时间:2023-06-01 09:32:46
不久前,承钢通过严格的竞标及对众多安全公司的全面评估考察,最终决定选择方正信息安全公司提供的一揽子总体安全解决方案,并选择北京鼎佳世纪科技发展有限公司作为解决方案的集成商。
解决方案
针对承钢网络规模大、应用复杂、安全问题多的现状,方正信息安全公司、北京鼎佳世纪公司与承钢的负责人进行了多次深入的沟通,并从网络的不同层面进行了缜密分析,最终给出了详细的补救优化方案及产品解决方案,内容包括:防火墙系统、防病毒安全网关系统、入侵检测系统、企业级网络防病毒系统、VPN系统、漏洞扫描系统、网络管理系统等。
>防火墙
集团边界防火墙:在集团网络边界处应用一台方正千兆防火墙,用来连接外部网、DMZ区和内部网。它可以保护整个集团网络系统,与北京的分支机构建立专用的VPN隧道连接,让在外办公的用户可在防火墙的控制下访问内网。
SUN服务器保护:应用两合方正千兆防火墙在核心网络中各自保护一台SUN服务器。每台服务器都启用两个接口分别与两台6506交换机连接进行冗余线路备份。在此基础上,启用方正防火墙特有的IDS功能对SUN服务器进行入侵检测监控。
生产厂保护:用6口的准千兆级方正防火墙对矿业公司、二化及电话站专网进行专门保护;用一台4口的百兆方正防火墙对棒材生产子网进行保护;此外,应用方正千兆防火墙,配置三个以太网口和两个千兆长波单模光纤接口,保护炼钢生产子网和炼钢大高炉生产子网。
北京分公司保护:结合分公司的具体网络情况,在其网络边界部署一台方正VPN网关,利用方正强大的防火墙功能对其进行保护,同时启用VPN功能与集团网络边界处的方正千兆防火墙建立安全、专用的VPN通道。
北京库房保护:库房网络已经有一台路由器用于连接DDN专线,在此选用方正的VPN网关部署于路由器和内部网之间,一则保护内网,二则建立专用的VPN通道。
>入侵检测系统
集团网络边界:应用一台方正千兆硬件IDS系统对边界出口和DMZ区的交换机进行入侵检测监控,监听内网与外网间的数据交换,发现、阻断非法访问连接、合法连接的非法访问等。
内网关键区域:应用同样的系统分别对核心交换机的SUN服务器网段区域进行入侵检测监控,监听内容与效果与集团网络边界相同。
>防病毒安全网关
在整个集团网络边界,方正千兆防火墙外实施方正熊猫千兆防病毒安全网关PAGD8200。PAGD支持HTTP、 SMTP、 POP3、NNTP、FTP、IMAP、SOCKS协议,不仅可以有效地防病毒、过滤垃圾邮件,还可以做到协议级的内容过滤,保证内网的“清洁”。
企业级网络防病毒系统:在整个集团网络系统中实施企业级网络防毒系统,可以对集团网络中的桌面机、服务器等进行针对性的防毒保护。
>漏洞扫描评估系统
部署一套漏洞扫描系统,定期挂接到网络中,对当前网络上的重点服务器及主机进行一次扫描,得到当前系统中存在的各种安全漏洞,并有针对性地提出补救措施。
>网络管理系统
部署网管系统对整个内网进行监控管理。安全管理系统可以为管理员提供集中高效的管理手段,实时的监控,管理用户的网络、系统和应用;操作系统补丁升级系统:通过在内网中配置SUS服务,所有Win-dows的更新都集中下载到SUS服务器中,而网络中的客户机则通过SUS服务器更新,既节省资源,也提高了效率;此外在网管中心部署CISCO专用管理系统,可对CISCO的网络设备进行深层次的管理和升级。
整体解决方案价值体现
多层面立体防御
防火墙、入侵检测、防病毒网关、VPN、漏洞扫描系统各司其职,发挥各自产品优势,解决网络内部的不同安全问题,构筑了从内到外、从个人终端到集团网络边界立体多层防御体系。
产品稳定性能高
方正信息安全公司提供的硬件安全设备平均无故障时间(MTBF)≥6万小时,百兆、千兆防火墙完全适应承钢网络应用,不会形成网络瓶颈。
方便部署易管理
在技术和用户需求驱动下,网络和高端安全产品正在走向融合。未来,新一代信息技术将呈现出更加开放、智能、融合的属性,这将给信息安全从业者带来更大挑战。
从用户方面看,用户需求开始由被动向主动转型,对产品的选择也趋于理性。在产品结构方面,除防火墙、IDS(入侵检测系统)和防病毒这“老三样”产品外,用户对UTM(统一威胁管理)、Web安全、信息加密、身份认证、IPS(入侵防御系统)、VPN(虚拟专用网络)、安全审计、安全管理平台、专业安全服务等的需求逐步上升。
从防护对象看,用户对网络边界安全和内网安全防护都有所加强,服务器、终端、操作系统、数据库等软硬件系统防护体系建设全面推进。网络安全、应用安全、数据安全和系统安全体系将逐步健全。
2011年,随着网络威胁变得更加复杂多样,单一功能的安全产品越来越难以满足客户的安全防护需求,安全产品正在向多功能化方向发展,安全集成和产品功能融合已经是大势所趋,这种融合包括:软硬件、安全产品和IT设备的融合,厂商之间的产品和解决方案的融合等。如:UTM将多种安全功能集于一体,集成了防火墙、网关防病毒、网络入侵检测与防护等功能,有取代传统防火墙之势,有望成为未来的主流信息安全产品之一。
从具体产品看,防火墙已经从最初的包过滤防火墙发展到现在的深度检测防火墙,产品性能和对应用层数据的检测能力不断提高;UTM从简单的功能叠加,逐步发展到功能融合;IDS/IPS随着网络技术和相关学科的发展日趋成熟;内网(终端)安全产品需求快速增长;Web应用安全类产品从单一保护模式发展到多方保护模式;SOC(安全管理平台)产品正不断适应本地化需求。
东软NetEye安全运维管理平台(SOC)
东软NetEye安全运维管理平台(SOC)解决了海量数据和信息孤岛的困扰,整体上简化了安全管理的数据模型。通过将网络中各类IT基础设施的多类数据存储到一个通用数据库中,并根据科学的策略进行关联分析,协助安全维护人员更有效地回应不断变化的安全风险。
东软SOC采用创新的“私有云”架构,将数据收集、数据集成、数据分析等任务逐层下发到云端,实现了海量异构数据集成、数据归并、数据分析的多层次处理。基于云的系统能同时汇聚超大规模的数据信息,并扩大其监控的范围,从而提高分析的有效性。
东软SOC能实现人性化的触摸屏操作,可以进行形象化比拟安全状态,能对业务系统进行监控,全面展开数据收集,并能进行海量异构数据收集与分析,提供细致到位的平台支撑。
华赛Secospace USG5500万兆UTM
Secospace USG5500是华为赛门铁克面向大中型企业和下一代数据中心推出的新一代万兆UTM。USG5500集大容量交换与专业安全于一体,在仅3U的平台上提供了超过30G的处理能力,融合了IPS、AV、URL过滤、应用流量控制、反垃圾邮件等行业领先的专业安全技术,可精细化管理一千多种网络应用,同时传承了USG产品族优异的防火墙、VPN及路由特性,为用户打造更高速、更高效、更安全的网络。
USG5500有以下特点:更高速,能提供万兆多核全新硬件平台,实现海量业务处理;更高效,能进行超千种应用程序精细管理;更安全,重新演绎了专业内容安全防御技术。USG5500基于赛门铁克多年积累的反病毒技术,采用文件级内容扫描的AV引擎,结合全球领先的仿真环境虚拟执行技术,提供高达99%的精准检出率,多次获国际评测组织好评;专业漏洞补丁技术,让变形无所遁形:USG5500采用赛门铁克领先的漏洞防护技术,针对漏洞(而非攻击代码)提供“虚拟补丁”。
