网络安全－企业网络体系结构设计

作者: 王达 出处:电子工业出版社易飞思公司　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2007-04-07 15:04
关 键 词：病毒  木马  黑客攻击  防火墙  企业网  网管员必读—-网络安全
阅读提示：《网管员必读—-网络安全》是国内第一本真正以企业网络应用的安全需求为出发点编写的企业网络安全图书，与市面上常见的黑客攻击类图书有很大的不同。不仅介绍了常见的病毒、木马和黑客攻击的防护方法，而且更多的是从全局的战略形势分析了企业网络中存在的安全隐患。本节讲了关于企业网络体系结构设计所需的考虑的因素。

3.6.2  企业网络体系结构设计所需的考虑 
防火墙检查传入IP数据包并且阻止那些它检测出具有入侵性质的数据包。可以通过在默认情况下将某些数据包标识为非法的来完成某些阻挡。或者，也可以将防火墙配置为阻止某些数据包。TCP/IP协议是许多年前设计的，没有考虑到任何有关窃取或入侵的因素，并且有许多弱点。例如，ICMP协议被设计为TCP/IP内的一个信号机制，但是这很容易导致滥用，并且可能导致发生诸如拒绝服务攻击等问题。内部防火墙比外围防火墙具有更严格的要求，这是因为内部通信的合法目的地可能是内部网络中的任何服务器，因而更难控制。
有许多种类型的防火墙，在一定程度上是按价格区分的，但是也可以按功能和性能区分。通常，防火墙的价格越贵，能力和功能越好。在选择防火墙之前，我们应当充分考虑预算、现有设备、可用性、可伸缩性及所需的功能。
1．预算
预算其实就是打算用多少钱来购买防火墙设备或者软件。我们在选择防火墙产品时，应该要考虑到在控制支出的同时，提供尽可能高级别的服务，也就是花最少的钱，购买最符合本企业实际需要的防火墙产品。当然任何产品的成本都不仅与防火墙的功能和性能相对应，还可能与品牌关系密切，这时就要求我们要做适当选择，既不盲目追求大品牌，但也不应该随便找一个未经市场检验的品牌。而且如果防火墙过分受成本限制，应注意这可能会对企业造成潜在的损失，这里需考虑企业在服务器因遭受攻击而被中断时的停机时间成本，权衡得失。
2．现有设备
在购买新的防火墙设备时，要先对本企业现有的设备进行一次全面的评估，看是否有类似功能的设备或软件产品，是否可以通过升级或者重新部署应用方案来达到新的目的，这样或许可以不买，或者仅需购买相对较低档的防火墙设备，以节省企业安全投资。如有的企业就有具有包过滤功能的路由器，充分利用就可以起到一台包过滤防火墙的作用。
3．可用性
另外，在选择防火墙时还要充分考虑到企业网络对网络安全设备的可用性的要求如何，是否需要防火墙在所有的时间都可用？这关系到不同的防火墙方案部署和防火墙产品档次的选择。如果企业要提供一个持续可用的公用Web服务器设备，那么就需要几乎100%的运行时间。但任何包括防火墙在内的设备都会有发生故障的可能性，那么如何减轻损失呢？此时防火墙的可用性就需充分考虑了。具体可以通过以下两种方法来改进。
（1）冗余组件
为某些很可能发生故障的组件（如电源、网卡）配置备用系统，这可以改进防火墙的适应性，在工作组件发生故障时，备用系统可以在非常短的时间内接替故障组件的工作，继续提供服务，使因防火墙出现故障而带来的损失减至最少。这也是许多关键设备提高可用性通常所采用的方法，特别是在服务器中。但是低档防火墙通常不具有任何冗余能力，所以在选购时需要特别注意，一定要事先了解清楚，否则很可能造成投资浪费。要知道这可是比较大的投资，一般都在好几万元，十来万的防火墙也只是普通的，不是一笔小数目。
（2）备用设备
为防火墙设备配置相对独立的备用系统可以提供一个具有完全适应性的系统，但这需要相当大的投入，因为这其实就是完全相同的两套系统，所以至少需要双倍的投资。这就相当于服务器中的双机容错技术。但是，它的好处是可能会倍增吞吐量，具体取决于防火墙。在理论上，从最小到最大的所有防火墙都可以进行复制，但是实际上还需要一个软件转换机制（在较小的防火墙中可能不存在）。
4．可伸缩性
防火墙的吞吐量可以按每秒传输的位数和每秒传输的数据包数进行计算。其实任何网络设备都有这样一个指标，它关系到相应设备所能承接负荷的能力。在这里就要求能正确看待企业网络流量了，而且还要有发展的眼光。如果是新的业务，可能网络流量比较低，但一旦公司业务发展了，网络流量可能迅速提升。我们在选择防火墙产品时要充分考虑到这一点。如何应对网络流量增长？可以有两种方式：其一是一开始就选择具有较高吞吐量的防火墙产品，这可能只适用于那些经济实力较强的企业；另一种方法是选择模块式的防火墙设备，可以通过增加模块来逐步提高防火墙的吞吐量，这对于成长中的中小企业来说更为合适。
5．所需的性能与功能
虽然说防火墙的主要功能就是阻止非法用户的通信，但从原理上来讲，不同档次的防火墙成功拦截非法入侵、攻击的能力是有很大差别的。究其原因就是它们所采用的安全策略技术，硬件配置水平等不同。另一方面，现在的防火墙功能也开始多元化了，主要是为了适用于不同的网络应用领域。您的公司究竟需要哪一种功能防火墙呢？这时作为网络管理员的我们在选购防火墙设备之前要做充分的评估，不要等到防火墙设备购买好后再说某某功能无法实现，需要另外购买其他设备。如现在许多企业都采用VPN来实现企业网络与分支办公室、供应商、合作伙伴之间的网络互联，如果您选购的防火墙不支持VPN的话（最低要求要支持VPN Pass Through，VPN透传），则根本无法应用在这样一种网络中。

回书目   上一节   下一节

滚动新闻　术语词典　问题悬赏

我也说两句