網(wǎng)絡(luò)改造重視什么

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

網(wǎng)絡(luò)改造對(duì)企業(yè)的網(wǎng)絡(luò)來說是一個(gè)契機(jī)，我們應(yīng)重視安全建設(shè)升級(jí)及新安全問題的防范。

在過去的中小型企業(yè)的網(wǎng)絡(luò)建設(shè)時(shí)，可能出于成本問題或網(wǎng)絡(luò)安全的重要性不那么強(qiáng)烈而對(duì)企業(yè)網(wǎng)的網(wǎng)絡(luò)安全建設(shè)的缺失或不足?，F(xiàn)在企業(yè)成長(zhǎng)了，企業(yè)網(wǎng)也跟著成長(zhǎng)，網(wǎng)絡(luò)安全也要跟著成長(zhǎng)。如今網(wǎng)絡(luò)黑客、網(wǎng)絡(luò)病毒、間諜軟件層出不窮，企業(yè)網(wǎng)絡(luò)如何才能有"一個(gè)免疫的身體"不至于遭到安全損失。網(wǎng)絡(luò)改造的契機(jī)，我們要重視網(wǎng)絡(luò)安全，我們要了解現(xiàn)在我們可以用什么樣的設(shè)備來調(diào)整、升級(jí)我們的網(wǎng)絡(luò)，在以下方面建立起網(wǎng)絡(luò)的安全體系。

網(wǎng)關(guān)型防火墻

企業(yè)網(wǎng)安全的主要部分就是內(nèi)外網(wǎng)分界處的安全，也就是在企業(yè)網(wǎng)上網(wǎng)的同時(shí)，如何能保障企業(yè)網(wǎng)的內(nèi)網(wǎng)安全。在企業(yè)初建時(shí)期，由于成本問題，可能無法在這個(gè)分界處放置路由器和防火墻設(shè)備，可能是外線的接入經(jīng)過接入設(shè)備后就直接接到內(nèi)網(wǎng)的交換機(jī)，如從ADSL MODEM就直接接入交換機(jī)，這樣的網(wǎng)絡(luò)拓?fù)錄]有任何安全可言。但現(xiàn)在這種情況已經(jīng)改變，近幾年順應(yīng)寬帶的興起，也紛紛出現(xiàn)了寬帶路由器等寬帶網(wǎng)關(guān)設(shè)備。

現(xiàn)在企業(yè)接入廣域網(wǎng)或者說互聯(lián)網(wǎng)的方式已經(jīng)與過去很不同，也就是我們常說的"寬帶接入"，如：ADSL、光纖專線等，接入的線路設(shè)備如：ADSL MODEM、單模光纖收發(fā)器等，這樣經(jīng)過信號(hào)轉(zhuǎn)換后就成了以太網(wǎng)信號(hào)，可以直接入任何有以太網(wǎng)接口的寬帶網(wǎng)關(guān)設(shè)備（如寬帶路由器）。這樣接入帶寬不僅更寬，網(wǎng)關(guān)設(shè)備的成本比傳統(tǒng)路由器更低，配置也非常簡(jiǎn)易，基于WEB方式的設(shè)置界面，就能完成各種協(xié)議的設(shè)置。

對(duì)于中小企業(yè)網(wǎng)安全，現(xiàn)在一種集成了安全的寬帶網(wǎng)關(guān)設(shè)備值得我們關(guān)注。這種設(shè)備集成入了防火墻，稱為"防火墻寬帶路由器"，個(gè)別集成VPN（虛擬專網(wǎng)）、IDS（入侵檢測(cè)）等號(hào)稱為"統(tǒng)一安全網(wǎng)關(guān)"，它還有一個(gè)專有名詞"UTM統(tǒng)一威脅管理"。因此這樣的設(shè)備不僅能提供網(wǎng)關(guān)功能，也同時(shí)提供網(wǎng)絡(luò)的安全功能，它們?cè)谀壳暗闹行∑髽I(yè)網(wǎng)建設(shè)中很流行。它是路由器+防火墻的集成設(shè)備，比過去企業(yè)單獨(dú)購買這兩樣設(shè)備支出的成本大大降低。因此對(duì)于中小企業(yè)我們沒有必要單獨(dú)購買網(wǎng)關(guān)（路由器）和防火墻，要求較高的企業(yè)可以采購"統(tǒng)一安全網(wǎng)關(guān)"，要求一般的企業(yè)可以采購"防火墻寬帶路由器"。

方案一：整體安全方案

值得一提的是"統(tǒng)一安全網(wǎng)關(guān)"或稱"UTM統(tǒng)一威脅管理"對(duì)于中小企業(yè)更是一個(gè)結(jié)構(gòu)簡(jiǎn)單而有效的網(wǎng)絡(luò)整體安全解決方案。這設(shè)備是一個(gè)"多合一"設(shè)備，因此在中小企業(yè)的網(wǎng)絡(luò)邊界部署這么一臺(tái)機(jī)器就能以一當(dāng)十，把它部署在企業(yè)網(wǎng)絡(luò)的邊界就能省下很多安全方面的考慮。