梭子鱼下一代防火墙F800
梭子鱼下一代防火墙F800是一个集成硬件设备和虚拟化软件的安全网关,它能全面防护企业网络架构,提升点对点连接流量,简化网络操作流程。除了强大的防火墙和VPN功能以外,产品还集成了一系列下一代防火墙的复杂技术,包括身份认证的七层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。
梭子鱼下一代防火墙F800突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径,根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式,包括专用线路、XDSL、3G/UMTS无线移动网络及其他以太网的链路接口。
除了上述领先的下一代防火墙的卓越性能外,该产品还配备了业界领先的中央管理控制平台、功能更具弹性的VPN及智能流量管理技术,能保障用户在全面提升网络性能的同时缩减成本支出。
Hillstone云数据中心安全解决方案
采用Hillstone SG-6000-X6150高性能数据中心防火墙的弹性化安全方案,能为云数据中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G数据中心防火墙,它具有以下特点:电信级可靠性设计,高性能、高容量、低延迟,智能的业务自适应能力,深度应用检测及网络可视化,丰富的业务扩展能力,绿色、节能、环保。
该方案能为海量计算提供更高的性能保障。HillstoneSG-6000-X6150高性能数据中心防火墙可提供更为有效的保障,平台采用全并行安全架构,实现对安全业务的分布式处理;对软件处理流程进行了很大的优化,在业务安全处理流程上,实现一次解包全并行处理,达到最高的处理效率。
该方案还能为快速增长的业务提供高可扩展性支持。HillstoneSG-6000-X6150高性能数据中心防火墙采用弹性架构,在全模块化设计的基础上,实现数据输入/输出与安全计算的分离、控制与安全处理的分离,多个计算资源可为相同的接口服务,在增加业务处理模块后,为特定的业务提供更高性能的处理资源。这种弹性可扩展的特性,既降低了数据中心安全建设的初期成本,同时伴随着业务增长,也有效地保护了用户投资。
除以上功能外,该方案还能为云数据中心业务持续性提供高可靠保证,为云数据中心虚拟化提供支撑,并能提供云数据中心全局可视化管理。
趋势科技云计算安全解决方案
趋势科技的云计算安全整体解决方案可以全面保护超过22种平台和环境的数据资产。通过趋势科技的企业威胁管理战略配合“云计算安全5.0”解决方案,用户可全面地保护从物理机、虚拟机到云基础设施、云数据、云应用到移动互联网中的移动设备和智能手机等环境。趋势科技带给企业用户的全球领先的云计算安全技术,将成为云计算产业发展最坚实的基础,这使得用户能够迈向云端,安心地全力把握云计算浪潮所带来的宝贵商机。
创业初期:把握机遇走自己的路
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
结语
关键词 网络安全;防火墙技术;信息加密技术;应用
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2013)042-146-01
21世纪是一个以信息创造经济的时代,这个时代中,人们对计算机网络技术的应用极为频繁,多样化网络信息资源的利用也给人们的学习与生活带来了巨大的便利。然而伴随着计算机网络技术的不断更新与进步,以及网络资源多样化程度的不断加深,网络安全问题也日显突出。用户计算机系统中硬件、软件、数据资源等都有可能在网络环境下被入侵者非法破坏和盗取,从而使计算机网络系统的安全可靠运行遭致破坏,影响网络的正常服务。针对这一点,我们有必要对计算机网络的使用安全进行探索,更加有责任和义务找到一套可行的网络安全事故应对方案,为计算机网络用户的用网安全提供有力保障。
1 计算机网络安全
1.1 计算机网络安全的定义
所谓计算机网络安全,其实是指计算机系统中的硬件、软件以及相关的数据资源在网络环境下,不会因为系统自身故障或网络病毒、黑客的入侵等因素影响,而遭到破坏和泄密,能够使计算机网络系统安全、稳定的运行,并正常有序的为用户提供网络服务。在当下,计算机网络安全与人们的生活息息相关,人们学习、工作等各个方面的信息交流大多会选择以计算机软件为载体,辅以网络系统来完成信息对接,而保证信息内容在传递与接收全过程中的全、不泄密,便是计算机网络安全中的一项基本内容。
1.2 计算机网络安全现状
在当下,随着计算机信息技术的越来越发达,人们对网络信息资源的需求量日益增加,对Internet的使用要求也越来越高。但由于计算机网络本身具有着多样和复杂两个特点,导致其在使用中的网络安全问题层出不穷。就目前来说,国内计算机网络系统在使用时所存在的安全问题有:网络病毒的破坏(比如前些年出现过的“熊猫烧香”病毒);网络黑客的恶意攻击;非法运营网站所携带的木马;相关的信息基础设施配置落后或不齐全等,都亟待加解决和完善。
2 防火墙技术在网络安全中的应用
2.1 防火墙技术的定义
防火墙的实质是一个由硬件和软件共同组成的网络安全系统。其工作原理是在内部网络和外部网络之间建立起一道安全网关,保护和阻止外部网络非法用户的侵入,以保证内部网络的使用安全。防火墙技术是目前广受人们关注和重视的一种网络安全技术。
2.2 防火墙的部署
为了保护计算机连网使用时的安全,我们可以在计算机中安装相应的防火墙系统,利用防火墙技术来阻止外部非法用户的入侵,保证内部网络的使用和运行安全。下面对防火墙的部署条件和方法作相关介绍。
首先,防火墙的安装位置应该正处于内部网络和外部网络的接口处;其次,如果内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。
2.3 防火墙的选择标准
目前,市场上现有的防火墙种类主要有四种,即网络级防火墙、应用级网关、电路级网关和规则检查防火墙。这四种类型的防火墙技术在选择安装时都需要注意以下几点:
2.3.1 防火墙的成本控制
虽然防火墙技术可以有效保障计算机网络系统的使用安全,但相关部门在选择和使用其产品时,成本始终是其应该首先考虑的问题。一般来说,防火墙成本不应该超过部门内网络系统中所有信息的总价值。
2.3.2 防火墙的安全性
这里的安全性包括两方面的含义:一是防火墙本身的安全性,即防火墙在安装使用前,其系统本身是不携带病毒的,并且安装完成后,系统可以正常运行,并保证不会出现故障;二是防火墙对外部非法入侵用户的有效拦截和阻止。这两方面的安全性能都是需要权威机构进行认证的。
3 信息加密技术在网络安全中的应用
3.1 信息加密技术的定义
信息加密技术,简单来说,便是用户在使用网络传递信息数据时,利用加密钥匙对信息进行保护,如果信息在传递过程中意外丢失,用户不用担心自己所发出的信息被他人读取和泄密。当信息传递到接收方时,接收方需要利用解密钥匙对加密的信息进行解密,方可读取加密信息。
3.2 信息加密技术的分类
