|
|
你的位置:主页 > 品牌新经济 > 企业电子商务解决之道 > Intranet建网战略 |
 |
防火墙
当一个东西具有相当价值时,那么自然就会有人开始企图使用一些手段取得这个东西。同样,对于在公司或是组织内部的信息,一旦相当具有价值,就会开始有各种人企图取得。举例来说,如果您公司最近刚刚研制出一种新的产品,对于您的对手来说,如果能够在您还未将产品上市之前,就先取得产品计划的内容,然后抢先动作,这样对手就可以获得很大的利益,而您的公司就会因此失去很多客户。而如果您的计划是存放在电脑中并已连上网络,但是又没有经过适当的保护,那么资料被别人通过网络窃取的可能性就非常大。另外,有时通过破坏或是修改资料的内容,也可以获得很多利益。例如,如果能够修改账户中的金额,就可以赚到不少钱了。 在台湾,似乎很少听到有入侵的事件,最多不过是一些学术单位的电脑主机被入侵而已。原因主要是目前的商业公司对于电脑网络的依赖程度不高,特别是很多公司的内部网络根本没有连上Internet,所以根本没有让外人入侵的机会。但是随着Internet/Intranet这个风潮的兴起,越来越多的公司会与Internet搭上线。如果没有完善的安全防护措施,反而会未蒙其利,先受其害。在建立Intranet而又要与Internet连线的状况上,为您的网络安全加上层层防护,是绝对必要的。 一般而言,入侵的人可以分为两种:一种是由组织或是公司外面的人对Intranet进行入侵活动;另外一种就是所谓的家贼,也就是自己人侵入系统。实际上,外来的入侵活动比家贼要多。因为如果连上Internet,整个Internet的人都有可能是入侵者。而防火墙就是为了要防堵这种外来的入侵。 防火墙可以是软件也可以是硬件,它就像是看门狗一样,位于Intranet与Internet的连接处。因此所有从Intranet出去,或是从Internet进来的信息,都一定要经过防火墙。所以防火墙可以监视从外面进来的所有信息,并且根据这个信息的来源以及目的地,决定要不要让这个信息通过。下面列出一些防火墙的主要工作: 1.封包过滤(packet filter) 封包过滤是防火墙最基本的功能,主要的目的就是要将非法的连线要求阻挡在内部网络之外。一旦入侵者无法与内部系统建立连线,再厉害的破解系统高手都无用武之地了。在使用这个功能之前,首先就是要确定您的安全策略,允许哪些地方与您的内部网络连线,或者是只允许哪些主机供外部网络访问。举例来说,您对客户所提供的功能全部都在一台Web服务器上,那么正常的用户应该不会企图与您内部网络中的其他服务器建立连线。因此,就可以通过防火墙将所有企图连到Web服务器之外的要求予以拦截。这样一来,您的安全漏洞范围就由原来的整个公司的电脑,缩小到只剩该Web服务器以及防火墙了。 2.连线监视 通过防火墙,我们可以对连进内部的网络,或是对外连线的情况全部加以记录。一方面是通过这个记录来找出可能的入侵者,然后加以防堵;另外一方面,也可以通过这个功能来察看员工是否有不正常的连线。比如说,是否有在上班时间连线到游戏网站的情况。一旦发现这种情况,可以考虑将所有连到游戏网站的连线加以拦截。 3.代理服务(proxy) 前面我们在讨论Web服务器时,也提到过代理服务器这个名词。它的基本作法如下:所有的连线都会通过这一节点连到其他的服务器上。因此,我们可以把一些公开的资料先记录在这台主机上,当内部网络有第二个用户要求相同资料的时候,就直接将代理服务器上的资料送给该用户。一方面可以节省后来用户抓取资料的时间,另一方面也可以省下网络频宽。防火墙的基本结构有下面三种。(如果想要更深入地了解关于防火墙的知识,建议您买本书来看看,或者利用网络上的搜寻引擎,使用防火墙为关键字,可以找到很多有用的资料。) 4.双边界面主机(Dual-Homed Host)结构 所谓的双边界面主机,是一种具有两个网络界面的主机,分别连接内部网络与Inter-net。而且这两个界面并没有直接连在一起。也就是说,Internet上面的封包没有办法直接送到内都网络里面。因此,所有要进入内部网络的封包,都一定要经过这个主机的允许。另外,双边界面必须要以代理的方式,才能提供对外连线的服务。基本上,目前大部分的网络软件都提供代理的功能,不过一些旧的网络软件可能就没有办法了。这是此种结构的一大缺点。 5.屏蔽式主机(Screened Host)结构 在此种结构下,直接对外部与内部的连线仍旧是不允许的。也就是说,如果Internet上有某个封包,要直接送到内部网络的某台机器是不允许的,这个封包将被屏蔽路由器所拦截。不过只有一种机器例外,这种机器就是防御主机。在Internet上的封包是可以直接送到防御主机上的。因此防御主机成为唯一的对外通信渠道,即防御主机成为外部唯一可进行攻击的点。