企业网络安全解决方案浅谈

企业网络安全解决方案浅谈
（企业防火墙）

 21世界的是个零距离的世界，是Internet让世界上的电脑都连在了一起，随着Internet的快速发展，给现代人的生活、工作、学习带来了极大的飞跃，比如在企业中，几乎所有的企业都有自己的局域网，为了让自己的企业和世界接轨，企业局域网都会连入Internet，通过这种方式，与世界各地的人进行沟通，进行信息的交换。但是同时，也带来了另一个日益严峻的问题——网络安全。网络安全问题，成为了一个日益热门的话题，不管是在企业、学校，还是在银行、政府部门。
 一、企业网络所面临的主要安全威胁
 根据现今企业的网络结构，可以分成3个层次：网络层设备（路由器交换机之类）、操作系统（Windwos、Linux）、应用服务器（Web、Sql、Mail）。这3个层次也构成了企业网络安全的3个边界，网络上黑客们的攻击也就是针对这3个边界展开的，企业网络的安全，也是这3个边界。
 第一、网络设备层。像是路由器或者是交换机上的弱口令、IOS自身的缺陷、非授权用户可以管理设备、CDP协议造成设备信息的泄露，这些看似无关紧要的漏洞，都可能会成为攻击者的目标，严重的，还可能让整个设备瘫痪而无法正常运行。
 第二、操作系统。操作系统是整个系统管理和应用的基础，地位非常重要，因为操作系统的复杂性，所以漏洞总是存在，而且是非常多，比如说IPC$入侵，如果攻击者已经知道目标主机的账号和密码，入侵者就可能使用net use \\IP地址\IPC$“password”/user：“administrator”这样的命令远程操作目标主机，还比如系统管理员的口令强度不够、未用NTFS分区进行文件的管理、未启用审核策略、开启了不必要的服务和端口、没有及时跟新系统的补丁等等。
 第三、应用服务器。比如Web服务器上的IIS，IIS服务在给用户提供方便的同时，也由于自身的漏洞而带来安全隐患，企业的邮件服务器，也是有不少的垃圾邮件干扰用户的正常工作，还有就是企业的数据库，如果是不设置SA口令或者是设置非常简单，这等于是将企业的重要机密暴露在外。
 企业还存在着其他的攻击，攻击者的手段非常多，像是基于木马的入侵，更重要的是，要防止内部员工的破坏行为，他们的破坏力远比外部的攻击者来得彻底，来得突然。
 二、网络安全解决方案简单介绍
 首先最重要的是要公司的员工建立起信息安全的意识，其次才是安全防范的技术和手段，技术方面，主要有以下3步，第一、路由器的安全防护，第二、防火墙是网络安全的关口设备，第三、入侵检测系统（IDS），做好这3方面，基本上是为企业提供了安全的防护。
 加固操作系统，是非常重要的，这个责任要落实到每台服务器上，比如像是帐户安全、文件系统的安全、停止多余的服务、系统异常检测、Windows日志维护等等。
 为企业全面部署防病毒系统也是非常重要的，平时及时更新病毒库和产品、做到预防为主、时常加强培训、提高防毒意识。
 仅仅只是安装杀毒软件是不够的，所以还要部署网络防火墙，它是一道把企业内网和外网隔离开的安全屏障，它可以对进出内网的数据包进行筛选，并且按照事先定义的策略允许或者是拒绝数据包的通过。防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，才能对通过的数据包进行检查、过滤，因此，在网络拓扑上，防火墙应当处在出口处和不同安全等级区域的结合点处。这些位置经常位于：企业内部网与Internet出口链路处、主干交换机至服务器区域工作交换机的骨干链路上、内部网与高安全等级的企业涉密网的连接点、远程拨号服务器与企业骨干交换机或者路由器之间。
 部署了防火墙，也不是高枕无忧了，如果一些攻击绕过了防火墙，进入了内部网络，还有就是内部人员对网络的攻击，这些问题就要靠入侵检测系统（IDS）来检测了。它能够对网络或操作系统上的可疑行为作出反应，及时切断入侵源，并通过各种途径通知到网络管理员，最大幅度的保障系统的安全，它是防火墙的合理补充。也成为是防火墙之后的第二道闸门。IDS主要是部署在尽可能的靠近攻击源的节点，而且还要尽可能的保护其他服务器资源，这些位置通常是：服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。
 最后，部署好以上的几道闸门，了解一些常见的网络攻击手法，还是非常必要的，常见的扫描攻击、安全漏洞攻击、口令入侵、木马程序、电子邮件攻击、DoS攻击等。
 三、企业防火墙
 经过上面几点的简单的网络安全介绍，下面单独来谈谈企业防火墙。
