隨著網(wǎng)絡(luò)的迅速發(fā)展,尤其是Internet互聯(lián)網(wǎng)的急劇膨脹,使得人們在受益的同時(shí)受到越來越大的威脅。這便是無所不在的網(wǎng)絡(luò)安全隱患。當(dāng)企業(yè)還沉浸在享受新技術(shù)、新成果所帶來的幸福之中時(shí),某些幽靈或許正躲在 世界的另一個角落,嘗試著對企業(yè)漏洞百出的網(wǎng)絡(luò)進(jìn)行一次又一次的攻擊,一旦他們僥幸得手,留給我們的恐怕只有驚慌失措和束手無策。他們一般被人稱之為--黑客。為了避免以上悲劇的發(fā)生,我們必須防范于未然,盡可能采取一切措施,保證網(wǎng)絡(luò)的安全。
網(wǎng)絡(luò)安全首先是一種策略,而不是一項(xiàng)技術(shù)。策略的實(shí)施是一項(xiàng)長期、不間斷的過程,安全策略的實(shí)現(xiàn)、監(jiān)控、測試、改進(jìn)四部分是不可或缺,并且不斷循環(huán)的,正如右面圖中所示。
在網(wǎng)絡(luò)安全的實(shí)施過程當(dāng)中,涉及到多種產(chǎn)品和設(shè)備,業(yè)界各大產(chǎn)商對于網(wǎng)絡(luò)安全的重要性有著一致的認(rèn)識,但是可能有著不同的側(cè)重面。我們憑借在系統(tǒng)集成領(lǐng)域長期的工作實(shí)踐,積累了大量的相關(guān)經(jīng)驗(yàn),這同時(shí)也有助于我們提供給用戶一套非常完整的網(wǎng)絡(luò)解決方案。
以下是我們提供給企業(yè)級用戶的一套完整的網(wǎng)絡(luò)安全解決方案:
網(wǎng)絡(luò)安全隱患來自于方方面面,主要可以分為內(nèi)部和外部兩種。與Internet相連的企業(yè)網(wǎng)絡(luò),可能遭受來自于互聯(lián)網(wǎng)上任何一臺PC機(jī)的惡意攻擊和破壞;在企業(yè)內(nèi)部,也不排除存在對于企業(yè)心懷不滿的員工或者是潛伏在企業(yè)內(nèi)部的商業(yè)間諜,他們也極大的威脅著網(wǎng)絡(luò)的安全。一旦攻擊得逞,企業(yè)所受的損失將是不可估量的。
我們充分考慮到來自于網(wǎng)絡(luò)方方面面的威脅,試圖給出一套完整的解決方案。
首先,由于企業(yè)網(wǎng)絡(luò)與Internet存在物理連接,故在Internet入口處的安全性是首當(dāng)其沖的。我們在接入路由器的后面必須放置一道防火墻,攔截來自于互聯(lián)網(wǎng)的攻擊。目前業(yè)界的防火墻技術(shù)已經(jīng)非常成熟,各大廠商都有自己的產(chǎn)品,而不同的產(chǎn)品也是各有所長。大致上來說,防火墻一般可分為兩類。一類是純軟件,運(yùn)行在多網(wǎng)卡的UNIX主機(jī)上。這樣比較便于實(shí)現(xiàn),使用比較靈活,但是由于Unix操作系統(tǒng)本身存在一定的安全隱患,其安全性也大打折扣。此類產(chǎn)品當(dāng)中比較有名的,如:CA公司的CheckPoint防火墻系列。另一類產(chǎn)品則是一套軟硬件結(jié)合的產(chǎn)品,由于它本身的系統(tǒng)平臺不為人所知,故減少了許多安全隱患。同時(shí)由于它是一種專業(yè)安全產(chǎn)品,能夠?qū)崿F(xiàn)更多諸如Failover等特性。該類產(chǎn)品比如Cisco公司的PIX防火墻系列。
