企业网络安全整体解决方案的研究与应用
企业网络安全整体解决方案的研究与应用
防火墙技术发展到今天,已经没有人再怀疑它的价值了,而且防火墙已经成为企业搭建安全系统时的首选设备,是网络建设的基础设施之一。但是在企业用户部署防火墙产品的时候,总会被它复杂的规则设置搞得头晕脑胀,特别是中小企业用户,没有专门的安全顾问或者网络管理员,对于部署防火墙就更加显得一筹莫展了。所以,如何部署防火墙并简单化,成了防火墙用户新的需求。
许多防火墙的管理软件都需要复杂的操作系统来执行,如SUNSolaris的操作系统。如果管理员不懂Solaris系统,就无法对管理软件进行调节。所以这些防火墙对网管员的要求比较高,需要网络管理员懂Solaris系统和Solaris软件。用过CheckPoint防火墙的用户都深有体会,功能强大、设置复杂是它的特点,一般水平的人别想搞定它。不过一般企业也很少能用到这种高端的产品,只有像电信、金融等大行业才会用到,这些大型用户的网络核心部分的防火墙一般都采用国外的品牌,如Cisco、CheckPiom、
NetScreen等。而中小企业用户一般会选择易用性高或者价格很便宜的产品。像清华得实5999元的“紫荆盾.轻型”防火墙,中网6000元左右的“黑客愁”,Nokia的“IP30”等,但是这些产品的性能有时又不能满足企业需求。而美国sonicWALL公司看准中国中小企业这块市场,利用两个不同的管理方式,将防火墙的设置变简单了,~个是通过浏览器,另一个是通过GMS全球管理系统进行管理,即可以提供对Solaris的支持,也可以提供对惠普等其他系统的支持。当然,一个使用了SonicWALL防火墙的机构,其中心机构中的网络管理员还是需要懂得网络操作系统,而对于分支机构而言,只需要通过浏览器进行管理就可以,不需要额外的管理人员。SonicWALL公司大中华区销售总经理陆耀光认为:“对于庞大的、复杂的中心机构,还是需要管理员进行管理。所以
SonicWALL为了防火墙部署的简单化,尽量避免了大型企业应用这一部分,主要针对周边非核心的应用。”
据调查显示,很多大型企业已经将核心部分架构安装完成,同时对于网络安全这一概念,一些大企业理解也不尽完善。他们认为,只要将核心部分安装完毕,就可以解决网络安全问题。其实不然,包括黑客在内的许多攻击方式,都是从外围进来的,外围点越多,危险越大,所以对周边安全的防范也是很重要的。这时SonicWALL就可以展示它的身手了
防火墙在大型网络系统中的部署
根据网络系统的安全需要,可以在如下位置部署防火墙:
局域网内的VLAN之间控制信息流向时。
Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。
在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPae,ChinaDON,FrameRelay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离,并利用VPN构成虚拟专网。
总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用NetScreen的VPN组成虚拟专网。
在远程用户拨号访问时,加入虚拟专网。
ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。两网对接时,可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT),