网络改造对企业的网络来说是一个契机,我们应重视安全建设升级及新安全问题的防范。
在过去的中小型企业的网络建设时,可能出于成本问题或网络安全的重要性不那么强烈而对企业网的网络安全建设的缺失或不足。现在企业成长了,企业网也跟着成长,网络安全也要跟着成长。如今网络黑客、网络病毒、间谍软件层出不穷,企业网络如何才能有“一个免疫的身体”不至于遭到安全损失。网络改造的契机,我们要重视网络安全,我们要了解现在我们可以用什么样的设备来调整、升级我们的网络,在以下方面建立起网络的安全体系。
网关型防火墙
企业网安全的主要部分就是内外网分界处的安全,也就是在企业网上网的同时,如何能保障企业网的内网安全。在企业初建时期,由于成本问题,可能无法在这个分界处放置路由器和防火墙设备,可能是外线的接入经过接入设备后就直接接到内网的交换机,如从ADSL MODEM就直接接入交换机,这样的网络拓扑没有任何安全可言。但现在这种情况已经改变,近几年顺应宽带的兴起,也纷纷出现了宽带路由器等宽带网关设备。
现在企业接入广域网或者说互联网的方式已经与过去很不同,也就是我们常说的“宽带接入”,如:ADSL、光纤专线等,接入的线路设备如:ADSL MODEM、单模光纤收发器等,这样经过信号转换后就成了以太网信号,可以直接入任何有以太网接口的宽带网关设备(如宽带路由器)。这样接入带宽不仅更宽,网关设备的成本比传统路由器更低,配置也非常简易,基于WEB方式的设置界面,就能完成各种协议的设置。
对于中小企业网安全,现在一种集成了安全的宽带网关设备值得我们关注。这种设备集成入了防火墙,称为“防火墙宽带路由器”,个别集成VPN(虚拟专网)、IDS(入侵检测)等号称为“统一安全网关”,它还有一个专有名词“UTM统一威胁管理”。因此这样的设备不仅能提供网关功能,也同时提供网络的安全功能,它们在目前的中小企业网建设中很流行。它是路由器+防火墙的集成设备,比过去企业单独购买这两样设备支出的成本大大降低。因此对于中小企业我们没有必要单独购买网关(路由器)和防火墙,要求较高的企业可以采购“统一安全网关”,要求一般的企业可以采购“防火墙宽带路由器”。方案一:整体安全方案
值得一提的是“统一安全网关”或称“UTM统一威胁管理”对于中小企业更是一个结构简单而有效的网络整体安全解决方案。这设备是一个“多合一” 设备,因此在中小企业的网络边界部署这么一台机器就能以一当十,把它部署在企业网络的边界就能省下很多安全方面的考虑。
如今来自网络的针对应用层的攻击越来越多,只针对网络层以下的安全解决方案已经不足以应付。法国LANGATE公司为代表的LanGate UTM(统一威胁管理)整体安全网络架构方案就能解决当今中小企业面临的安全挑战。
法国LANGATE专利的LanGate UTM(图1)在专用高效安全硬件平台上集成了Firewall(防火墙)、VPN(虚拟专用网络)、Content Filtering(内容过滤)、IPS(Intruction Prevention System,即入侵检测系统)、QoS(Quality of Services,流量管理)、Anti-Spam (反垃圾邮件)、Anti-Virus (防病毒)及 Wireless Connectivity (无线接入认证)技术。无线接入认证对于企业网中有无线网的企业是一个高级的无线局域网安全选项,因为现在的无线AP等WLAN设备的本身安全不是很有效,有了这个认证,企业就可以放心使用无线网了。基于硬件加速的LanGate UTM系统在网关处实时地扫描email、Web和文件传递内容,在病毒、蠕虫和其它不合适和有害内容进入企业网络之前抵挡住它们的攻击。
这样的设备还有JUNIPER 的NETSCREEN -5GT,在升级了网络操作系统以后,也可以具有UTM的能力。
网络的连接方法是,ADSL MODEM或光纤收发器接到统一安全网关再接入交换机,这样就在企业内网之前(交换机之前)树立起一道能防黑客、防病毒、反垃圾邮件、无线接入认证等来自外部的攻击。
由于防毒是要时常更新,需要为此付费,这个方案实施起来要比方案二成本高,它适合于中型企业应用。
方案二:局部安全方案
局部安全方案其实是为了与方案一呼应而来。我们在这里指的是集成了防火墙(有时还集成VPN)的宽带路由器。这个方案说的是用集成防火墙的宽带路由器来部署在企业的边界部分,既承担网关的功能,又同时承担防火墙的功能,是一个二合一的设备。我们举一个产品。
NETEGAR ProSafe FVS318 VPN防火墙是那些想用一个简单的设备来执行关键功能的企业的理想选择。这个8端口以太网路由器防火墙赋予了完全状态包检测(SPI)防火墙,拒绝服务(DoS)攻击保护和入侵监测,URL关键字和内容过滤,也可以发起8路IPSec VPN隧道。我们可以看到这款设备较重要的网络安全特性是集成了SPI状态检测防火墙,另外还有入侵监测和VPN,多数普通点的同类设备只有SPI防火墙功能。它没有象方案一的LanGate产品那样还具有防病毒能力。因此企业在防病毒方面还需依靠安装防毒、防御软件等。
这个方案适合于小型企业,它可以不用另外购买防火墙,也可以享受防火墙的保护。
总结:
在宽带网络风行之初,我们企业网可能单纯能上网就行,但是现在,我们要能安全上网才行。网络改造后会牵涉到网络用途及人员的改变,也要随着网络的改变修订网络安全管理规范。