共信息則是對外服務。這種系統是內部網、DMZ、外部網三者間的相互訪問，均需要通過防火墻的過濾檢測，大大提高網絡通訊的安全性，但是防火墻要承擔3方通訊的數據處理，這就直接會影響到網速。
 3、背靠背連接，這種防火墻系統，需要有兩臺雙網卡的主機，DMZ是在兩臺防火墻主機之間，在DMZ中的服務器的IP地址，可以是公有IP，也可以是私有IP。降低每個防火墻的負載，提高系統的穩定，安全性也很高。
 常見的防火墻產品，也是比較知名的，像是NetScreen系列防火墻，它是Juniper公司的一種硬件防火墻，它主要有低延時、高效的IPSec加密和防火墻功能，而且它的安裝和操作非常容易，可以通過多種管理界面進行管理。 Cisco Secure PIX系列也是一種硬件防火墻，它適合于需要與自己的企業網進行雙向通信的遠程站點，或是企業網在自己的企業防火墻上提供Web服務的情況。天網防火墻是國內的個人版防火墻軟件，用戶人數比較多，它結合了國內特點做了很多優化性的工作，適合于任何方式上網的個人用戶。ISA Server 2004是微軟面向企業推出的高級應用層防火墻，它融合了狀態檢測和代理型防火墻的特點，它還為各種類型的網絡提供了高級保護、易用性和快速、安全的訪問，更適合于保護不同地域設置的多重防火墻陣列的企業網絡。
 四、防火墻案例
 現在來舉個案例，說說防火墻在企業中的具體應用。我們這里以ISA Server 2004企業版為例，它是路由級網絡防火墻，兼備高性能的緩存特性，具有防火墻功能、安全發布服務器、Web緩存服務器3大功能。關于ISA Server 2004的安裝和硬件配置要求等，就不再贅述。
 現有中型企業A，公司內近三百臺普通客戶端和近十臺服務器（主要是SQL、Web、Mail、VPN等），現今該公司的服務器常遭受到來自內部和外部的攻擊；不允許上網的部門，也可以在上班時間瀏覽網頁；有的部門在上班時間還可以在網上聽歌，看電影等。
 按照該公司的網絡特點和實際情況，建議為該公司部署三宿主堡壘主機結構。這種體系的防火墻能將服務器，外部網，局域網隔離開。首先在堡壘主機上安裝ISA Server 2004，然后定義網絡模板為：3向外圍網絡（DMZ）體系，再定義好防火墻的各種元素、策略和規則。
 ISA Server 2004中的防火墻策略元素很齊全，主要有計劃、用戶集、協議、內容類型，網絡對象。比如說，規定只能在上班時間內訪問公司服務器，那么就可以定義計劃時間元素在8:00-18:00之間允許用戶訪問DMZ，在這個時間之外，就不能訪問DMZ網絡，還比如，定義內容類型*.mp3和*.mv等格式，那么ISA Server 2004就會利用訪問規則檢查用戶訪問的內容是否是包括*.mp3和*.mv，如果包含，就將其屏蔽掉，員工就會訪問失敗。
 ISA Server 2004中的訪問規則，可以定義3個網絡之間的相互訪問情況，可以根據公司的實際情況進行定義。比如說，規定公司經理級別的人員才能訪問外網，那么就可以創建一個用戶集，將經理級別的人員全包括在內，然后再定義一條規則，將新創建的用戶集應用到規則當中，這樣，在其他規則不變的情況下，就只有經理級別的人能上網。
 以上只是舉了幾個簡單的案例，在現實的中型企業中，根據不同的功能部門的實際訪問情況，防火墻的規則、策略定義很復雜，在應用的過程中，盡量能做到簡單統一，如果定義規則策略過多、過復雜，因有的規則之間是相互聯系和牽制的，反而會適得其反。作為管理員，一定要做好相關的記錄，深入了解防火墻的原理及其應用，才能讓防火墻更好的為公司服務。
 五、結束語
 隨著Internet技術的飛速發展，網絡安全問題必將愈來愈引起人們的重視。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權用戶的訪問，阻止未經授權用戶存取敏感數據，同時允許合法用戶不受妨礙的訪問網絡資源。如果使用得當，可以在很大程度上提高網絡安全。但是沒有一種技術可以百分之百地解決網絡上的所有問題，比如防火墻雖然能對來自外部網絡的攻擊進行有效的保護，但對于來自網絡內部的攻擊卻無能為力。事實上大部分的網絡安全問題來自網絡內部。因此網絡安全單靠防火墻是不夠的，還需要有其它技術和非技術因素的考慮，如信息加密技術、身份驗證技術、制定網絡法規、提高網絡管理人員的安全意識等等。

 參考文獻:
 1、《網絡安全解決方案》   北京阿博泰克信息技術有限公司 主編    科學技術文獻出版社  2007年1月    第一版
 2、《網絡工程師教程》   全國計算機專業技術資格考試辦公室/雷震甲 主編  清華大學出版社  2009年8月   第三版
 3、《電子商務原理》   崔立新 主編    北京師范大學教育培訓學院    2006年4月  第一版