 防火墙主要分为硬件防火墙和软件防火墙，这里我们讨论的是软件防火墙。防火墙就像是条护城河，将内部的网络保护起来，它是网络安全中最主要和最基本的设施，它是保护网络并连接网络到外网的最有效的方法。防火墙是网络安全防护体系的大门，所有进出的信息必须通过这个唯一的检查点。
 防火墙的主要功能主要有以下几点，1、过滤不安全的服务和非法用户，强化安全策略。即在防火墙上配置一些相关的规则和策略，来保护内部网络。2、有效记录网上的活动，管理进出网络的访问行为。因为所有进出网络的信息都必须通过防火墙，因此，它可以记录每次用户的访问情况，提供有关网络使用率有价值的统计数据。它还可以记录站点到外部网络之间进行的所有事件。3、隐藏用户站点和网络拓扑，防火墙能够将网络中的某个网段隔离开，它的NAT功能不仅将内部网络拓扑信息隐藏起来，而且有利于缓解大量主机要求上网与公共IP地址空间短缺的矛盾。4、安全策略的检查，对网络攻击进行检测和告警。所有进出网络的信息都必须通过防火墙，它便成为了一个安全检查点，将可疑的访问拒绝于门外，大大提供了网络的安全性。
 防火墙的发展主要经历了4个阶段，基于路由器的防火墙阶段、用户化的防火墙工具套阶段、建立在通用操作系统上的防火墙阶段、具有安全操作系统的防火墙阶段。
 下面来看看防火墙的3种基本类型。
 1、包过滤型防火墙。包过滤防火墙又被称为访问控制表，它根据定义好的过滤规则来审查每个通过的数据包是否与规则匹配，从而决定数据包是否能通过，这种防火墙可以与路由器集成，也可以用独立的包过滤软件来实现，而且数据包过滤对用户透明，成本低、速度快、效率高。但不足之处有：A、IP包信息的可靠性没有保障，IP源可以伪造，这样可能绕过防火墙；B、它不能识别相同IP地址下的不同用户，不具备身份验证功能；C、工作在网络层，不能检测那些对高层的攻击；D、如果是为了安全性定义复杂的过滤规则，也就大大降低了数据处理效率了。
 2、代理型防火墙，它工作在OSI的应用层，它主要是使用代理技术来阻断内网和外网通讯，达到屏蔽内网的作用，其基本策略如下3种：不允许外网用户连接到内网、允许内网用户使用代理服务器访问外网、只有定义为“可以信赖的”代理服务才允许通过。这种防火墙含有三个模块：代理服务器，代理客户、协议分析模块。它在通信中执行二传手的角色，能很好地从Internet中隔离出受信赖的网络，不允许受信赖网络和不受信赖网络间的通信，具有很高的安全性。但是这是以牺牲速度为代价的，并且对用户不透明，要求用户了解通信细节。但这种防火墙对于每项服务代理可能要求不同的服务器，且不能保证受保护的内网免受协议弱点的限制。并且代理不能改进底层协议的安全性，不利于网路新业务的开展。
 3、状态检测型防火墙。它是由包过滤型防火墙发展而来，具有很高的效率，这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态，并且在网络层和IP之间插入一个检查模块，对IP包的信息进行分析检测，以决定是否允许通过防火墙。它引入了动态规则的概念，对网络端口可以动态的打开和关闭，减少了网络攻击的可能性，是网络的安全性得到了提高。状态检测防火墙根据过去的通讯信息和其他应用程序获得状态信息来动态生成过滤规则，根据新生成的过滤规则过滤新的通信。当新的通信结束时，新生成的过滤规则将自动从规则表中删除。
 防火墙的性能及特点主要由以下两方面所决定。1、工作层次。这是决定防火墙效率及安全的主要因素。一般来说，工作层次越低，则工作效率越高，但安全性就低了；反之，工作层次越高，工作效率越低，则安全性越高。2、防火墙采用的机制。如果采用代理机制，则防火墙具有内部信息隐藏的特点，相对而言，安全性高，效率低，如果采用过滤机制，则效率高，安全性降低了
 在企业中，防火墙体系可能是由各种软硬件构成的一套系统，常见的有以下三种防火墙系统。
 1、双宿主堡垒主机，这个体系用一台装有两个网卡的主机做防火墙，适用于拥有几十台计算机的小企业。它的两个网卡，分别连接外部网和内部网，在它的系统上运行着防火墙软件，还可以具备其他的一些功能。它也可以实现NAT来隐藏内部网络地址。内网计算机用户与公司内的服务器处在同一个网络，用户可以直接访问（不经过防火墙）服务器，服务器容易受到来自公司内部网络的威胁。
 2、三宿主堡垒主机，这种体系是常见的结构，适用于中型企业，该防火墙主机上有3个网络接口，一个接内部网，一个接外部网，最后一个接DMZ网络，DMZ网络主要用于放置一些信息服务器，比如Web服务器，Mail服务器等。这样的系统中，内部网和外部网之间的访问是有严格限制的，而DMZ的公共信息则是对外服务。这种系统是内部网、DMZ、外部网三者间的相互访问，均需要通过防火墙的过滤检测，大大提高网络通讯的安全性，但是防火墙要承担3方通讯的数据处理，这就直接会影响到网速。