计算机信息加密技术的使用要求决定了网络信息的传送方式,信息传递和接收时,传送方和接收方需要对信息进行加密和破密,而这种传递方式便是我们常说的密钥。就目前来说,网络信息传递时所采用的加密技术一般有两种,一种是专用密钥,一种是公开密钥。其中,专用密钥是指信息解密和加密时所使用的密钥相同,信息接收方对信息解密时只需要输入与传递方所设置的相同的密钥即可;而公开密钥则是指加密和解密所使用的密钥不同,虽然加密钥匙和解密钥匙两者之间有一定的关系,但不可能轻易从加密钥匙推算出解密钥匙,也不可能单从解密钥匙推算出加密钥匙。
4 结束语
总而言之,计算机网络安全关系到人们生活、学习、工作以及社会发展的方方面面,为了保证用户的计算机使用安全,给用户打造一个安全、可靠的网络使用环境,务必要建立并健全一套行之有效的网络安全解决方案。加密技术和防火墙技术只是解决方案中所包含的两种最基本的解决方法,相信随着科学技术的不断进步,日后在计算机安全领域中所研发和出现的网络安全技术将越来越多,用户的上网环境也将变得越来越安全。
参考文献
【关键词】办公网;技术网;防火墙;隔离
1.概述
1.1 当前网络状况
随着广播发射电台网络建设的发展,电台的业务需求也呈现多样化,台站网络按照规划一般分为两个网段:办公(OA)网和技术网。在现有的网络中,以一台H3C S5500交换机作为电台办公网的核心交换机,办公网通过H3C S5500上联MSR3020路由器,通过MSR3020接入全局广域网,H3C S5500与MSR3020之间采用Eudemon 200防火墙隔离。
技术网以一台三层交换机H3C S5500为核心,接入采用二层方式连接。改造之前办公网与技术网之间没有添加隔离设备,物理直接相连,通过静态路由协议互通。如图1所示。
图1 网络连接示意图
1.2 办公网与技术网隔离的背景
1.2.1 网络潜在威胁
由于计算机网络的发展,信息系统的不安全因素陡然增加。网络的不安全因素主要表现为下列几个方面:[1]
物理临近攻击。
内部犯罪。
信息泄露。
重放攻击。
篡改和破坏。
恶意程序的攻击。
系统脆弱性攻击。
网络安全隐患是全方位的,软件,硬件,人为等因素都会造成网络的故障,甚至是不可挽回的损失。我们现在需解决的是电台办公网与技术网的隔离问题,也就是说要保证办公网即使出现计算机病毒,恶意代码等也不会波及到技术网。反之技术网的安全威胁也不会波及到办公网。
1.2.2 隔离原因
在改造之前的运行环境中,技术网和办公网之间是通过静态路由互通的,两网之间没有任何的隔离措施。
根据无线电台管理局内网网络建设的要求,办公网和技术网的安全级别是不一样的。技术网主要部署安全播出服务器和控制终端,安全级别要求更高,技术网的网段地址不对外,只在台站内有效;办公网网段是全局广域网的,局机关与台站以及各台站之间都可以互访。因此为了保证网络安全,在办公网和技术网之间须要增加安全隔离措施,以尽量避免或减少病毒、攻击等网络威胁对技术网造成影响。
在两网之间,办公网用户与技术网用户不需要进行数据交换,办公网服务器与技术网服务器分别设有一台应用服务器实现数据库数据同步。因此,安全隔离措施将全部禁止办公网与技术网中其余用户和服务器的数据交换,只允许办公网应用服务器(即办公网通讯服务器,例如IP为10.2.72.149)和技术网应用服务器(即技术网通讯服务器,例如IP为172.1.72.5)之间进行数据传递。
2.隔离方案对比
根据电台办公网与技术网现状和需求,我们提出以下四种网络隔离解决方案:
2.1 物理隔离
物理隔离是一种完全断开物理上连接的方式,使得办公网和技术网相互不连通。在办公网需要提取技术网相关数据时,通过移动存储介质进行传输。这种方式的优点在于只要保证了存储介质和对技术网进行访问的相关人员的安全,就保证了技术网的绝对安全。
但是由于办公网需要读取的不仅仅是数据库中存储的数据,还包括服务器里实时变动的相应数据,所以采取此方式得到的数据都存在相当大的延迟,从某种程度上讲,得到的数据已经“失效”。
2.2 访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过,访问控制列表(Access Control List,ACL)就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分。
优点:此方案不需要添加任何隔离设备。仅需要在核心交换机上设置ACL,只允许指定的办公网服务器访问技术网服务器,禁止其余用户访问,配置灵活,维护方便。
缺点:对病毒和网络攻击的防御作用较小。
2.3 多功能安全网关
在办公网和技术网之间增加多功能安全网关设备,隔离办公网和技术网。
多功能安全网关工作模式为路由模式,采用静态路由方式。增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制列表过滤病毒端口。
优点:功能强大,整合了防病毒、IDS、IPS、防火墙等功能,降低技术复杂度。
缺点:不能有效防范内部攻击,过度集成造成误判率较高,降低了系统的可用性和稳定性。
2.4 防火墙
在办公网和技术网之间增加防火墙设备,隔离办公网和技术网。
防火墙配置路由模式,采用静态路由方式。同时,采用两种隔离规则:
(1)增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制类别过滤病毒端口。
(2)通过NAT方式,对外隐藏技术网应用服务器地址,把该IP地址转换成一个其他地址,转换后办公网中只能看到防火墙转换后的地址,而无法看到原始IP地址,增强了安全性。
优点:性价比高,配置灵活,维护方便,安全性高。
缺点:功能较为单一,不能有效防范内部攻击和未设置策略的攻击漏洞。
2.5 方案对比和选择
为了提供最佳的解决方案,我们需要针对电台网络进行综合的分析,权衡利弊,才能提出一个理想的解决方案。
电台办公网与技术网之间数据流量并不大,办公网用户与办公网用户之间除了特定的应用服务器都没有数据交换的需要。但是数据交换具有偶然性、实时性的要求,除了读取数据库中保存的数据,还需要读中间件服务器中的实时变化的数据。综合考虑办公网与技术网的使用现状、流量、数据交换要求、经济性以及安全特性等因素,以上4种解决方案中我们建议采取第四种解决方案,即采用防火墙作为两网间的隔离设备,以达到安全防护的目的。
主要原因如下:
(1)物理隔离方式因为没有直接的物理连接最为安全,但其提供的数据交换不能够满足对技术网数据提取的要求。
(2)访问控制列表过于简单,只能单纯地过滤数据报,不能对报文作深度的监测分析,没有防病毒、抗攻击能力。
(3)多功能安全网关,具备强大的防火墙功能,安全性较高,但价格昂贵,配置复杂,过度集成造成性能下降,误判率高,增加了配置和维护的复杂性。
(4)防火墙功能强大,传输效率高,安全性较高,可对数据报进行深度的监测分析,具有抗病毒、抗攻击能力。
3.防火墙隔离详细设置
3.1 防火墙工作模式
针对电台站办公网与技术网现状,防火墙采用路由模式工作,因为只有采用这种工作模式才可以利用NAT技术进(下转第169页)(上接第165页)行地址转换,实现隐藏技术网地址的目的。
在路由模式下,防火墙必须设置接口IP地址。它除了具备路由器的数据包转发功能外,同时解析所有通过它的数据包,增强网络安全性。见图2所示。
图2 防火墙隔离示意图
3.2 IP地址和路由协议使用
防火墙采用路由模式时与之连接的接口必须配置IP地址,防火墙采用静态路由协议与办公网和技术网互通。
