现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去实现真正的网络安全。

在开始之前，我们首先必须面对一个事实，绝对的安全是没有的。我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。网管与安全人员需要解决的是来自内部和外部的混合威胁，是蓄意或无意的攻击和破坏，是需要提高整体安全防范意识与科学的协调和管理。客观的去分析现今的企业网络，我们不难发现，在经历了普及终端和网络互联的时代后，我们面对的问题还有很多，如客户端的非法操作，对网络的不合法的访问与利用；网络结构的设计缺陷与混杂的部署环境；网络边界与关键应用的区域缺乏必要的防御措施和审记系统等等。下面我们来逐一分析，并提供相应的产品解决方案与安全建议。

首先是网络内部，即面向企业内部员工的工作站，我们不能保证用户每一次操作都是正确与安全的，绝大情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。而对于其他，比如病毒，木马，间谍程序，恶意脚本，往往通过内部网络中某一台工作站的误操作而进入到网络并且迅速的蔓延。如访问非法网站，下载或运行不可信程序，使用移动设备复制带有病毒的文件等看似平常的操作。由于如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展，也给这类威胁提供高速繁殖的媒介。特别是企业内部拥有高速的网络环境，给各种威胁的扩散与转移提供了可能。现在人们都通过安装防病毒软件来防御病毒的威胁，但是面对蠕虫和木马程序，后门程序等，防病毒并不能起到很显著的效果，例如蠕虫病毒，一般都是利用操作系统中存在的缺陷和漏洞来攻击与传播的，即使安装了防病毒软件，也没有修补操作系统本身的漏洞，安全威胁从根本上没有被消除。并且随着蠕虫的不断攻击，防病毒系统将会调用大量的系统资源来修复和防御蠕虫攻击后修改的系统文件，频繁的对文件系统进行扫描与恢复。这样也无形的增加了系统的不稳定性，影响了系统的可用性，最关键的是，蠕虫攻击在仍然在网络中传播，给交换机，路由器带来持续的压力和威胁。另外，客户端感染威胁的途径是多种多样的，比如Internet Explorer浏览器漏洞，可以利用VBS恶意脚本，BMP图片木马，ActiveX控件后门程序等，通过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料。这一切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部网络和核心区域，所以我们说，保护好工作站的安全，是企业网络安全的一个重要部分。

通过上面简单的分析和举例，工作站的安全工作主要包含如下几个方面：桌面防病毒，桌面防火墙，系统补丁管理，系统授权与审核，软件使用许可监控和网络访问控制。从如今市场上流行的解决桌面安全的产品中，从保护用户系统的稳定性与可用性以及综合安全的角度，我们选择Symantec公司的Symantec Client Security 2.0 作为桌面防病毒和防火墙的集成安全解决方案。该产品最大的优势是不存在互操作性问题，SCS 2.0将防病毒，防火墙与桌面入侵检测完美结合，提供如今防御混合性威胁最佳组合。采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务，因为跨厂商的互操作性问题往往会存在漏洞，从而使威胁乘虚而入危及安全性。此外，当病毒发作时，必须针对各种不同的技术，对每个厂商提供的修复方案进行测试和验证。这样就降低了对攻击的反应速度，并潜在地增加了成本。如果您要了解更有关于SCS方面的资料，可以访问http://enterprisesecurity.symantec.com 网站，获得更多信息和技术支持。

混合性威胁：

用多种方法和技术来传播和实施的攻击或威胁，因而必须有多种方法来保护和压制这种攻击或威胁。如: CodeRed. CodeRed II. CodeBlue. Nimda.