考慮到企業(yè)可能有一部分服務(wù)需要在Internet上公開發(fā)布,如WEB網(wǎng)頁。這時(shí),我們可以再增加一道防火墻,做為公共訪問區(qū)和內(nèi)部網(wǎng)的隔離區(qū),進(jìn)一步增強(qiáng)安全性。如上圖所示,第一道防火墻放置在接入路由器后面,保護(hù)公共訪問區(qū)的WEB服務(wù)器、文件服務(wù)器;第二道防火墻則放置在內(nèi)部網(wǎng)和公共訪問區(qū)之間,直接保護(hù)內(nèi)部網(wǎng)的安全。注意到不同類型防火墻的優(yōu)劣性,我們可以在兩個接入點(diǎn)放置不同的防火墻,形成所謂的quot;異構(gòu)防火墻"。
企業(yè)在外地的分公司希望連接入企業(yè)內(nèi)部網(wǎng),這種需求早期都是通過向服務(wù)供應(yīng)商申請長途DDN專線或幀中繼實(shí)現(xiàn)的。這樣雖然構(gòu)建了私有的網(wǎng)絡(luò),保證了安全性,但是每月必須花不菲的費(fèi)用在租用線路上代價(jià)很高。如今我們利用VPN技術(shù),就可以獲得圓滿的解決。企業(yè)外地分公司可以向當(dāng)?shù)胤?wù)供應(yīng)商申請本地DDN專線,一方面可以解決訪問Internet的問題,另一方面也可以利用公共網(wǎng)實(shí)現(xiàn)與企業(yè)網(wǎng)的連接。當(dāng)然,企業(yè)內(nèi)部數(shù)據(jù)在公網(wǎng)上傳輸,安全性更加顯得重要。我們可以在兩端添置加密設(shè)備,利用一定的加密算法,將數(shù)據(jù)加密后再通過公網(wǎng)傳送,等于利用公網(wǎng)開辟了一道企業(yè)私有?quot;隧道",即實(shí)現(xiàn)了所謂的VPN。數(shù)據(jù)加密的實(shí)現(xiàn)可以通過硬件和軟件的方式來實(shí)現(xiàn),硬件設(shè)備主要是專用的加密機(jī),而軟件則可能是運(yùn)行在主機(jī)上的應(yīng)用程序,或者是兩端接入設(shè)備內(nèi)置的功能。比如Cisco公司多款路由器上都有帶有VPN特性的IOS軟件,可直接在路由器上進(jìn)行加密/解密工作。
企業(yè)部分員工由于經(jīng)常出差或者在假日加班,需要經(jīng)常性的通過遠(yuǎn)程撥號的方式訪問內(nèi)部網(wǎng)。這種遠(yuǎn)程訪問方式雖然一定程度上增加了靈活性,但是也帶來了一些隱患。最典型的就是員工的口令被人竊取,做為非法訪問的手段。此時(shí),我們需要有支持AAA(認(rèn)證、授權(quán)、審計(jì))功能的訪問服務(wù)器。一般來說,訪問服務(wù)器通過TACAS+、RADIUS等協(xié)議與內(nèi)部一臺AAA服務(wù)器聯(lián)系,AAA服務(wù)器集中管理撥號用戶的屬性數(shù)據(jù)庫。認(rèn)證方面,AAA服務(wù)器負(fù)責(zé)每個用戶的用戶名、口令,保證用戶的合法性;授權(quán)方面,AAA服務(wù)器負(fù)責(zé)指定每個用戶可以訪問的資源、擁有的權(quán)限以及訪問的時(shí)間等等;審計(jì)方面,AAA服務(wù)器負(fù)責(zé)紀(jì)錄每一次成功或者失敗的撥號過程的時(shí)間、用戶、所使用的主叫號碼(需電信運(yùn)營商支持)等等。通過以上這些過程,撥號訪問的安全得以最大程度的控制。這方面比較典型的產(chǎn)品包括Cisco公司的Cisco Secure ACS產(chǎn)品,它還能夠與更先進(jìn)的技術(shù)如:OTP(One Time Password)、Token Card等協(xié)同工作。
京公網(wǎng)安備 11010502049343號