云南工商学院 中小型企业信息安全管理
以上观点从一个侧面反应了防火墙管理的一些趋势,一般来讲,基于GUI管理界面的防火墙比基于WEB界面管理方式的防火墙提供了更丰富的管理功能和更好的安全性,希望中小型企业在选择防火墙管理方式的时候,根据自己的情况认真选择。
目前防火墙产品的远程管理大致使用一下三种技术: 一种是基于浏览器的WEB界面管理方式。
一种是基于管理端软件的GUI界面。
除此之外,还有基于命令行的CLI管理方式。
无论是WEB界面管理方式还是基于管理软件的GUI界面,管理界面一般需要完成对防火墙的配置,管理和监控。CLI命令行的管理方式适合对防火墙进行出水花,网卡配置等基本操作,不适合做丰富的管理功能。
下面是几种管理方式:
GUI的管理方式:GUI是一种直观,重要的管理工具,适合对防火墙进行复杂的配置,可管理多台防火墙,同时支持丰富的审计和日志的功能。
WEB管理方式:WEB界面管理方式是另一种管理工具。这种方式提供了简单的管理界面,适合那些功能不是很多的防火墙的管理工作。
CLI管理方式:这种方式不适合对防火墙进行管理,事实上,不太可能通过命令行的方式对一个具有复杂功能的防火墙进行很好的配置,他比较适合高级用户和厂商对防火墙进行调试。
选择好管理方式,合理的运用,对于企业的信息安全有着极大的保障。解决了企业中的信息安全,使企业在飞速发展的同时,保证企业的稳定。
3.2防水墙在中小型企业中的实践
3.2.1防水墙的部署
中小企业部署防水墙系统后可有效地保护企业机密商业资料 ,详细记录文件操作,对员工使用电脑情况进行图表分析,自动生成、发送邮件报告,防止员工滥用公司电脑,禁止浏览工作无关网站,限制与工作无关应用程序的使用,提高生产力。
防水墙系统是一套软件系统,其部署无需改变当前内网的拓扑结构,防水墙客 户端安装在用户终端,防水墙服务器与防水墙控制器部署在防火墙后的第一道防线 上(部署结构见图4)。管理员通过管理工作站来管理防水墙服务器,定制实施相关的 安全策略,并强制分发到各客户端。防水墙服务器通过位于各部门的客户端工作站 来实现对整个内部网络的用户、数据和设备等的管理和监控。如图
图3-3防水墙机构图
第 12 页 共 23 页
云南工商学院 中小型企业信息安全管理
3.2.2防水墙的总结
防水墙的内网安全保护系统已经在某研究所实施了近半年时间,它的应用切实有效地降低了内部敏感信息的泄露、破坏和外传风险,实现了信息安全监管和 审计,从技术上有效地保护了内部网络敏感信息的安全,因此,防水墙的内部安全管理体系是信息网络安全体系的重要补充。在中小型企业中使用对于企业内部信息有着极大的保障,使企业内部更加稳定。不会让企业的一些重要信息泄露,便于企业的发展!
现在的企业更重要的地方是在内部,攘外必先安内。在外部有防火墙的保护下,内部便使用防水墙来保证企业的信息不会得到泄露。
在某篇文章中看见的几句话“中小企业受到的网络攻击比大企业少的多”、“中小企业的秘密都在核心人员手里,泄密的很少”、“中小企业的核心团队很团结,都是为了打拼、为了企业成长的一伙人,掌握的资源又少,极度渴望机密,防水墙形同虚设”。
亡羊补牢的故事都应该知道,不应该等到失去的时候才想起来当初应该怎样怎样。 所有的事情都应该未雨绸缪,不应该拿整个企业员工辛苦奋斗的结果去赌。内部信息一旦泄露,那么将对企业造成巨大的打击。所以说,防水墙在中小型企业中还有能起到一些很大的作用,甚至在一些时候会起到想象不到的作用!