接口地址表如下:
办公交换机S5500,端口为GE0/0/19,IP地址为10.2.72.17;
防火墙,端口为GE0,IP地址为10.2. 72.18,端口为GE1,IP地址为10.2.72.21;
技术交换机S5500,端口为E1/0/2,IP地址为10.2.72.22。
NAT地址表:内部地址为172.1.72.5;外部地址为10.2.72.120/29
参照接口地址表和NAT的地址表,路由协议配置规则如下:
(1)技术网核心交换机S5500配置静态路由,规则配置为:去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.21。
(2)防火墙配置静态路由,规则配置为:去往目标网络地址172.1.72.5,下一跳地址为10.2.72.22;去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.17。同时,设置NAT地址池将地址为172.1.72.5放置在地址池中,转换成地址为10.2.72.120/29绑定在出方向GE1接口,设置global地址10.2.72.121转换成inside地址172.1.72.5。
(3)办公网核心交换机S5500设置静态路由,规则配置为:去往目标网络地址10.2. 72.120,下一跳地址为10.2.72.18。
3.3 NAT配置
在本防火墙设置中,可以把技术网看作一个内部网络。
NAT就是在技术网中使用内部地址,而当技术网节点要与办公网节点进行通讯时,就在防火墙处将技术网地址替换成一个另外的地址。
通过这种方法,NAT对外屏蔽了技术网网络,所有技术网计算机对于办公网来说是不可见的,而技术网计算机用户通常不会意识到NAT的存在。
在这次改造过程中,我们可在防火墙上配置NAT,针对技术网配置地址转换,技术网应用服务器,IP地址为172.1.72.5,可以看作是内部地址,通过地址转换,转换成IP地址为10.2.72.121的全局地址。
对于办公网来说,办公网只知道技术网应用服务器转换的地址,而不知道真实的地址,这就提高了网络安全性,确保了技术网内服务器的保密性,隐藏了技术网内真实的IP地址。
以上设置能够保证技术网服务器正常访问办公网服务器,同时办公网服务器也能正常访问技术网服务器,而办公网中只知道去往地址的路由,并不会知道技术网服务器的存在,这样就利用防火墙保证了办公网和技术网的安全性和独立性。
4.结论
办公网和技术网隔离的改造完成之后,保障了办公网用户终端安全的使用,技术网应用系统可靠稳定的运行,对电台网络安全建设发挥了巨大的作用,为电台的安全播出工作做出了重要的贡献。
参考文献
对工作人员进行身份验证
根据管理层级和权限,对工作人员进入相应的计算机或者电子档案文件管理系统时设立相关的口令作为身份验证。需要注意的是,口令在通常情况下应该使用数字、字母或者特殊的数学符号的组合,口令确定之后,相应的工作人员应妥善保管。经过一段时间的使用之后,需要对该口令进行修改或者完善,以维护其保密性能。
设置防火墙
防火墙是计算机领域的专业术语,它是一个具有比较良好的保护作用的程序,如果入侵者想进行入侵工作,就需要穿过防火墙的安全防线程序,只有顺利穿越之后才可能接触到相应的计算机设置。防火墙能够对网络内部的电子档案的相关信息资料结构的完整性以及安全性起到一定的保护作用。
安装反病毒软件
侵入计算机内部的病毒对电子档案是一个非常重要的威胁,它会在很大程度上破坏电子数据或者导致部分电子数据的丢失。而防火墙不能够防止不经过该程序的攻击,所以,工作人员还应该安装相应的反病毒软件。同时,工作人员应该尽量做到预防与查杀工作并重。预防是指要对反病毒软件或相应的病毒库进行定期的升级,定期对相应的计算机进行全盘扫描,不使用非法的软件或者程序,不任意下载各种软件。查杀病毒是指经过相关的专业人员确定存有电子档案的计算机确实中毒之后,对其进行全盘杀毒工作,从而彻底清理病毒。
定期备份或者转移
设置防火墙和安装反病毒软件能够在很大程度上对电子档案的保管以及保护起到帮助作用,然而他们不能够百分百的保障电子档案不受到破坏或者数据丢失。因此,为了能够尽量避免记录载体由于理化性能的转变而导致信息丢失,工作人员需要对电子档案中的信息定期进行备份。但这种方法仅适用于脱机的电子档案的相关文件,对于那些依靠电子档案文件管理系统的电子档案,假如在相关的工作系统中并没有相应的数据备份功能,那么工作人员就需要利用备份数据库以及程序安装目录下面的数据文件进行备份工作。对电子档案进行备份工作虽然能够解决一部分问题,但它不能解决同一种存储介质因为相关的技术过时而出现的问题,要解决这个问题,就需要使用迁移的方法。迁移就是把数据从一种存储载体上转移到另外一种存储载体内部。例如,软盘因为存储容量、存储和读取的速度以及工作效率都不是非常好,所以它在实际工作中已经开始被淘汰,这样就需要进行相关的迁移工作,具体来说就是将原先存储在软盘内部的电子档案的信息转移到现在使用数量比较多的光盘内部,从而能够更好地进行电子档案的保管保护工作。
本文作者:李宇红作者单位:齐齐哈尔市机关事务管理局
关键字:防火墙;网络安全;内部网络;外部网络。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
Abstract: Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects, one is the physical security, and the other is logical security. Physical security refers to physical facilities was not damaged, and does not influence its security protection performance. Logic security refers to the information integrity, confidentiality and usability. According to the information system security theory knowledge and combining network security development, through analyzing the network security vulnerability of electric power enterprise, and then puts forward a series of relevant electric power enterprise network security safety risk, and guide the enterprise security risk demand. We can use the limited resources and equipment, establish and improve an effective, integral and multi-level power enterprise network security model.
