随着Internet的大力风行,越来越多的企业连上Internet,应用也从早期的网站浏览到最近的电子商务; 将来企业网络与Internet的结合已成趋势,越来越多的应用系统将在Internet上被执行, 网络安全的问题是就成为了急待克服的难题。京联特科技针对日趋严重的网络入侵事件, 与金教网络技术服务公司联合推出“中国墙”防火墙系列,可对应企业不同等级安全需要提供周全的安全解决方案。 “中国墙”防火墙是保证Internet安全的第一层把门关,有人说连上防火墙不见得就安全, 其原因是很多人以为装上防火墙就达到了安全的标准,其实防火墙只是一个网络安全的控管系统, 重要的是企业有无一套安全的网络架构规划以及控管机制存在。防火墙必须根据安全合理的安全规划去执行其任务, 才能保障企业网络的安全。
企业在建立防火墙时应该考虑到其安全性、方便性与可管理性。在享受防火墙所带来的安全性服务之余, 仍然不忘其管理上的方便性。在建立防火墙之前,应先对企业内部的配置做一完善的规划,针对不同安全属性的计算机, 给予不同网段的区隔,再利用防火墙当枢纽,在不同网段间,提供警卫的服务。京联特科技根据专业的网络规划经验, 将一般的企业网络区分成如图一所示的四个等级,而安全等级会随着深入企业内部而更加严格。
表一:企业网络分类及安全等级
|
|
随着Internet的普及,现代的企业大部分都有连上Internet,利用Internet来提供服务, 以提升企业形象与提高企业的竞争力,因此会有提供公众服务的服务器,例如:www server、 e-mail server、ftp server等,早期我们会将这些服务器直接摆在外部网络,但是这样做无疑是让网络黑客有机可乘, 可以想尽办法破坏你的主机;比较理想的做法,是将这些提供给外部来使用的专区规划出来, 我们称之为周围网络(Perimeter Network),它将外部网络(Internet)与企业的内部网络隔开, 提供一个内外网络间的缓冲区,若网络黑客成功地侵入了防火墙的外部区域,则周围网络可以在攻击者及内部系统间, 提供另一层额外的保护,以增加企业网络的安全性。 至于企业内部网络为何还要分成共享区与私有区呢?事实上企业内部早已有部门的规划, 各部门由于专责事务的不同而有不同的分工,因此部门的资料是有其业务上安全性的考虑, 而不会给不同部门的人任意存取的;例如在一个公司内,财务部门的资料就不会给其它不同部门的人任意拿到, 这是企业安全控管上基本的要求。因此,将企业部门内的网络再规划成两段,将属于部门专属安全控管的计算机置于私有区内, 以防止部门资料的外泄。而这些不同安全等级网段的区分,必须靠防火墙的建立来实现。
防火墙就如同警卫室的功能是一样的,负责来访者身份的检查与登录,避免非授权者任意闯入,危害公司的安全。 我们把企业网络的架构与实体的组织联想一下:当我们到一家公司拜访时,会先到公司的警卫室办理身份登记手续, 由警卫室通知受访人到接待室或部门的会议室来会客。对一个安全控管严谨的公司而言, 很少会让访客直接登堂入室进入企业内去找他想找的人。这种实体的控管模式已广为大众所接受, 有很多的公司早已采用这样的安全控管模式。
而网络架构的设计是如何呢?是否也应如此的设计才安全?才易于管理?企业的网络要达到如此完善的安全控管机置, 就要妥善的使用防火墙及规划其网络。
根据前面所提及的实体控管模式,京联特公司根据实际的架设经验,提出一个安全的网络防火墙架构(如图二所示),以供大家参考。
图二: 安全的企业防火墙建立示意图
|
|
首先我们将网络分成企业外部网络、周围网络及内部共享区及内部私有区网络等四大部份。 所谓的外部网络指的是企业主防火墙以外的区域。这包括有企业外的路由器及Open Subnetwork; 对外路由器有如公司的大门一样,是对外的唯一通路,它负责连上Internet。而Open Subnetwork又叫做开放区, 事实上它是不安全的,因此可将无安全顾虑的主机置放于此,提供立即而快速的服务。 Open Subnetwork可根据实际的需要而建立,很多对安全控管要求较高的公司,是不设此区域的。 主防火墙是整个公司对外的枢纽,就如同企业大门的警卫室一般,是一定需要的。它紧临着大门, 一边通往企业内部网络,一边通往所谓的周围网络,周围网络上可摆上企业对外提供服务的服务器,例如: www server、e-mail server、pop3 server及ftp server……等,提供对外的服务。有些人会认为这些服务器, 既然是要给外人使用的,为什么不直接摆在防火墙外(例如Open Subnetwork),而要摆在防火墙内接受防火墙的控管呢? 其实这个道理很简单:首先,摆在防火墙内,你可以对任何存取你的服务器的访客留下记录,以供日后的追查或统计分析。 其次,可增加其安全性,避免黑客对你的服务器的攻击。防火墙的设定,可保证你的服务器只提供它应提供的服务 (例如若是www server,仅开80这个port提供服务),而阻挡所有不当的存取与联网,避免黑客在你的服务器上开后门。 这就是要开一个周围网络来放置所有对外的服务器的道理。
内部路由器是公司内,各部门交通的枢纽,一方面连通部门间的网络,另一方面避免部门间不当网络碰撞(Network Colliction) 的问题发生,以增加网络的效率。各部门可基于其内部安全控管的需要,再建立其部门内的防火墙。将部门专属的资料、 计算机置于其防火墙内,而将可分享给其它部门的资料、计算机置于部门public的区域内(如图二所示)。
企业可根据实际的需要,将某些较重要而有安全顾虑的部门网络,加上防火墙的配置,此即所谓的企业内防火墙(Intranet Firewall)。 企业内防火墙的功能与主防火墙类似,但因为其数量可能很多,会分配到各部门的网络内,因此其管理规则的设定、系统的维护, 不应太过困难。
企业希望建立一个安全的网络环境,除了采用防火墙之外,还必须妥善的规划其架构,拟定其安全策略, 最重要的是必须彻底执行其安全策略,而防火墙是落实这些安全策略的必要且重要的工具之一。
Internet商用化的趋势越来越明显,企业网络的安全性规划更是刻不容缓, 一个好的防火墙的规划必须能充分的配合执行企业所制定的安全策略,再加上安全的架构,方能提供企业一个方便而安全的网络环境。
|
2001-2007 Comsenz Inc.
