互联网是一把双刃剑。其即能够提高企业员工的办事效率,同时也会给企业的内部网络带来安全隐患。而且企业管理者也担心企业员工不干正事,上班时间打网游等等。在现实工作中,员工与企业安全管理人员经常会猫抓老鼠的游戏。为了提高企业内部网络的安全,限制用户访问为经授权的网站,笔者这里推荐的工具是 Forefront。Forefront可以对相关流量进行检查与过滤。即能够起到防止木马、病毒等侵扰企业内部网络,也可能限制用户的互联网访问。在这片文章中,笔者就谈谈相关的内容。
一、控制内部用户访问Web服务的方法
在实际工作中,网络安全管理人员出于种种原因,往往需要限制内部用户访问互联网上的网站。如规定在上班时间不能够访问财经类网站等等。要实现这个需求的话,就可以使用Forefront来实现。
到目前为止,Forefront主要提供了四种安全机制。
第一是全部禁止。即企业内部用户在某个时间段内都不能够访问互联网。这个措施可能有点极端,一般企业都不会采取这种一刀切的方式。所以其应用的没有像下面三种方式这么普遍。
第二是根据Web目标来禁止。如有可能不希望用户访问QQ、淘宝等娱乐网站。此时就可以通过URL地址来限制对特定网站的访问。另外这种方式还可以通过URL类别或者类别集来拒绝其他员工访问相关的网站。在实际工作中,这是使用的比较频繁的一种方式。
第三是根据计算机的IP地址来进行限制。注意这里的IP地址指的是企业内部的主机,而不是外部Web服务器的IP地址。如笔者现在的公司,一般不允许仓库、生产等部门员工访问互联网。这些用户其只能够访问企业内部的网络。此时就可以将这些部门的IP地址限制为一段的范围内,然后对这个范围内的 IP地址进行限制,拒绝他们访问互联网络。
第四是根据类型来进行限制。在实际工作中有时候管理比较人性化。如员工只要不在上班时间听歌、看电影就行。此时就需要根据内容来进行过滤。如可以根据MIME类型或者扩展名来限制或者允许用户访问哪些类型的文件。最常见的三就是限制对MP3或者WAV等文件的访问。另外,有时候企业可能会有视频会议等应用。这些应用对带宽有比较高的要求。而用户访问MP3或者WAV文件又会占用比较多的带宽,容易与视频应用产生冲突。在这种情况下,限制用户对 MP3或者WAV文件的访问,是一个不错的选择。
二、在安全性与性能之间获得均衡
通过以上这种手段过滤之后,往往会对用户正常访问产生一种负面的影响。因为相关的数据需要经过Forefront服务器筛选与过滤。也就是说这多了一个中间的环节。为此安全人员就有必要在系统安全性与访问性能之间进行均衡。笔者的建议是,如果有必要,可以采用Web缓存来提高用户的访问速度。
在Forefront安全网关中提供了一个可以改进的Web请求的性能并缩短对其响应时间的缓存机制。如果各位读者对数据库有所了解的话,就知道在数据库中为了提高用户的访问速度,会将一些用户经常访问的数据放到缓存中。此时用到的就是数据库的缓存机制。Forefront提供了缓存机制跟数据库的缓存机制类似,在它的缓存中也保存着内部或者远程用户需要经常访问到的内容。最常见的就是,会将用户的密码与用户名保存在缓存中。如此的话,当下次用户登录的时候,就不用再去与硬盘中的信息进行核对,而直接利用缓存中的信息进行匹配。这么操作,就可以大幅度的提高用户登录时的效率。通常情况下,如果使用Web缓存机制的话,能够给企业带来如下的收益。
一是可以降低建立Inernet连接所需要的带宽,以减少已发布的Web服务器上的负载。如现在企业将某个Web服务器放置在互联网上(如让 ISP进行托管)。此时用户访问这个Web服务器的话,就需要占用Inernet的带宽。在这种情况下,如果在企业的Forefront服务器上实现 Web缓存机制,那么用户访问Web服务器时,有些常规的内容就不需要到Web服务器上去获取,而直接从Forefront服务器的缓存中得到。如此的话,就可以降低建立Internet连接所需要的带宽。特别是对于ADSL拨号上网的用户,能够带来很好的体验。
二是可以更快的访问所请求的内容。因为数据是从Forefront缓存中获得,不需要连接到Internet服务器上去获取数据。所以从用户的角度讲,其能够更快的得到其所需要的信息。在实际工作中,我们往往会根据Web服务器的内容来设置缓存的大小。如对于信息的及时性要求不高,或者说Web 服务器上的内容不怎么更新(如是企业员工的联系信息),此时我们往往会设置比较大的缓存空间。最好能够将相关的信息都缓存在Forefront服务器上。如此的话,对于那些常规信息,就都可以从Forefront服务器中取得,而不需要再去访问Web服务器。从而在保证安全的前提下,给用户提供比较好的性能。
在实际工作中,要实现缓存的话,需要注意以下内容:
一是选择缓存的地方。在日常工作中,通常可以将数据缓存在内容或者硬盘中。一般对于数据库来说,其缓存指的是内存中的区域。而对于 Forefront的Web缓存机制来说,还包括硬盘。这主要是因为后者所包含的数据要比数据库中多的多。大部分情况下,内存不能够满足用户在缓存方面的需求。所以专门提供了硬盘中某块区域来存放缓存数据。不过由于硬盘的工作原理与内存不同,在具体的配置与使用上,两者还是有很大的区别。总的来说,在同等条件下,硬盘作为缓存区域,其在性能上不如内存。而且在使用过程中,也受到比较多的限制。一般来说,用户访问内存的速度要比访问硬盘的速度快的多。为此 Forefront服务器的Web缓存机制,往往将最常用的数据同时保存到内存与硬盘中,但是其往往是先访问内存中的数据。
二是需要注意,如果是在硬盘上实现缓存机制的话,其所使用的文件系统与大小往往受到比较严格的限制。如一般情况下,单个硬盘上的缓存文件其最大只能够为64GB,不能过超过这个大小。其次出于安全考虑,所采用的文件系统最好也是NTFS文件系统。这个文件系统能够比FAT32等文件系统提供更高的安全性与更快的访问速度。
三是对硬盘性能的要求。众所周知,硬盘的访问速度不如内存。为此在实际工作中,将硬盘当作缓存区域只是一个不得已的选择。一般情况下,将硬盘作为缓存区域,往往考虑的不是性能问题,而是容量,或者说是一种相对的性能。如上面的案例中,某个Web服务器是部署在互联网上。当用户从内部访问时,可以将数据缓存到Forefront服务器的硬盘上(此时内存中不能够容纳这么多内容)。此时虽然性能没有内存缓存这么理想,但是至以比起直接访问互联网,性能有很大的改善。不过此时最好选择的仍然是性能比较高的硬盘,以提高缓存速度。
总之,Forefront不仅可以用来保障企业内部网络的安全,限制用户的非法访问。同时,如果对性能有要求的话,还可以通过Web缓存机制来提高用户访问的性能。