关键词: 网络安全技术;电力企业网络安全;解决方案
Key words: network security technology;electric power enterprise network security;solutions
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)30-0175-02
0 引言
随着社会科技的不断发展,计算机网络领域也在飞速发展,信息化社会时代即将到来。尽管网络具有多层次、高效率、范围广等种种特点,但仍然存在着一些严重的问题,首当其冲的是网络信息安全问题,本文也集中注意力来讨论如何解决网络信息安全问题。目前,计算机网络的多联性造成了信息能够被多渠道的客户端所接收,再加上一些企业在传送信息时缺乏信息安全的防护意识,这也造成了网络信息容易遭受一些非法黑客以及计算机病毒的侵害,因此,计算机网络信息的安全性和保密性是目前所需要攻克的一大重要难题。计算机网络的开放性造就了网络信息安全隐患的存在,同时,我们在面对危机重重的计算机网络,如何将信息安全、秘密地传输是摆在目前计算机网络安全研究者们眼前的问题。据此,我们应针对企业的网络结构体系来设计出一套适合的、先进的网络安全防护方案,并搭配合适的网络防护软件,为电力企业营造一个安全的网络空间。
1 电力企业网络安全隐患分析
电力企业既可以从因特网中获取重要信息,同时也能够向因特网中发送信息,但由于因特网的开放性,信息的安全问题得不到保证,而根据公安部门的网络调查来说,有将近半数的企业受到过网络安全的侵害,而受到侵害的企业大部分都受到过病毒和黑客的攻击,且受到了一定的损失。
根据上面的信息可以很明确的得出网络安全防护的重要性,而影响计算机网络安全的因素有很多种,其主要可以大致分成三种:一是人为无意中的失误而导致出现安全危机;二是人为方面的恶意攻击,也就是黑客袭击;三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳如下:
1.1 病毒 病毒对于计算机来说就如同老鼠对于人类来说。“老鼠过街,人人喊打”,而病毒过街,人人避而趋之,它会破坏电脑中的数据以及计算机功能,且它对于硬件的伤害是十分大的,而且它还能够进行自我复制,这也让病毒的生存能力大大加强,由此可以得出其破坏性可见一斑。
1.2 人为防护意识 网络入侵的目的是为了取得访问的权限和储存、读写的权限,以便其随意的读取修改计算机内的信息,并恶意地破坏整个系统,使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件,当程序启动时,与其捆绑的软件也会被启动,与此同时,许多安全缺口被捆绑软件所打开,这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置,否则安全问题永远也解决不了。
1.3 应用系统与软件的漏洞 网络服务器和浏览器的编程原理都是应用了CGI程序,很多人在对CGI程序进行编程时只是对其进行适当的修改,并没有彻底的修改,因此这也造成了一个问题,CGI程序的安全漏洞方面都大同小异,因此,每个操作系统以及网络软件都不可能十全十美的出现,其网络安全仍然不能得到完全解决,一旦与网络进行连接,就有可能会受到来自各方面的攻击。
1.4 后门与木马程序 后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。
1.5 安全配置的正确设置 一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。
2 常用的网络安全技术
2.1 杀毒软件 杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。
2.2 防火墙 防火墙是与网络连接间进行一种预定义的安全策略,对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种,一种是软件防火墙,软件防火墙是利用软件来在内部形成一个防火墙,价格较为低廉,其功能比较少,仅仅是依靠自定的规则来限制非法用户进行访问;第二种是硬件防火墙,硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离,其效果较好,但价格较高,难以普及。但防火墙并没有想象中的那样难以破解,拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问,因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改,如:数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭,而内部网络的安全则无法保护,因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。
2.3 数据加密 数据加密技术可以与防火墙相互配合,它的出现意味着信息系统的保密性和安全性进一步得到提高,秘密数据被盗窃,侦听和破坏的可能性大大降低。数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用,为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用,主要可以分成线路加密和端口加密这两种基本方法;数据储存加密技术是在数据储存时对其进行加密行为,使数据在储存时不被窃取;数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证,是否达到保密要求,通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护;数据加密在外所表现出来的应用主要为密钥,密钥管理技术是为了保证数据的使用效率。
数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性,能够在一定程度上防止机密信息的泄漏。同时,数据加密技术所应用的地方很广泛,有信息鉴别、数字签名和文件加密等技术,它能够有效的阻止任何对信息安全能够造成危害的行为。
2.4 入侵检测技术 网络入侵检测技术是一种对网络进行实时监控的技术,它能够通过软、硬件来对网络中的数据进行实时地检测,并将之与入侵数据库进行比较,一旦其被判定为入侵行为,它能够立即根据用户所设定的参数来进行防护,如切断网络连接、过滤入侵数据包等等。因此,我们可以将入侵检测技术当做是防火墙的坚强后盾,它能够在不影响网络性能的情况下对齐进行监听,并对网络提供实时保护,使得网络的安全性能大大提升。
2.5 网络安全扫描技术 网络安全扫描技术是检测网络安全脆弱性的一项安全技术,它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员,并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务,并且可以检测出操作系统中存在的安全漏洞,同时还能够检测出计算机中是否被安装了窃听程序,以及防火墙可能存在的安全漏洞。
3 单利企业网络安全解决方案
3.1 物理隔离 物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。
3.2 网络系统安全解决方案 网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障:
①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配,不能滥放权利。④对网络系统进行严谨科学的安全配置。
3.3 入侵检测方案 目前,电力企业网络防护体系中,仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大,再加上操作系统中可能存在的安全漏洞,这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析,电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统,这样可以与防火墙形成交叉防护,相得益彰。
3.4 安全管理解决方案 信息系统安全主要是针对日常防护工作,应当根据国家法律来建立健全日常安全措施和安全目标,并根据电力企业的实际安全要求来部署安全措施,并严格的实施贯彻下去。
4 结束语
“魔高一尺,道高一丈”。不管攻击方式多么新奇,总有相应的安全措施的出现。而网络安全是一个综合的、交叉的科学领域,其对多学科的应用可以说是十分苛刻的,它更强调自主性和创新性。因此,网络安全体系建设是一个长期的、艰苦的工程,且任何一个网络安全方案都不可能解决所有的安全问题。电力企业的网络安全问题要从技术实践上、理论上、管理实践上不断地深化、加强。
参考文献:
[1]杜胜男.浅析电力企业网络安全组建方案[J].民营科技.2010(12).
关键词:网络;安全;防火墙
1绪论
随着国家的快速发展,社会的需求等诸多问题都体现了互联网的重要性,各高校也都相继有了自己的内部和外部网络。致使学校网络安全问题是我们急需要解决的问题。小到别人的电脑系统瘫痪、帐号被盗,大到学校重要的机密资料,财政资料,教务处的数据被非法查看修改等等。学校机房网络安全也是一个很重要的地方。由于是公共型机房。对于公共机房的网络安全问题,提出以下几个方法去解决这类的一部分问题。
2PC机
2.1PC终端机
对于终端机来说,我们应该把一切的系统漏洞全部打上补丁。像360安全卫士(/)是一款不错的实用、功能强大的安全软件。里面有“修复系统漏洞”选项,我们只要点击扫描,把扫描到的系统漏洞,点击下载安装,并且都是自动安装,安装完就可以了。
2.2安装杀毒软件
比如说中国著名的瑞星2008杀毒软件,从瑞星官方网站(/)下载,下载完,安装简体版就可以了。安装完之后,就进行全盘查毒。做到客户机没有病毒。让电脑处于无毒环境中。也可以在【开始-运行】中输入【sigverif】命令,检查系统的文件有没有签名,没有签名的文件就有可能是被病毒感染了。可以上网查询之后,进行删除。
2.3防火墙
打好系统漏洞补丁,安装好杀毒软件之后,就是安装防火墙像瑞星防火墙,天网防火墙以及风云防火墙等。风云防火墙是一款功能强大的防火墙软件,它不仅仅能防病毒,还能防现在很是厉害的ARP病毒。
2.4用户设置
把Administrator超级用户设置密码,对不同的用户进行用户权限设置。
3网络安全分析
3.1网络安全分析
网络安全分析主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动等有害信息在网上传播等。
4解决方案
4.1防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
4.2VPN技术
VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。4.3网络加密技术(Ipsec)
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是网络安全的核心。IPSec提供的安全功能或服务主要包括:
(1)访问控制;
(2)无连接完整性;
(3)数据起源认证;
(4)抗重放攻击;
(5)机密性;
(6)有限的数据流机密性。
4.4身份认证
在一个更为开放的环境中,支持通过网络与其他系统相连,就需要“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。像数字签名。
5结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004.