如今來自網(wǎng)絡(luò)的針對(duì)應(yīng)用層的攻擊越來越多，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付。法國LANGATE公司為代表的LanGate UTM（統(tǒng)一威脅管理）整體安全網(wǎng)絡(luò)架構(gòu)方案就能解決當(dāng)今中小企業(yè)面臨的安全挑戰(zhàn)。

法國LANGATE專利的LanGate UTM在專用高效安全硬件平臺(tái)上集成了Firewall（防火墻）、VPN（虛擬專用網(wǎng)絡(luò)）、Content Filtering（內(nèi)容過濾）、IPS（Intruction Prevention System，即入侵檢測(cè)系統(tǒng)）、QoS（Quality of Services，流量管理）、Anti-Spam （反垃圾郵件）、Anti-Virus （防病毒）及 Wireless Connectivity （無線接入認(rèn)證）技術(shù)。無線接入認(rèn)證對(duì)于企業(yè)網(wǎng)中有無線網(wǎng)的企業(yè)是一個(gè)高級(jí)的無線局域網(wǎng)安全選項(xiàng)，因?yàn)楝F(xiàn)在的無線AP等WLAN設(shè)備的本身安全不是很有效，有了這個(gè)認(rèn)證，企業(yè)就可以放心使用無線網(wǎng)了。基于硬件加速的LanGate UTM系統(tǒng)在網(wǎng)關(guān)處實(shí)時(shí)地掃描email、Web和文件傳遞內(nèi)容，在病毒、蠕蟲和其它不合適和有害內(nèi)容進(jìn)入企業(yè)網(wǎng)絡(luò)之前抵擋住它們的攻擊。

這樣的設(shè)備還有JUNIPER 的NETSCREEN -5GT，在升級(jí)了網(wǎng)絡(luò)操作系統(tǒng)以后，也可以具有UTM的能力。

網(wǎng)絡(luò)的連接方法是，ADSL MODEM或光纖收發(fā)器接到統(tǒng)一安全網(wǎng)關(guān)再接入交換機(jī)，這樣就在企業(yè)內(nèi)網(wǎng)之前（交換機(jī)之前）樹立起一道能防黑客、防病毒、反垃圾郵件、無線接入認(rèn)證等來自外部的攻擊。由于防毒是要時(shí)常更新，需要為此付費(fèi)，這個(gè)方案實(shí)施起來要比方案二成本高，它適合于中型企業(yè)應(yīng)用。

方案二：局部安全方案

局部安全方案其實(shí)是為了與方案一呼應(yīng)而來。我們?cè)谶@里指的是集成了防火墻（有時(shí)還集成VPN）的寬帶路由器。這個(gè)方案說的是用集成防火墻的寬帶路由器來部署在企業(yè)的邊界部分，既承擔(dān)網(wǎng)關(guān)的功能，又同時(shí)承擔(dān)防火墻的功能，是一個(gè)二合一的設(shè)備。我們舉一個(gè)產(chǎn)品。

NETEGAR ProSafe FVS318 VPN防火墻是那些想用一個(gè)簡(jiǎn)單的設(shè)備來執(zhí)行關(guān)鍵功能的企業(yè)的理想選擇。這個(gè)8端口以太網(wǎng)路由器防火墻賦予了完全狀態(tài)包檢測(cè)(SPI)防火墻，拒絕服務(wù)(DoS)攻擊保護(hù)和入侵監(jiān)測(cè)，URL關(guān)鍵字和內(nèi)容過濾，也可以發(fā)起8路IPSec VPN隧道。我們可以看到這款設(shè)備較重要的網(wǎng)絡(luò)安全特性是集成了SPI狀態(tài)檢測(cè)防火墻，另外還有入侵監(jiān)測(cè)和VPN，多數(shù)普通點(diǎn)的同類設(shè)備只有SPI防火墻功能。它沒有象方案一的LanGate產(chǎn)品那樣還具有防病毒能力。因此企業(yè)在防病毒方面還需依靠安裝防毒、防御軟件等。

這個(gè)方案適合于小型企業(yè)，它可以不用另外購買防火墻，也可以享受防火墻的保護(hù)。

總結(jié)：

在寬帶網(wǎng)絡(luò)風(fēng)行之初，我們企業(yè)網(wǎng)可能單純能上網(wǎng)就行，但是現(xiàn)在，我們要能安全上網(wǎng)才行。網(wǎng)絡(luò)改造后會(huì)牽涉到網(wǎng)絡(luò)用途及人員的改變，也要隨著網(wǎng)絡(luò)的改變修訂網(wǎng)絡(luò)安全管理規(guī)范。