3-8  防火墙是不是保证企业网络安全

企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法! 

随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑。因此,企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击。在许多企业、甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了。

但是由于现有的企业网络安全基础设施存在缺陷,因此它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播,而是隐藏在复杂的应用层数据中,通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播,但企业现有的安全设施还不能对这些传播渠道进行控制。现在,IT经理们不得不重新审视企业的网络安全系统。

    企业网络面临新问题
    当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,最终损失的是企业的利润。

    Web滥用降低企业生产力 Web的广泛使用极大地帮助企业提高生产力,获取信息的速度前所未有。但互联网是一个大染缸,各种各样的内容充斥其中,新闻、购物、体育、色情等,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。因此,对不合适的内容进行过滤、对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业利润的当务之急。

    聊天工具的安全问题   这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具,之所以这样称呼是因为它们最初是为朋友间聊天而出现的。而现在,这类聊天工具已成为一些企业信息交流的主要工具。然而,权威人士研究发现,这些聊天系统在设计时都着重考虑了灵活性,而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。如前所述,聊天工具也已成为病毒大量传播的一种途径。但在线聊天工具高效、方便的特点,正迅速被越来越多的人所接受,单纯地屏蔽是不合适的,关键是采取一种有效的聊天控制策略并加以监管。

    点对点文件共享应用的安全问题 点对点文件共享应用(P2P),在中国称为BT下载,它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中,每个用户既是客户端又是服务器,每个人都可从其他用户处下载自己需要的数据,也可将自己已下载的数据共享给其他需要这部分数据的用户。这样,由于这种应用消除了传统下载方式的服务器瓶颈,下载人数越多,下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而,在企业网络中,这种应用没有理由存在,因为它不仅会对网络可用性造成严重影响,还能成为病毒传播的途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任。因此,从各方面考虑,有必要对其进行屏蔽和控制。

    代理服务解决问题
    为什么防火墙不能有效解决以上那些问题呢?因为防火墙的主要功能是阻挡来自外部的攻击。企业现在使用的防火墙大多是包过滤型,或者是高级一些的状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。

防火墙不能有效进行应用层检查。当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。

对应用层检查最好的办法是使用新一代的安全代理专用设备。代理专用设备就是代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。

安全代理专用设备是现有网络安全架构的一个重要的补充,但并不是取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构,重新定义企业网络安全前景。

(0)

相关推荐

  • 3-8 防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • 3-8  防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • 使用FreeBSD防火墙保护企业网络

    我们看看如何使用建立好了的FreeBSD防火墙保护企业,首先假设某企业有以下服务器和工作站: 1.WEB服务器两台.一台企业主页,一台做BBS,希望IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002 2.DNS服务器一台,并且兼带企业E-mail服务,IP地址为xxx.xxx.xxx.003,把www.testdomain.com解析到xxx.xxx.xxx.001以及bbs.testdomain.com解析到xxx.xxx.xxx.002 3.企业内部局域网络,计算机N台

  • 防火墙是关键控制还是全网服务

    防火墙无疑是目前网络安全领域认可程度最高.应用范围最广的网络安全技术,根据CCID提供的数据,今年防火墙占整个信息安全产品市场的38.7%,略高于防病毒产品,位居第一.在这一年中,防火墙技术本身有了怎样的发展,又有什么新的思路和亮点呢? 由于防火墙技术已经发展了很长时间,技术已经比较成熟,几年来,其基本的框架和设计思路没有太多的变化,所调整的不过是对一些新应用的支持而已,在防火墙的基础功能上有了一些功能项的扩充.这样就对我们选用防火墙时提出一个问题--各家的防火墙好像都差不多,该有的功能都有

  • 网络安全基础知识16个问答

    问:什么是网络安全? 答:网络安全是指网络系统的硬件.软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏.更改.泄露,系统可以连续可靠正常地运行,网络服务不被中断. 问:什么是计算机病毒? 答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码. 问:什么是木马? 答:木马是一种带有恶意性质的远程控制软件.木马一般分为客户端(client)和服务器端(server).客户端就

  • 智能防火墙的技术特征

    防火墙已经被用户普遍接受,而且正在成为一种主要的网络安全设备.防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包.传统的防火墙有一个重大的理论假设-如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃.但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的.管理员必须告诉防火墙准许通过什么,防火墙则依据设置的规则来准许该包通过,这样管理员就必须承担策略错误

  • 蜜罐技术:消除防火墙局限和脆弱

    防火墙是网络上使用最多的安全设备,是网络安全的重要基石.防火墙厂商为了占领市场,对防火墙的宣传越来越多,市场出现了很多错误的东西.其中一个典型的错误,是把防火墙万能化.但2002年8月的<计算机安全>中指出,防火墙的攻破率已经超过47%.正确认识和使用防火墙,确保网络的安全使用,研究防火墙的局限性和脆弱性已经十分必要. 防火墙十大局限性 一.防火墙不能防范不经过防火墙的攻击.没有经过防火墙的数据,防火墙无法检查. 二.防火墙不能解决来自内部网络的攻击和安全问题.防火墙可以设计为既防外也防内,谁

  • 网络防火墙功夫深入到第七层

    编者按在短短的几年里,防火墙的功能重心从网络层发展到了应用层.本文阐述了这种变迁的技术背景,以及未来的防火墙技术走向. 应用层攻击挑战传统防火墙 最近两年来,攻击者的兴趣明显从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web.E-mail甚至数据库等主流应用的攻击.传统的防火墙仅仅检查IP数据包的包头,而忽略了内容--如果用信件来做比喻,也就是只检查了信封而没有检查信纸.因此对这类应用层的攻击无能为力.可以说,仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽

  • windows防火墙支持FTP服务的设置方法

    这种问题站长们经常遇到,偶把真正的解决方案贴出来给大家看下! 问题:2003 server用于提供web和ftp服务,通过互联网用flashfxp实现远程上传网页.如果关闭防火墙,ftp上传下载正常,但启用windows防火墙后就不行,即使把web.ftp等服务列为例外也不行.究其原因,flashfxp工作时实际还要用1024以上的tcp端口,而且对端口的指定是要变的.请有类似经验的朋友指点一下,这种情况下如何在开启windows防火墙时保证flashfxp能正常上传下载?只知道ftp使用20.

  • 中小企业突破4200万户 企业邮箱仅有10%

    据iResearch艾瑞咨询公司根据Radicati Group的数据显示,预测至2011年,企业用户将以平均每年20%左右的速度增长到1645亿封/天.然而据时代网(www.now.cn)相关负责人坦言,国内大多数的中小企业还处在成长阶段,信息化水平相对滞后,仅有10%左右的中小企业用户使用企业邮局,这与庞大的中小企业数量形成了鲜明的反差. 企业邮局可以使企业快速.高效的进行信息或数据的交换,提升企业工作效率.时代网提醒客户,企业可以结合自身的特点,选配合适的企业邮局及其增值功能,做到量体裁衣

随机推荐