[2]郭军.网络管理.[M].北京:北京邮电大学出版社,2001.
关键词:消防、设计、防火间距
中图分类号:U698.4 文献标识码:A
防火间距是指相邻两栋建筑物之间,保持适应火灾扑救、人员安全疏散和降低火灾时热辐射的必要间距。也就是指一幢建筑物起火,其相邻建筑物在热辐射的作用下,在一定时间内没有任何保护措施情况下,也不会起火的最小安全距离。
1防火间距需要考虑的因素
在我国现行消防法规《建筑设计防火规范》和《高层民用建筑设计防火规范》中,均明确规定了各类建筑物的防火间距。有甲、乙、丙类液体储罐与建构筑物及其道路的防火间距,厂房、库房与周围建构筑物的间距,汽车加油站及其他易燃易爆化学危险品储存、充装站和调压站站内设施之间及与站外建构筑物之间的防火间距,还有一般民用建筑多层与多层、多层与高层、高层与高层之间的防火间距等。其考
虑因素本人认为主要有以下几个方面:
一是热辐射,这是考虑的主要因素。辐射热的大小,取决于被照射物与火源的距离,以及火源的温度。距离越近则辐射热的强度越大,反之则低。而在火灾燃烧发展过程中,其燃烧温度总是由低到高,再到低。其烤着邻近建筑物的可能性也由小到大,再到小。
二是建筑物的耐火等级。建筑物的耐火等级是由组成建筑物的构件的燃烧性能和构件最低的耐火极限决定的。其具体划分是以楼板的耐火性能为基准,即以钢筋混凝土楼板的耐火极限1.5h为一级,1.0h为二级,0.5h为三级,0.25h为四级。然后再配备楼板的构件,按构件的结构安全上的重要地位,分级选定适宜的耐火极限。
三是生产和储存物品的火灾危险性。以厂房或库房为例,生产和储存物品的火灾危险性越大,一旦发生火灾,其经济损失重大,伤亡人数较多,则其与邻近建筑物的防火间距可适当大一些,反之则可以小一些。
2防火间距的有关规定
《建筑设计防火规范》5.2.1条对层般民用建筑作了相关规定:两座建筑物相邻较高一面外墙为防火墙或高出
相邻较低一座一、二级耐火等级建筑物的屋面15m范围内的外墙为防火墙且不开设门窗洞口时,其防火间距可不限;相邻的两座建筑物,当较低一座的耐火等级不低于二级、屋顶不设置天窗、屋顶承重构件及屋面板的耐火极限不低于1.00h,且相邻的较低一面外墙为防火墙时,其防火间距不应小于3.5m;相邻的两座建筑物,当较低一座的耐火等
级不低于二级,相邻较高一面外墙的开口部位设置甲级防火
门窗,或设置符合现行国家标准《自动喷水灭火系统设计规
范》GB50084规定的防火分隔水幕或本规范第7.5.3条规定
的防火卷帘时,其防火间距不应小于3.5m;相邻两座建
筑物,当相邻外墙为不燃烧体且无外露的燃烧体屋檐,每面
外墙上未设置防火保护措施的门窗洞口不正对开设,且面积
之和小于等于该外墙面积的5%时,其防火间距可按本表规定减少25%;耐火等级低于四级的原有建筑物,其耐火等级可按四级确定;以木柱承重且以不燃烧材料作为墙体的建筑,其耐火等级应按四级确定;防火间距应按相邻建筑物外墙的最近距离计算,当外墙有凸出的燃烧构件时,应从其凸出部分外缘算起。
《高层民用建筑设计防火规范》第4.2条规定:两座
高层建筑或高屋建筑与不低于二级耐火等级的单层、多层民用建筑相邻,当较高一面外墙为防火墙或比相邻较低一座建筑屋面高15.00m及以下范围内的墙为不开设门、窗洞口的防火墙时,其防火间距可不限;两座高层 建筑或高屋建筑与不低于二级耐火等级的单层、多层民用建筑相邻,当较低一座的屋顶不设关窗、屋顶承重构件的耐火极限不低于1.00h,且相邻较低一面外墙为防火墙时,其防火间距可适当减小,但不宜小于4.00m;两座高层建筑或高屋建筑与不低于二级耐火等级的单层、多层民用建筑相邻,当相邻较高一面外墙耐火极限不低于2.00h,墙上开口部位设有甲级防火门、窗或防火卷帘时,其防火间距可适当减小,但不宜小于4.00m。
有关防火间距的还有其他很多规定,这里就不一一赘述。
3建筑存在防火间距不足的原因分析
3.1一些拟建建筑修建在老城区,由于周围民房拆迁问题没有得到解决,在建设工程审核或备案时建设单位承诺在工程验收前完成拆迁工作,保证足够的防火间距,但实际在工程验收时周围民房仍没有拆,造成防火间距的不足。
3.2建设单位为了尽可能充分利用规划建设用地以达到最大经济效益,要求设计单位擅自隆低技术标准设计,导致防火间距的不足,消防部门提出不同意其设计方案时,设计单位修改设计图纸,将部门窗改为防火窗来满足规范要求,但在工程竣工后所用窗则为一般窗,工程还未验收建筑就投入使用。消防部门验收时提出意见,甲方以住户不同意改窗为由,不作出技术处理,导致防火间距不足。
3.3一些建筑修建以后(特别是厂房、库房等)由于周边都是村、居民农业用地,后来村(居)民为了生产生活的需要将自己的土地修建成自建房,消防法规定村民自建房不作为消防设计审核和备案的范围,所以导致村(居)民自建房违规修建造成后天性防火间距不足的火灾隐患。
3.4工程建设单位和施工单位未按照消防部门提出的审核意见及设计院修改后的图纸及资料进行施工,造成的原因之一是建设单位将设计院修改后的图纸及其他资料直接送到消防设计审核部门,未给施工单位和监理单位,施工单位仍按原设计图纸进行实工,所以导致消防部门提出的防火间距不足的问题没有得到解决。
3.5工程建设单位未按照消防法规定在工程施工前将消防设计图纸及资料报消防部门审核合格,擅自进行施工,在主体结构已基本形成的情况或快竣工才报将消防设计图纸及资料报消防部门审核,导致已经形成的防火间距不足的问题无法解决,工程建设单位报着侥幸心理认为工程竣工后通过协调可以解决问题,所以对消防部门提出的意见置若罔闻,不停工仍继续施工,工程竣工后防火间距不足的问题没有得到解决,所以形成了先天性的防火间距不足的火灾隐患.