3.3 UTM 在中小型企业中的实践
3.2.1 UTM的部署
UTM集成了状态检测防火墙、VPN、防病毒、入侵防护(IPS)、应用监控、反垃圾邮件等安全防护功能,还支持策略管理、IM/P2P管理、服务质量(Quos)、负载均衡、高可用性(HA)和带宽管理等功能。可阻挡未授权的网络访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件以及其他类型的安全威胁。UTM的安全特性符合中小型企业的安全需求。如图
根据中小型企业的不同,部署不同型号的UTM。对部署在中小型企业的UTM设备进行集中管理。通过开启以下安全功能,保障中小型企业的网络安全:
开启防火墙身份验证功能,访问课件服务器时自动弹出认证对话框,输入正确的用户名和密码后才能继续访问,没有权限的用户将被UTM阻止。
对服务器有针对性地开启入侵防护功能,保护内部网络和服务器群,防御来自系统外部的攻击和入侵;异常分析通过统计的方法,计算网络中各种流量的速率,并与预设的阈值进行对比,超过阈值的流量便是可疑的攻击行为。
开启防病毒功能,对网络病毒、蠕虫、黑客软件、灰色软件、入侵、Dos/Dodos攻击等进行防御;对Web访问、FTP上传/下载进行全面防毒扫描,发现病毒即时进行处理,并且发送电子邮件给系统管理员;对网络内的应用服务器进行全面防护,阻断病毒在网络中的传播;
开启应用带宽优化功能, UTM能识别常见P2P(Bit Torrent、donkey/mule、迅雷等)应用的特征,对其进行禁止或限速等操作,防止P2P下载降低网络性能。开启WEB过滤功能,屏蔽黄色、暴力等不健康的网页,为中小型企业创造一个健康的发展环境;
通过部署UTM安全管理系统,对中小型企业的UTM进行统一管理和维护。对多台UTM设备进行策略下发;集中监控UTM设备运行状态、资源占用等情况;日志采集、存储、查询、统计、在线分析等审计功能。
开启反垃圾邮件功能,对通过UTM设备的垃圾邮件进行过滤或标记。
第 13 页 共 23 页
云南工商学院 中小型企业信息安全管理
图3-4 UTM 结构图
3.3.2在中小型企业中使用UTM的原因和总结
UTM 功能丰富、维护简单、整合性高、易于管理,适合中小企业的网络环境。 UTM 设备能为用户定制安全策略,提供灵活性。 用户既可以使用 UTM 的全部功能,也可酌情使用最需要的某一特定功能。 UTM 设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。 中小企业部署 UTM 可以减少故障点、减少部署成本、管理成本、运维成本, 在网络的边界具备了一定的抗攻击的能力。这样极大的保障了中小型企业信息中的安全!
在攻击向混合化、多元化发展的今天,单一功能的防火墙或病毒防护已不能满足网络安全的要求,而基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,集防火墙,VPN、网关防病毒、IDS等多种防护手段于一体的统一威胁管理(UTM,U nifiedT hreatM anagement,)技术,对协议栈的防护,防火墙只能简单的防护第二到第四层,主要针对像IP,端口等静态的信息进行防护和控制,而UTM 的目标是除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客入侵等外部威胁起到综合检测和治理的作用,把防护上升到应用层,实现七层协议的保护。
3.4企业信息安全的方案设计
3.4.1总体设计方案
企业网络建设的基本目标就是在网络中心和各部门的局域网建设、及其广域网互联的基础上,将互联网技术引入企业内部网,从而建立起统一、快捷、高效的内部网络系统。整个系统在安全、可靠、稳定的前提下,实现合理投入,最大产出,即符合最优经济的原则。 中小型网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想:宏观上统一规划,同步开展,相互配套;在实现上分步实施,渐进获取;在具体设计中结构上一体化,标准化,平台化;安全保密功能上多级化,对信道适应多元化。针对中小型公司系统在实际运行中所面临的各种威胁,采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方
第 14 页 共 23 页
云南工商学院 中小型企业信息安全管理
位并易于管理的安全体系,确保中小型公司系统安全可靠的运行。
客户机/服务器(C/S)网有着突出的优点:网络系统稳定,信息管理安全,网络用户扩展方便,易于升级。
