3-8 防火墙是不是保证企业网络安全
企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!
随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑。因此,企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击。在许多企业、甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了。
但是由于现有的企业网络安全基础设施存在缺陷,因此它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播,而是隐藏在复杂的应用层数据中,通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播,但企业现有的安全设施还不能对这些传播渠道进行控制。现在,IT经理们不得不重新审视企业的网络安全系统。
企业网络面临新问题
当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,最终损失的是企业的利润。
Web滥用降低企业生产力 Web的广泛使用极大地帮助企业提高生产力,获取信息的速度前所未有。但互联网是一个大染缸,各种各样的内容充斥其中,新闻、购物、体育、色情等,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。因此,对不合适的内容进行过滤、对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业利润的当务之急。
聊天工具的安全问题 这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具,之所以这样称呼是因为它们最初是为朋友间聊天而出现的。而现在,这类聊天工具已成为一些企业信息交流的主要工具。然而,权威人士研究发现,这些聊天系统在设计时都着重考虑了灵活性,而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。如前所述,聊天工具也已成为病毒大量传播的一种途径。但在线聊天工具高效、方便的特点,正迅速被越来越多的人所接受,单纯地屏蔽是不合适的,关键是采取一种有效的聊天控制策略并加以监管。
点对点文件共享应用的安全问题 点对点文件共享应用(P2P),在中国称为BT下载,它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中,每个用户既是客户端又是服务器,每个人都可从其他用户处下载自己需要的数据,也可将自己已下载的数据共享给其他需要这部分数据的用户。这样,由于这种应用消除了传统下载方式的服务器瓶颈,下载人数越多,下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而,在企业网络中,这种应用没有理由存在,因为它不仅会对网络可用性造成严重影响,还能成为病毒传播的途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任。因此,从各方面考虑,有必要对其进行屏蔽和控制。
代理服务解决问题
为什么防火墙不能有效解决以上那些问题呢?因为防火墙的主要功能是阻挡来自外部的攻击。企业现在使用的防火墙大多是包过滤型,或者是高级一些的状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。
防火墙不能有效进行应用层检查。当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。
对应用层检查最好的办法是使用新一代的安全代理专用设备。代理专用设备就是代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。
安全代理专用设备是现有网络安全架构的一个重要的补充,但并不是取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构,重新定义企业网络安全前景。