所以这台主机必须具有非常高的安全性,而所有的内外连线需要经过这台机器才能进行。 6.屏蔽式子网络(Screened Subnet)结构 此种结构具有两个路由器,同时也有两个等级的网络:一个是内部网络,另外一个就是周围网络。防御主机位于周围网络上。同样,所有直接对内部网络的连线依旧是不被允许的。这种结构主要是为降低在防御主机被入侵之后,可能造成的破坏程度。因此,我们可以将一些不太重要的资料放在防御主机上。这样,就算防御主机被侵入,通过内部路由器的保护,使位于内部网络中的重要服务器依旧十分安全。 通常,我们将一些公开性的服务放在防御主机上,如收信、匿名ftp、DNS等。这些服务本来就是公开的,就算被破坏了也不会有很大的影响。而公司内部的数据库等,就绝对不可以放在防御主机上。这种服务器一定是放在安全等级最高的内部网络中。 前面对防火墙做了一点概念上的介绍。下面就让我们来看看几家公司的产品。 一、Secure Computing BorderWare/Sidewinder 首先我们来看看,由Secure Computing(http://www.sctc
com/)公司推出的BorderWare 这个表的各栏可能已经把您搞迷糊了。不过没有关系,这些表格只是给您做了一个比较。首先操作系统这栏说明该产品所需的操作系统,当您考虑选购防火墙时,可以依照您目前的环境来考虑防火墙所使用的操作系统是否适合于与您现有的环境集成;支持网络这一栏列出的网络种类越多,表示这个防火墙所能支持的网络环境越多,当然至少您目前使用的网络环境一定要支持才行;过滤功能列得越多,表示这个防火墙所支持的通信协议越多,可以让更多的服务通过这个防火墙来处理;加密和加密模式这两栏主要是说明这套产品所支持的加密有哪些,不一定是越多越好,但是几个重要的一定要支持,如DES等;通过认证栏是表示这个软件通过了哪些组织的安全认证,通过得越多,自然就表示这个产品的安全性受到越多组织的肯定;警告方式是说明当有非法侵入时,这个产品是如何发出警告的;认证支 持则是这个产品对于客户机有哪些认证支持,列出得越多,当您在选择客户端认证产品时余地就越大。 这些名词都必须对于网络安全有相当的研究,才会了解其中的意义及所代表的安全性。因此,除非您从事这方面的研究或是工作,不然,你只需要比较一下这几个产品的差异,然后选择适合您现有环境的产品就可以了。不然就请专家为您做一个评估。在后面的产品中,我们都会有类似的表来帮您做比较。 二、CheckPoint Firewall—1 CheckPoint(http://www.checkpoint.com)这家公司推出的Firewall-1共支持两个平台:一个是Unix平台。另外一个是Windows NT平台。Firewall—1具有一种很特别的结构,称为多层次状态监视(Multilaver Stateful Inspection)结构。这种结构让Firewall-1可以对复杂的网络应用软件进行快速支持。也因为这个功能,使得CheckPoint在防火墙产品的厂商中位居领导地位。有很多第三方厂商对它进行支持。而CheckPoint亦提供了一套APL供开发者使用,以便开发更多的辅助工具。总体来说,这是一套非常不错的软件。下面是Firewall-1的Unix与Windows NT两种版本的比较(表3-47)。 三、CyberGuard CyberGuard这套防火墙,是由CyberGuard(http://www.cyberguard.com/)公司制作。这家公司是从Harris Computer System公司分离出来的。因此,虽然公司还很年轻,但是对于防火墙发展的经验反而比公司成立的时间还要久。CyberGuard的主要结构是基于CX/SX多层武安全操作系统。它的操作相当容易上手,这应该归功于该公司的操作界面设计优良。而CyberGuard跟其他防火墙产品不同的地方在于,它提供一种可以安装在防火墙上的界面卡。通过这个界面卡,可以进行硬件加密。这对于整体效通有显著的提高。另外,它还有一些特点:如网络地址转译、支持Sock、分割式的DNS。下面我们来看看CyberGuard各项特性的列表(表3—48)。 防火墙的建立是一个很复杂的过程,如果不是很熟悉防火墙而自行建立,将会留下一些安全上的漏洞而不知道。因此建立防火墙最好还是请专家帮忙。在NCSA(http://www.ncsa
com)提供有防火墙的认证。通过NCSA认证的防火墙,表示它的安全性是被美国国家所肯定的,应该值得信任的。因此,下面,我们将通过认证的厂商及其产品列出来,给大家作个参考(表3-49)。您也可以自行连到http://www.ncsa
com/fpfe/取得最新的资料。
|
|
Copyright © 2000-2006 21Brand.com |