3.6设计单位和消防部门工程设计人员的审核人员对规范的理解出现偏差,特别是一些有争论的问题规范没有明确规定,或者两个规范之间的冲突造成防火间距不足问题也时有发生。
3.7现行规范与原有规范之间出现的防火间距的偏差,造成按原设计规范修建的建筑不满足出行规范要求,这类防火间距不足的火灾隐患更是普遍存在。
4防火间距不足时应采取的措施
根据以上防火间距的相关规定和存在的原因,当建筑防火间距不足,难于满足国家有关消防技术规范的要求时,可根据建筑物的情况,采取以下措施:
4.1改变建筑物内的生产和使用性质,尽量降低建筑物的火灾危险性。改变房屋部分结构的耐火性能,提高建筑物的耐火等级。
4.2调整生产厂房的部分工艺流程,限制库房内储存物品数量,提高部分构件的耐火性能和燃烧性能。
4.3将建筑物的普通外墙改造为实体防火墙。建筑物的山墙对建筑物的通风、采光影响小,设置的窗户少,可将山改为实体防火墙。
4.4拆除部分耐火等级低、占地面积小、适用性不强且与新建筑物相邻的原有陈旧建筑物。
4.5设置独立的室外防火墙等。
由此看来,防火间距是建筑防火一项非常重要且行之有效的防火措施。我们在防火工作中,特别是建筑设计防火审核及工程设计备案工作中,一定要认真贯彻执行国家消防规范中对防火间距的有关规定,加强与建设规划等部门的沟通与协作,保证建筑修建时满足规范规定的防火间距要求,切实做到防患于未然。
参考文献:
关键词:轻钢结构 工业厂房 耐火等级
轻钢结构建筑作工业厂房具有较多的优点,如建设周期短、造价低、可作大跨度、造型美观、现代感强等,因此在现代工厂设计中得到越来越多的采用。然而,轻钢结构建筑耐火等级较低,大空间、大跨度厂房对防火分区又提出新的要求,这些问题有的可以采取技术措施解决,有的还没有完美的解决方案。现根据本人的设计实践,就上述设计问题进行初步探讨:
1、轻钢结构工业厂房的耐火等级
轻钢结构厂房的承重构件一般为钢柱、网架,建筑外表面覆以彩色铝锌钢板或镀铝锌钢板等。根据,其柱、梁的耐火时间均为0.25~0.5小时,建筑物的耐火等级仅为四级(耐火等级较低)。以我院经常设计的中密度纤维板厂或家具厂单层轻钢结构厂房为例,其生产类别为丙类,规范要求的最低耐火等级为三级,这样,轻钢结构厂房就不够资格作丙类厂房。
解决的方法,可在柱、梁表面覆以1.5厘米厚的LG防火隔热涂料或2厘米厚的LY防火隔热涂料保护层,其耐火时间可达1.5~2.3小时,这样,建筑物的耐火等级可按三级考虑,满足规范要求,但应注意,应要求轻钢结构厂家在作结构计算时考虑防火涂层的重量。
2、轻钢结构工业厂房的防火分区
现代工业要求的厂房常是大空间、大跨度、通透的。为有效的把火灾控制在较小范围内,要求在建筑物内划分防火分区,并明文规定了各级防火分区的最大允许面积。现轻钢厂房的占地面积通常较大,如中密度纤维板厂主车间的建筑面积一般都超过5000平方米,而规范允许的分区面积为3000平方米(生产类别为丙类,采取防火涂层保护后,耐火等级按三级考虑),因此应作应做防火分区的分隔。
防火分区在普通民用建筑中较易实现,如在门、厅、楼梯等处采取一些技术措施,用防火墙、防火门、防火卷帘加水幕都可以较好的解决,若建筑内设有自动喷水灭火设备,每层最大允许建筑面积还可增加一倍。但若试图把这些技术措施平移到大面积的轻钢结构厂房,就会遇到问题。
2.1. 防火墙与防火分区
因成套设备生产线的工艺要求,不可能用防火墙把厂房一分两半,这样截断了连贯的生产线设备,也不利于物料及半成品、成品的运输。而且,从生产管理的角度,业主也不会接受这样的方案。
2.2. 防火卷帘与防火分区
民用建筑中通用的防火门与防火卷帘,在面对大跨度的轻钢厂房时,也不很合适。如某刨花板车间,单跨达36米,如何定制这样大跨度的防火卷帘呢,这样的卷帘,因跨度太大,在收放时很难控制,容易卡在滑槽里,且造价又高,工程实践中极少见(我没遇过)。
2.3. 自动喷水灭火与防火分区
能否在整个车间设自动喷水灭火装置,使允许的防火分区面积增加一倍,从而满足规范要求呢。这有两个问题:
. 单层轻钢结构车间的高度大多远超过8米,而根据第4.3.2条,超过8米的大空间建筑物,安装闭式喷头的作用就不大了。
. 有的丙类三级单层轻钢车间面积达9000平方米,需分三个防火分区,若全车间安装自喷,则防火分区允许面积虽扩大一倍,但仍然不够(安装自喷后,防火分区的允许面积从3000平方米扩大到6000平方米,但仍小于9000平方米)。
2.4.独立水幕与防火分区
用独立的水幕作防火分隔,是我院经常采用的方案,作一条防火水幕带,区域宽5米,流量2升/秒米。这种分隔方式很灵活,不像防火墙要把车间截成两半,也没有大跨度防火卷帘的麻烦,理论上多大的跨度都行,一般正常生产时,就好像它不存在,一旦有火灾需要防火分隔时,它可以立即实现有效分隔。但是,单独水幕作防火分隔也有三大难题:
. 需水量太大,水池造价高。仍以跨度36米计算,水幕供水量为2升/秒米,按消防历时2小时考虑,则水幕贮水量应为518立方米,再加上室内外消火栓的贮水量,则消防水池的造价较高。
. 水幕启动时,大量的水突然喷泄而下,会对昂贵的生产设备造成较大的损失。如果车间内发生了局部较小的火灾,几支灭火器加一支水枪就能解决,此时冒然启动水幕防火分隔,则也许水幕的大水造成的损失会比局部火灾的损失更大。因此需严格掌握水幕的启动时机。它只适于火势烧了半个车间,并有蔓延之势时启动。为防止误动作造成损失,我院设计的车间水幕,大多采用人工手动启动,因为通常只依靠几个闭式喷头来启动水幕的方式在这里不可靠。
.有效维护麻烦,没有办法试水,来检验水幕系统可靠性。理论上,如果车间建造安装时,先安装消防设施,再安装生产设备,则有机会在水幕安装完毕,但生产设备还末安装时,让水幕试水。但是,在工程实践中,为早日投产,大多把生产设备当作第一重要,一到货立即安装,消防设施都排在了后面。那么,在水幕安装完毕后,大家将永不知道它的实际喷水情况如何(除非发生大火灾,才有机会一试),但如果平时无法试水维护,在关键时刻水幕工作不正常怎么办。
试水的问题只好在技术上近似解决,在设计时,消防泵房水幕泵的出水管上可设试水管及试水阀门,利于平时检验水幕泵的工作状态。但车间上方的水幕管与水幕喷头是否阻塞,喷水是否均匀,就无法测试了。
2.5. 另类解决方案
对于防火分区,还有一个另类解决方案,这里提出来,看各位同行有什么看法。根据第3.3.1条,四级耐火等级厂房之间的防火间距为18米,依此类推,如在生产类别为丙类,耐火等级为三级的轻钢结构单层厂房内部设一区域宽18米的防火隔离带,在隔离带里没有可燃物,理论上,是否可看作有效的防火分隔呢?