 3、背靠背连接，这种防火墙系统，需要有两台双网卡的主机，DMZ是在两台防火墙主机之间，在DMZ中的服务器的IP地址，可以是公有IP，也可以是私有IP。降低每个防火墙的负载，提高系统的稳定，安全性也很高。
 常见的防火墙产品，也是比较知名的，像是NetScreen系列防火墙，它是Juniper公司的一种硬件防火墙，它主要有低延时、高效的IPSec加密和防火墙功能，而且它的安装和操作非常容易，可以通过多种管理界面进行管理。 Cisco Secure PIX系列也是一种硬件防火墙，它适合于需要与自己的企业网进行双向通信的远程站点，或是企业网在自己的企业防火墙上提供Web服务的情况。天网防火墙是国内的个人版防火墙软件，用户人数比较多，它结合了国内特点做了很多优化性的工作，适合于任何方式上网的个人用户。ISA Server 2004是微软面向企业推出的高级应用层防火墙，它融合了状态检测和代理型防火墙的特点，它还为各种类型的网络提供了高级保护、易用性和快速、安全的访问，更适合于保护不同地域设置的多重防火墙阵列的企业网络。
 四、防火墙案例
 现在来举个案例，说说防火墙在企业中的具体应用。我们这里以ISA Server 2004企业版为例，它是路由级网络防火墙，兼备高性能的缓存特性，具有防火墙功能、安全发布服务器、Web缓存服务器3大功能。关于ISA Server 2004的安装和硬件配置要求等，就不再赘述。
 现有中型企业A，公司内近三百台普通客户端和近十台服务器（主要是SQL、Web、Mail、VPN等），现今该公司的服务器常遭受到来自内部和外部的攻击；不允许上网的部门，也可以在上班时间浏览网页；有的部门在上班时间还可以在网上听歌，看电影等。
 按照该公司的网络特点和实际情况，建议为该公司部署三宿主堡垒主机结构。这种体系的防火墙能将服务器，外部网，局域网隔离开。首先在堡垒主机上安装ISA Server 2004，然后定义网络模板为：3向外围网络（DMZ）体系，再定义好防火墙的各种元素、策略和规则。
 ISA Server 2004中的防火墙策略元素很齐全，主要有计划、用户集、协议、内容类型，网络对象。比如说，规定只能在上班时间内访问公司服务器，那么就可以定义计划时间元素在8:00-18:00之间允许用户访问DMZ，在这个时间之外，就不能访问DMZ网络，还比如，定义内容类型*.mp3和*.mv等格式，那么ISA Server 2004就会利用访问规则检查用户访问的内容是否是包括*.mp3和*.mv，如果包含，就将其屏蔽掉，员工就会访问失败。
 ISA Server 2004中的访问规则，可以定义3个网络之间的相互访问情况，可以根据公司的实际情况进行定义。比如说，规定公司经理级别的人员才能访问外网，那么就可以创建一个用户集，将经理级别的人员全包括在内，然后再定义一条规则，将新创建的用户集应用到规则当中，这样，在其他规则不变的情况下，就只有经理级别的人能上网。
 以上只是举了几个简单的案例，在现实的中型企业中，根据不同的功能部门的实际访问情况，防火墙的规则、策略定义很复杂，在应用的过程中，尽量能做到简单统一，如果定义规则策略过多、过复杂，因有的规则之间是相互联系和牵制的，反而会适得其反。作为管理员，一定要做好相关的记录，深入了解防火墙的原理及其应用，才能让防火墙更好的为公司服务。
 五、结束语
 随着Internet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。但是没有一种技术可以百分之百地解决网络上的所有问题，比如防火墙虽然能对来自外部网络的攻击进行有效的保护，但对于来自网络内部的攻击却无能为力。事实上大部分的网络安全问题来自网络内部。因此网络安全单靠防火墙是不够的，还需要有其它技术和非技术因素的考虑，如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。

 参考文献:
 1、《网络安全解决方案》   北京阿博泰克信息技术有限公司 主编    科学技术文献出版社  2007年1月    第一版
 2、《网络工程师教程》   全国计算机专业技术资格考试办公室/雷震甲 主编  清华大学出版社  2009年8月   第三版
 3、《电子商务原理》   崔立新 主编    北京师范大学教育培训学院    2006年4月  第一版