改变思路构建内外结合的防火墙结构

发表于:2007-06-23来源:作者:点击数: 标签:
网络的安全程度究竟如何?这是许多IT管理人员每天都会考虑的一个问题。保护网络边缘的可能是一套强大的企业级防火墙,但是,那些对网络构成最大威胁的人可能已经掌握了网络的密码。 今天的企业员工、远程办公人员、设 备供应商、临时雇员以及商业合作伙伴都

   

  网络的安全程度究竟如何?这是许多IT管理人员每天都会考虑的一个问题。保护网络边缘的可能是一套强大的企业级防火墙,但是,那些对网络构成最大威胁的人可能已经掌握了网络的密码。

今天的企业员工、远程办公人员、设 备供应商、临时雇员以及商业合作伙伴都要求能够自由访问企业网络,而重要的客户数据与财务记录往往也存储在这些网络上。


如果在保护公司各类知识产权的同时,还要保持公司每一个员工的工作效率,便不难理解为什么众多的IT经理会对公司的网络安全感到不安。


互联网已经改变了人们工作、联络、协作交流以及买卖的方式。类似于服务外包与远程办公等新商务趋势的出现更进一步使企业的安全问题复杂化。合作伙伴网络之间的访问是使商业协作更加实际和节约成本的办法,然而,允许合作伙伴深入到企业网络的做法模糊了内部访问与外部访问之间的界限。


“假定边缘防火墙内部的网络是安全的,而来自防火墙外部的访问则是可疑的”这一传统网络安全观点已经不能保护企业资产。现今的企业网络需要将安全性从服务器向所有端点进行延伸,不论他们是在企业边缘防火墙的内部还是外部。


传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防火墙会在流量从外部的互联网进入企业内部局域网时进行过滤和审查。但是,他们并不能确保企业局域网内部的安全访问。这就好比给一座办公楼的大门加上一把锁,但办公楼内的每个房间却四门大开一样,一旦有人通过了办公楼的大门,便可以随意出入办公楼内任何一个房间。这类网络非常容易受到有目的的攻击。例如,黑客入侵一台已经接入了企业局域网的计算机,一旦获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。


改进上例中办公楼安全性的最简单办法便是为楼内每个房间都配置一把钥匙和一把锁。同理,最新一代的安全性解决方案将防火墙功能分布到网络的桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的嵌入式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户无论通过内部网、外联网、虚拟专用网还是远程访问,实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。


尽管所有的公司都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业,尤其需要一套强大而可靠的安全性解决方案,如政府机构、金融机构、保险服务机构、高科技开发商以及各类医疗机构等。


通过一个中央控制台来进行配置和管理的安全性解决方案,能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员将非常自信:一旦他们在整个网络中配置了适当的安全性设备,不论是用户还是系统的安全性都将得到保证,并且始终安全。


对那些安全性要求较高的企业来说,基于软件的解决方案,例如个人防火墙以及防病毒扫描程序等,功能都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。


由于安全性能是由硬件处理器而非软件来承担的,因此,边缘防火墙应用程序或网关能够为这类用户提供更优的入侵防范手段。但是,正如前面所讲,这些设备的功能仅限于为网络边缘提供保护。一套嵌入式防火墙解决方案能将这一功能延伸到边缘防火墙的范围之外,并分布到网络的终端。边缘防火墙既能提供规避策略,也能提供入侵防范策略。安全性措施在PC系统上执行,但是要由嵌入式防火墙的硬件系统来实施,整个过程独立于主机系统。这一策略使企业网络几乎不受任何恶意代码或黑客攻击的威胁。即使攻击者完全通过了防火墙的防护并取得了运行防火墙主机的控制权,他们也将寸步难行,因为他们不能关闭掉嵌入式防火墙,或者以被入侵的主机为跳板进一步展开侵入网络其他领域的行动。


一套嵌入式防火墙安全性解决方案,能够为那些需要在家访问公司局域网的远程办公用户提供保护。由于大部分住户的互联网服务都运行在开放的链路上,并且没有高级安全手段加以保护,家庭的PC非常容易受到黑客的攻击。如果这些家庭办公人员使用一台DSL路由器或者有线电缆调制解调器,他们所面临的网络安全风险将更大。这些“永远在线”的宽带链路比拨号调制解调器更容易受到攻击,因为他们使计算机24小时与互联网保持互联。电话拨号服务通常在用户每次接入互联网的时候为用户分配一个新的IP地址,但宽带服务提供商通常为每一个用户分配一个永久固定的互联网地址,从而使黑客非常容易“锁定”他们的计算机。


不幸的是,家庭PC被攻击事件的数量正在不断上升。这一发现来自于卡内基梅隆CERT协作中心的最新调查。该组织致力于发现计算机安全方面的威胁并发布有关如何防范网络攻击的方法。根据CERT的研究,黑客对家庭计算机攻击事件的数量在近年急剧上升。很多情况下,黑客对个人文件并不感兴趣,他们是利用这些家庭计算机侵入企业的局域网。利用嵌入式防火墙来为这些远程访问的端点提供保护,能够帮助企业将网络的其他部分与危险的互联网链路分离开。


随着黑客入侵与病毒发作事件在全球范围内的不断增加,不难理解为什么许多企业将网络的安全性看作确保企业盈利能力的一个重要因素。Microsoft、eBay、Yahoo等一些巨型公司便是因网络入侵事件而导致企业正常运转中断的典型例子。


由于黑客和病毒作者变得越来越狡猾,网络安全产品必须保持技术上的优势。嵌入式防火墙为智能安全性解决方案加入了一层防范入侵的分布式保护层。防火墙硬件能够被轻松集成进笔记本计算机、桌面系统和各类服务器中,为企业构建安全的系统。具备安全意识的企业用户应该向他们的PC设备制造商询问,他们是否能够提供支持嵌入式防火墙系统。


嵌入式防火墙解决方案是专为弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计的,它确保了企业内部与外部的网络具有以下功能:不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘,为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行;甚至在安全性较差的宽带链路上都能实现安全移动与远程接入;可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。

原文转自:http://www.ltesting.net