实际设计中,可以控制隔离带里可以没有堆放生产原料、半成品等可燃物,但肯定有生产线的设备,而设备的橡胶传送带是可燃的,传送带上的原料或半成品也是可燃的,不过,传送带可以在有火灾时停下来,可燃物不多,一支水枪可有效封锁,那么,上述的这样一个隔离带究竟算不算防火分区的有效分隔呢。
规范没有明文规定算或不算,按惯例,此类情况需与当地的消防审批部门协商,解释理由,共同研究,不过我至今没有能够在设计中实施过。
VPN集中器基本上可以实现企业VPN方面的全部需求,VPN集中器的主要作用就是通过远程接入VPN来为远程用户提供接入服务。不过在部署VPN集中器的时候,需要考虑如何跟防火墙和平共处。VPN集中器可以放置在网络不同的位置,如可以跟防火墙并行放置,也可以放置在防火墙的,也可以放在内部等等。虽然其位置没有限制。但是在部署的时候,网络管理员需要注意其与防火墙位置的不同,要求与功能也略有差异。网络设计人员需要注意这些差异,才能给VPN集中器选择一个合适的位置让其安家。也只有如此,VPN集中器才能够发挥其应有的作用。
位置一:把VPN集中器放置在防火墙外面
其实,VPN集中器也有部分防火墙的保护功能,所以把其放置在防火墙的外面可以提供额外的安全保障。因为通过VPN集中器连接企业的内外网。可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说,VPN集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN集中器时,这是一种非常行之有效的解决方案。因为若如此配置的话,本地站点并不需要外部因特网接入。
如果采用这种配置方式的话,网络管理员需要注意两点:
一是对于网络安全不是特别苛刻的企业,有时候甚至可以利用VPN集中器来代替防火墙。因为在其接入口本身就可以配置相关的访问规则,来提供防火墙的部分功能,保护企业网络的安全。故企业如果有了VPN集中器的话,还可以省去防火墙的投资。所以,这对部分企业来说,是一个不错的选择。
二是需要注意流量的问题。上面说到的这一点可以说是这么部署的好处,那么现在这个流量问题则是其不足之处了。如果按照上面这么部署的话,有一个很大的缺点,就是企业内外网络数据的交换都需要通过集中器来处理,因为此时集中器在企业内外数据交换的主干通道上。故企业内外数据交换比较频繁的话。则会给集中器性能带来比较大的压力。若企业真的准备这么部署的话,那网络管理员就需要根据企业的实际情况,选择合适的VPN集中器。如果有比较频繁的数据交换,如视频会议、电子商务等等网络应用比较频繁的话。那最好能够选择配置高一点的VPN集中器。
位置二:把VPN集中器放置在防火墙的内部
网络管理员也可以把防火墙放置在防火墙的内部,即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部时,那么防火墙将是直接接触企业外网的设备。也就是说,防火墙是保障企业内网安全的第一道防线。不过话说回来。虽然防火墙已经起到了保护企业内部网络的目的,但是,VPN集中器仍然需要进行一些接入规则的配置,来提高VPN网络的安全性。如在接入规则上,对接入用户的访问权限进行控制,普通用户不能够修改VPN集中器的配置等等。也就是说,关于VPN接入的相关安全控制,仍然需要VPN集中器来实现。这有利于VPN接入的管理,有利于提高VPN的安全性,为企业提供一个比较安全的远程网络访问环境。
另外,如果采用这种部署方式的话,由于VPN集中器仍然处在企业内外网数据交互的唯一通道上。所以,企业内外网需要进行数据交换时,所有的数据都要通过VPN集中器。当VPN远程访问与企业内外网数据交换同时大量发生时,就将给VPN集中器带来比较大的压力。这跟第一种部署方式的通病是一样的。
再者,这种部署还需要注意一点。由于防火墙放置在VPN集中器的前面。也就是说。如果用户需要进行远程访问的话,那么这个远程连接的请求必须要先通过防火墙。所以为了远程用户能够顺利连接到VPN集中器中,必须要在防火墙上进行一些额外的配置,允许VPN连接请求顺利通过防火墙。如远程访问者有固定的IP地址,则在防火墙配置中要允许这个IP地址的通信流量通过。这种情况往往出现在公司不同局域网之间的互联。如远程办事处等等,他们往往有固定的IP地址。但是,有些情况也可能没有固定的IP地址,如一些个人用户。他们出差时不知道在哪里。为此。防火墙就要允许所有源地址的IKE等数据流通过防火墙。否则的话,远程用户就有可能无法连接到VPN集中器上。因为其连接请求直接被防火墙所阻挡。故如果网络管理员要采用这种布置的话,就必须对防火墙进行额外的配置。同时,为了企业内部网络的安全,如果企业主要利用VPN来进行不同局域网之间的连接,那么最好在防火墙配置的时候,进行IP地址的限制。不要因为VPN虚拟专用网的应用而降低了企业内部网络的安全性。
位置三:VPN集中器与防火墙并行
上面两种方案中。我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上,这会额外增加VPN集中器的数据处理负担。另外,第二种方案需要更改防火墙配置,如需要允许所有源地址的IKE数据流量,是以牺牲防火墙的安全保护功能为代价的。所以,以上两种处理方式笔者认为不是最优的处理方式。当然,企业如果不部署防火墙的话,可以采用第一种方式来提高内网的安全性,只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙,又需要部署VPN应用的话,那么笔者建议各位网络管理员采用下面的第三种部署方式,即让VPN集中器与防火墙并行。
为什么这种方式比前两种方式更加合理呢?根据笔者的认识,其优势主要集中在如下几个方面:
一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走:而通过VPN请求的数据则从VPN集中器走。两条道路各走各的,互不相干。如此的话,VPN集中器的数据处理压力就会小得多。另外,在VPN集中器上进行的访问规则的配置。只对VPN请求有效,不会影响到其它的数据流量。
二是可以提高企业内部网络的安全性。上面笔者谈到过,若把VPN集中器放置在防火墙内部的话,需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话,远程客户就直接使用VPN集中器的公网地址进行连接,即不经过防火墙设备直接与VPN集中器进行相连。这也就是说,防火墙不用再开放所有IP地址的IKE数据流量。远程用户也能够如愿以偿地连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。
另外。值得庆幸的是。远程访问用户建立VPN连接之后,防火墙仍然把VPN集中器当做一个外部的实体。所以,防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源、不能够看到哪些资源。不要小看这个功能。在实际工作中非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的意义。