正如上面所提到的，必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知，Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。但是在大型企业中实际实施却没有这么简单，修补不同操作系统的大量客户端，如Win98/Me/2000/XP/2003等，将是一件让人痛苦的工作，不仅部署时间长，还要花费大量的人力和时间，影响到企业的应用和业务的正常运转。尤其是在网络环境复杂的企业中，包含多个域多个工作组，或没有域的早期环境。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢？我们的回答是，选择一套高效安全的桌面管理软件，来进行完善的企业IT管理： LANDesk Management Suite，即LANDesk管理套件，桌面管理市场的开创者和领导者。LANDesk专注于提供桌面管理市场的产品与服务，公司原属于Intel公司的软件部，拥有强大的管理团队与专业背景，全面支持混合平台环境。包括Windows平台,MAC平台,Linux平台,Unix平台，Solaris平台。可以在有域或无域环境中部署，尤其是操作系统补丁的检测收集与自动修补，通过LANDesk的目标多址广播（可大量减轻网络主干压力）、对等下载（即使用流行的BT下载原理）、动态带宽调整等技术优势，迅速的修补企业内部网络中的系统漏洞，不需要人工参与，不需要管理员去核对操作系统版本与状态，在无人职守或者非法中断的情况下会在下次自动完成部署任务，断点续传。因为篇幅的原因，LANDesk的更多优势，如IT资产管理，软件授权监视，系统安全服务状态，禁止外设（USB，1394，无线，CD-ROM）OS操作系统迁移，软件分发，软件许可监控等功能，请通过 www.Landesk.com.cn 获得更详尽的信息。

真正的安全：整体集成安全解决方案 + 同时更新 = 真正的安全

通过在内部网络中的每台工作站上部署防病毒，防火墙，入侵检测，补丁管理与系统监控，我们可以集中收集内部网络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。但这仅仅是不够的，还有另外一个重要的部分，就是从网络结构上的接入层，汇聚层和核心交换层设备上做好访问控制与流量管理。

其次是网络结构的安全性，管理人员都知道，通过部署多层交换机，实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个网络的更多安全信息，包括流量的管理，QoS，入侵行为和用户访问信息。仅通过网络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点，采集和汇总数据包的完整信息，提供给管理人员分析是正确的方法。当然了，这也要求管理人员的技术水平达到一定的高度，并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的网络设备联动，减少误报，共同响应与阻断威胁，将是未来的发展趋势和重点。

网络的核心区域包括核心交换机，核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Web服务器，数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险最集中的区域。我们遇到的矛盾是，既要不影响DMZ区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。

存在的矛盾：如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。

与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。

如今的防火墙的功能越来越强大，这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。

简单来说，状态检测技术工作在OSI参考模型的Data Link与Network层之间，数据包在操作系统内核中，在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表，Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得CheckPoint防火墙不仅能跟踪TCP会话，也能智能处理无连接协议，如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前，必须有内部网络的某一台客户端发出了请求，而且如果没有受到响应，端口也不会处于开放的状态。状态检测对流量的控制效率是很高的，同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速，有效的控制数据的进出和做出控制决策。

在Web环境中，威胁来自于多个方面，从端点到传输到边界，最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的防火墙的功能对于Web的保护相当有限，比如，无法深入检测HTTP的内容，不能理解 Web 应用的上下文，性能低下，无法提前部署与防御等等。CheckPoint的Web Intelligence，有一种名为Malicious Code Protector（可疑代码防护器）来提供对应用层的保护。比如，Web会话是否符合RFC的标准不能包含二进制数据；协议使用是否为预期或典型的；应用是否引入了有害的数据或命令；应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢？MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码，模拟行来判断攻击，将可执行代码放置到一个虚拟的仿真服务器中运行，检测是否对虚拟系统造成威胁，最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击，并且误报率相当低。

通过多种技术的协同防护，可以保证在网络边界对访问进行控制，但是，随着VPN网络和远程移动办公用户的接入增多，网络边界的概念在如今已经非常模糊了。很明显的，网络的边界已经拓展到实际用户的桌面端。所以还是回到了我们文章一开始谈到的，网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作，并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到，如服务器的加固，无线安全，反垃圾邮件系统，风险评估，安全检测等，因为篇幅的关系，希望下次有机会继续与各位探讨和学习，谢谢。

出处：蓝色理想
责任编辑：moby

上一页 防火墙技术与网络安全 [1] 下一页

◎进入论坛计算机技术版块参加讨论