客户机服务器网的缺点是:需专用文件服务器和相应的外部连接设备,建设网络的成本较高,网络管理上也较复杂。这种网络结构适用于计算机数量较多,位置相对分散,且传输的信息量较大的情况。
对于具有一定规模,并且在内部已经有了几个部门的企业,如果所有部门的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,使网络数据的安全性下降,而且部门内的大量通信也会占用大量的网络资源,使整个网络的效率变低,甚至引起崩溃,降低了网络的可用性。为了克服这个缺点,需要将经常进行通信的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成局域网。
3.4.2网络拓扑方案设计
网络拓扑图设计,如图
图3-5网络拓扑图
第 15 页 共 23 页
云南工商学院 中小型企业信息安全管理
IP地址分配策略
由于本网中局域网的规模不是很大,因此出于网络安全的角度考虑,在网络设计中采用静态地址分配的方法。并结合中心交换机的第三层交换功能,进行子网的划分,一方面可以降低网络风暴的发生,另一方面也加强了网络的安全性。使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,再加上对网卡MAC地址的管理,网络就会具有更好的可管理性,可通过固定IP地址及MAC地址直接定位内部的某台PC机,对于内部入侵有着较好的防御力。
内部网络IP地址分配
内部网部分可以使用保留地址。根据IANA的规定,以下地址为保留地址,并可以由用户自由使用,只需保证企业范围内的地址唯一性。
保留地址如下:192.168.0.0~192.168.255.0(256个C类地址)。
内部网络采用保留IP地址192.168.x.x,子网掩码255.255.255.0,则最多可以提供254×254=64516个IP地址,254个子网,在可以预见的将来基本能够满足信息点增长的要求。分配原则:把192.168.x.0 (x=1?254)称作一个二级子网(VLAN),分别分给财务部、市场部、研发部等部门的网段可以是其中的任意三个,如:192.168.2.0,192.168.3.0,192.168.4.0,子网掩码为255.255.255.0。
根据部门的规模和信息点的数量,可以按需调整。每个部门需指定专人负责本子网的IP地址分配和管理工作,并和网络管理员协同工作,确保IP地址管理的效率。对于重要的IP地址(例如领导使用的IP地址和各个服务器使用的IP地址),采取IP地址和MAC地址绑定的方法,来保证IP地址不被盗用。
外部网络IP地址分配
Web服务器、电子邮件服务器都需要与外围网络通讯,需要申请一定数量的Internet IP地址,并绑定在在防火墙的外部网卡上,然后通过IP映射,使发给其中某一个IP地址的包转发至Web服务器上,然后再将该Web服务器响应包伪装成该合法IP发出的包。
假设以下情况:
分配Web服务器的IP为:内部IP:192.168.1.100,真实IP:202.110. 123.100。 分配给电子邮件服务器的IP为:内部IP:192.168.1. 200,真实IP:202.110. 123.200。 PIX防火墙的IP地址分别为:内网接口e1:192.168.1.1,外网接口e0:202.110.123.1。 通过设置PIX把真实IP绑定到防火墙的外网接口,并在PTX上定义好NAT规则,这样,所有目的IP为202.110.123.100和202.110.123.200的数据包都将分别被转发给192.168.1.100和192.168.1.200;而所有来自192.168.1.100和192.168.1.200的数据包都将分别被伪装成202.
110.123.100和202.110. 123.200,从而也就实现了IP映射。NAT地址转换过程
源IP包源地址 目的地址192.168.1.100 example.com.cn源地址 目的地址202.110.123.1 example.com.cn内部网图例:NAT源地址 目的地址example.com.cn 192.168.1.100源地址 目的地址example.com.cn 202.110.123.1回应IP包外部网源IP包路由回应IP包路由图3-6 NAT地址转换过程
需要申请合法IP地址的服务器包括:Internet接入路由器、Web服务器、电子邮件服务器、防火墙。
第 16 页 共 23 页