网络/安全/存储产品 |
|
| 按行业筛选 |
|
|
| 按产品筛选 |
|
|
| |
查看本类全部文章 |
| |
|
|
|
让防火墙适应企业需求的变化 |
|
newmaker |
|
在建立防火墙架构的同时,就将成长性的理念植入其中,不仅将会为你节省下许多的投入,同时还能够确保你的安全配置能够与你业务的扩展速度保持同步。下面,我们就一起来看看如何能够建立起一个具有高性价比、可以逐步升级的防火墙系统。
每一个将它的内部网络连接到互联网上的公司或者组织,都需要一套防火墙系统来保护自己免遭来自网络上的入侵和攻击。而且现在,安全系统供应商也能够按照每一个客户的预算来为他们提供相应的解决方案。不过,如果你的公司计划要不断发展的话(又有哪一个公司不是这样的呢),那么你在选择防火墙解决方案的时候,就一定要把可扩展性摆在重要位置。下面,就让我们一起来看看,一个小公司是如何建设一套具有可扩展性的防火墙架构的。
小起点,大未来
许多公司在刚刚创业的时候,通常都只是一个人的“作坊”,或者只有少数几个员工。他们的网络一般只是由数量很少的几台计算机组成,并且都加入到一个工作组内。这个工作组使用的基本上都是价格并不十分昂贵的网络连接,然后通过微软的ICS或者第三方的NAT解决方案来进行共享。即使你的“公司网络”只包含有一台可以连接到互联网的计算机,你也需要一个防火墙来保护自己。只不过对于小公司来说,他们通常所使用的都是Windows XP操作系统自带的Windows Firewall(在Service Pack 2之前被叫做网络连接防火墙或者ICF),或者是其它一些价格较为低廉的、基于主机的软件防火墙,比如说ZoneAlarm或者Norton的个人防火墙。
当你的公司不断发展,你的局域网里已经包含有许多台计算机了,那么,就是时候开始考虑该如何来扩展你安全防御的范围了。许多宽带路由器都内置有一些基本的防火墙功能,但是这些功能通常都只是一些很简单的过滤防火墙。虽然某些路由器具有类似于MAC过滤器和URL过滤器这样的功能,但是大多数的实际上还是为消费类用户设计的,而不是针对企业级用户。一次让整个网络完全瘫痪的攻击,就足以让你的公司大伤元气,因此,我们建议你还是选择一些更为成熟可靠一些的“防御武器”。
解决方案:硬件Vs.软件
最简单的方法,就是在网络的主机上安装一个价格较为低廉的专用防火墙设备,也就是我们通常所说的“硬件防火墙”。像PIX 501、SonicWall Pro 1260、WatchGuard Edge X15,以及NetScreen 5系列就是这样的产品。它们所采用的都是一些很“傻瓜”的解决方案,设置起来非常简单。不过,你会发现,虽然这些产品价格便宜,但同时它们的升级性能也相当的一般。通常这些产品的连接端口都非常的有限,而且其带宽也不会很大。这种硬件产品基本上很难、甚至不可能对其进行升级,因此当你的网络开始不断增长,你的需求也随之发生改变的时候,你就有可能会需要购买一个更加高级的防火墙设备。与最低端的产品相比,其它的一些设备具有更大的容量,你需要购买另外的使用许可证来利用这些潜能就好了。
虽然最初的成本可能会比较高,而且设置起来也不是很简便,但是你还是会发现那些所谓的“软件防火墙”,比如说微软公司的ISA Server、CheckPoint,以及赛们铁克公司的企业防火墙,会更容易伴随着你的公司一起成长。这些防火墙产品可以被安装在某个常规网络操作系统(比如说Windows Server、UNIX或者Solaris)之上。这就意味着,你对计算机及其相关配置拥有充分的选择权,而且在以后需要的时候,还可以对其进行升级,比如说换个速度更快的处理器,或者增加更多的内存。
与低端的硬件产品相比,软件防火墙通常能够支持数量相当庞大的网络连接,而其数据的吞吐带宽则是由你所选择的硬件来决定的。这些企业级的软件防火墙通常都是针对网络保护来设计的,不要与那些针对保护单台计算机而设计的、基于主机或者“个人”防火墙的软件防火墙相混淆。
混合型的防火墙解决方案
随着你的网络越变越大、越来越复杂,网络安全已经不再是只用一个防火墙来保护整个网络的主机服务器了。在这个时候,你可能会有在外地的分支机构需要远程连接到总部的局域网,而你可能还会希望能够控制都有哪些人在局域网内的其它地方在访问某些部门或者分公司(比如说财务部或者人力资源部)的子网络。
这就要求你采用一种完全不同的防火墙配置策略和识别技术,因为现在,你所需要保护的不再是一台网络服务器了,同时还包括有许多局域网内部的子网络服务器。举个现实生活中的贴身事例:你现在不仅要将大门上锁(外部网络主机),同时还要将建筑物内所有独立的办公室的门都要上锁。同样,你可以在部门或者分支机构的主机服务器上安装防火墙,以便建立内部保护。
如果你公司有一些服务器是供那些在公司局域网内没有账户的网外用户直接通过互联网来访问的,那么在这种情况下,你就需要用到多种防火墙了。最好的解决方案就是通过将那些可直接通过互联网访问的服务器放在两个防火墙之间来构建一个“DMZ”(也叫做“屏蔽子网”或者“周边网络”)。一个防火墙建立在互联网的接口上,而其它的则设立在内部局域网的“入口”处。那么,位于这两个防火墙之间的计算机和设备就处在一个DMZ中。这意味着,即使有黑客能够成功的突破到DMZ中的某台计算机上,他还是无法进入到整个局域网中。
最后,你还会发现,使用多种防火墙还会给你带来更多的好处,那就是它在保证性能的同时还能够为你提供更有效率的保护。传统的数据包过滤防火墙速度虽然很快,但是它们却无法顾及到在应用层上实施的攻击。应用层过滤(ALF,Application Layer Filtering)防火墙能够提供更加全面的过滤,它不仅会校验包头(Packet Header),还会对信息包的内容进行全面的检查。不过,这同时也会让你付出性能降低的代价。基于以上的这些原因,因此我们建议你最好是在互联网入口的地方设置传统的数据包过滤防火墙,因为那里网络流量最大,而在它之后则可以设置多重应用层过滤防火墙,以便进行更多枯燥冗长的内容检验。
利用原有防火墙来支持成长
如果你的规划是合理的,那么伴随着你公司的成长,你还一直能够利用那些在你网络建设初期时所购买的防火墙。当你购买了一个性能更为强大(当然价格也更为昂贵)、能够处理所有对外数据流量的防火墙的时候,这些曾经位于网络接口最前沿的、低价格、低容量的硬件设备就可以逐渐被“后移”到内部,用来当作某个部门的防火墙。而软件防火墙则可以被安装到一台低端服务器上,日后可以对它的硬件配置进行升级,以满足更高的容量要求,或者当有一个新的快速的数据包过滤防火墙被设置在网络的前端,管理所有数据流量的进出的时候,你还可以将其作为DMZ中某个子局域网的服务器主机,来实现对应用层的数据过滤。即使该软件防火墙因为自身的版本老旧而“退休”了,或者被安装到其它的计算机上了,原来的计算机还可以继续“回收利用”,在网络中当作文件服务器,或者用作其它的用途。(end)
|
|
文章内容仅供参考
(投稿)
(如果您是本文作者,请点击此处)
(5/20/2006) |
对 网络/安全/存储产品 有何见解?请到 网络/安全/存储产品论坛 畅所欲言吧!
|