我的位置: 主页 > 学习专区 > 网络工程 > > 企业防火墙安全吗?

企业防火墙安全吗?

2013-12-13 14:02北大青鸟锦江天府学院
[导读] 企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在的问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上


         企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在的问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!

一、企业网络安全设施的现状

随着互联网飞速发展,越来越多的企业都通过网络进行业务,许多企业甚至发觉离开网络,业务就无法正常运行,网络安全和可用性的重要性由此可见一斑。因此,企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击。在许多企业、甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了。然而,结果怎样呢?让我们看下面的几个新闻:

据分析专家估算,2003年病毒和攻击给企业造成的损失达550亿美元;

微软悬赏25万美元捉拿旨在使微软网站瘫痪的MyDoom病毒的作者;

中国公安部于2003年上半年发布报告,称中国80%的计算机曾感染过病毒。

由此可见,现在企业的网络并非象想象中那么安全。究其原因,是由于现有的企业网络安全基础设施存在缺陷,因为它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播,而是隐藏在复杂的应用层数据中,通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播,但企业现有的安全设施还不能对这些传播渠道进行控制。

现在,企业的IT经理们不得不重新审视网络安全问题,“企业网络有防火墙就安全了吗?”

二、企业网络面临的新问题

当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,最终损失的是企业的利润。

1、Web滥用降低企业生产力

Web的广泛使用极大地帮助企业提高生产力,获取信息的速度前所未有。但互联网是一个大染缸,各种各样的内容充斥其中,不乏充满诱惑力的内容,新闻、购物、体育、色情等,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。一个典型的例子是,微软的一个员工在家上网,其家里的个人计算机被植入后门程序,进而“入侵”微软总公司的企业内部网络,取得了公司原始程序代码。

因此,对不合适的内容进行过滤、对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业利润的当务之急。

2、病毒传播和攻击的新途径

目前大多数网络都安装了防火墙,但攻击者清楚地知道只要管理员不犯低级错误,要从正面攻入防火墙非常困难,于是他们从早期简单的端口试探式攻击转向通过应用层协议隐蔽地进入企业内网。具体来说,有以下四种病毒传播和攻击的新途径。

通过Web传播病毒或实施攻击

因为Web端口几乎在所有企业的防火墙上都是打开的,攻击者想方设法地将病毒隐藏在下载软件或网页的恶意代码中,不知情的用户执行了下载的文件或恶意代码之后,就感染了病毒,有的恶意代码还弹出欺骗性的提示信息诱使用户执行它。这种方式非常隐蔽,且能绕过防火墙的数据包过滤及现有的防毒机制的扫描。据统计,70%以上的攻击是基于Web的。不幸的是,据研究机构统计,目前只有10%的企业实施了Web病毒扫描。

通过WebMail进行传播

尽管企业很好地防止了病毒通过SMTP传播,但现在很多用户能通过基于Web的Email,如hotmail、Yahoo等容易地发送或接收文件,避开SMTP邮件扫描系统。

通过MSN Messenger之类的聊天工具传播

Symantec的调查发现,目前聊天工具是迅速传播计算机蠕虫和混合威胁的理想平台。这些工具提供的文件交换能力,加上它们广泛的应用、查找新目标的目录(如好友列表)等,使病毒集群传播更迅速。

最近兴起的P2P文件共享应用也成了病毒传播的平台

遗憾的是,大部分企业还未对这些新的威胁采取有效的措施。

3、聊天工具的安全问题

这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具,之所以这样称呼是因为它们最初是为朋友间聊天而出现的。而现在,这类聊天工具已成为一些企业信息交流的主要工具。根据IDC对业界的分析结果,企业使用这类在线聊天工具的用户正处于增长趋势,到2005年将达到3亿人。

然而,权威人士研究发现,这些聊天系统在设计时都着重考虑了灵活性,而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。如前所述,聊天工具也已成为病毒大量传播的一种途径。

但在线聊天工具有高效、方便的特点,正迅速被企业接受,单纯的屏蔽是不合适的,关键是采取一种有效的聊天控制策略并加以监管。

4、点对点文件共享应用的安全问题

点对点文件共享应用(P2P),在中国称为BT下载,它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中,每个用户既是客户端又是服务器,每个人都可从其它用户下载自己需要的数据,也可将自己已下载的数据共享给其它需要这部分数据的用户。这样,由于这种应用消除了传统下载方式的服务器瓶颈,下载人数越多,下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而,在企业网络中,这种应用没有有力的理由存在,不仅会对网络可用性造成严重影响,还能成为病毒传播途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任,因此,从各方面考虑,有必要对其进行屏蔽和控制。

以上是互联网应用方面出现的新问题,那么,如何解决这些问题呢?

三、代理服务是解决问题的根本方法

1、为什么防火墙不能有效解决这些问题

防火墙主要功能是阻挡源自外部的攻击

企业现在使用的防火墙大多是包过滤型、或者是高级一些的状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。但不可忽视的是,最新的研究报告显示,50%以上的企业网络被攻击的情况由企业内部引起。

防火墙不能有效进行应用层检查

当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。

2、代理服务如何解决这些问题?

对应用层检查最好的办法是使用新一代的安全代理专用设备,顾名思义,代理专用设备就是代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。控制策略包括:

内容过滤策略,过滤与工作无关的站点,提高员工的工作效率;

Web病毒扫描策略,对可能携带病毒的Web对象和恶意代码进行扫描和剥离;

控制WebMail使用,全面禁止使用WebMail或允许使用WebMail但禁止收发附件;

聊天控制策略,记录聊天内容、跟踪聊天关键字、禁止收发文件或通过语音、视频聊天;

对P2P进行屏蔽,屏蔽P2P应用。

安全代理专用设备是现有网络安全架构的一个重要的补充,但并不是取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构,重新定义企业网络安全前景。

3、安全代理专用设备如何保证自身的安全和性能

采用安全代理专用设备看来似乎可以解决上面提到的问题,但我们不禁要问,安全代理专用设备如何保证应用层数据检查的性能?它会不会成为整个网络的性能瓶颈?安全代理专用设备本身系统安全问题如何保证?使用时用户端是否可以不做改动?在以后的文章中我们继续讨论“新一代安全代理专用设备的特征”。

四、小结

本文描述了目前大部分企业网络基础设施的现状,以及当前企业面临的新的安全问题,这些问题单靠防火墙是无法解决的,必须通过一种全新设计理念的高性能安全代理专用设备来配合防火墙,用防火墙阻挡外面的端口试探攻击,用安全代理专用设备深层次地管理和控制由用户访问外部资源而引起的应用层攻击,包括内容过滤、Web实时病毒扫描、聊天控制、P2P文件共享控制及未来出现的应用,解决当今最严重的互联网安全威胁,即基于应用的、具有破坏性的、复杂的攻击。

热点专题
>>
相关文章推荐
>>