区域联防—企业防火墙最新概念统一教学网

你的位置：首页 > 安全防御 > 病毒防治 > 区域联防—企业防火墙最新概念

	安全防御
	黑客技法黑客工具系统漏洞病毒防治综合安全安全防御

区域联防—企业防火墙最新概念

日期：2001-8-2 11:03:00
出处：大众网络报
作者：小刘

随着网络安全观念的普及，防火墙已成为企业建置其网络环境不可或缺的设备。“区域联防”作为企业防火墙的最新概念，正被越来越多的企业所采用。所谓防火墙“区域联防”，就是将传统网关型防火墙、个人计算机型防火墙和主机型防火墙结合起来，共同防卫企业的网络安全。本文将详细介绍在“区域联防”中各种防火墙的作用，相信能让你尽快建立起自己企业内部的“区域联防”防火墙。

企业安全现状
　　
　　根据最新的研究报告显示，仍有百分之五十以上的企业网络攻击行为来自企业内部。企业内部员工对网络安全的危害案件层出不穷，正所谓“家贼难防”。大部分网关型防火墙只能防止外部的非法存取，对于来自企业内部的入侵攻击行为大都束手无策。
　　
　　由于企业内部配置有大量的个人计算机及内部主机，这些机器存有企业最重要的知识资产。目前绝大部分的企业对于内部计算机的安全管理控制较松散，顶多采用简易的使用者认证来作存取的管理控制，更有许多企业为了方便起见，采用多人共享一个密码的方式，来使用计算机处理一般的业务。这些做法都让心怀不轨的员工有可乘之机，轻易地窃取公司的机密资料。更有甚者，目前大部分企业对于员工使用的个人计算机几乎完全忽略其安全性与重要性。所以，使用防火墙将是一种有效的手段。

网关型防火墙
　　
　　网关型防火墙运作的原理，是在一个可信任的网络(企业内部网络)与不可信任的网络(因特网)间，放置一套装置，对所有进出企业网络的联机，进行全面的监督与管理控制，以确保企业网络的安全。传统防火墙的架构，要确保防火墙能为企业网络安全确实把关，大都将防火墙配置于企业网络(内部网络)与因特网间的惟一通道上，因此这种防火墙又称之为网关型防火墙。

虚拟非军事区

　　传统的企业防火墙架构如图1所示。防火墙将企业的内部网络与因特网隔开，并开放一块所谓的DMZ (De-Military Zone，非军事区)来放置企业对外的服务器主机，以作为企业内部网络与外部网络的缓冲区，加强企业网络的安全管理控制。然而，随着因特网频宽的不断被提升，企业服务器主机的联机处理速度更应被相对的提升，将一个高速联机需求的服务器主机放置于非军事区内，虽然可保障其安全，但代价是使用者觉得对服务器主机存取的速度变慢了。因为所有的联机必须先经过惟一的通道——网关型防火墙的检查，再导入位于非军事区内的服务器主机。而随着网络使用者的大量增加，传统网关型防火墙上非军事区的架构设计，已面临效能不佳的考验。
　　
　　为了有效提升企业服务器主机的联机效率，又为了保障主机的安全，可采用虚拟非军事区（Virtual De-Military Zone； Virtual DMZ）的架构来设计。所谓的虚拟非军事区的观念，就是将服务器主机移往网关型防火墙之外，但在每一个服务器主机之上加装主机专用的防火墙，如图2所示。如此一来，所有连往该主机的联机，将直接连主机而仅接受该主机的防火墙检查，进而获得整体较佳的效能。如此分布式防火墙的架构，可有效解决过去单一防火墙的效能瓶颈问题。另外，针对企业选择将企业主机置放于 ISP 端的 co-location (主机代管)或IDC(数据仓储中心)中，更可利用虚拟非军事区的观念，在不须更动ISP或IDC的网络架构下，为企业代管的主机加强安全，以扩大防护的范围。

主机型防火墙
　　
　　主机型防火墙可做到网络存取管理控制、入侵侦测与效能分析等功能。更有甚者可结合中央管理控制机制，统一管理控制企业所有主机型防火墙。更有些主机型防火墙可针对不同的服务器主机应用，提供适合该主机的特殊安全管理控制。例如Web主机型防火墙可防止该主机提供的网页遭篡改，E-mail 主机型防火墙可防止E-mail 主机代发垃圾邮件及遭受病毒邮件的攻击。

个人计算机防火墙
　　
　　目前个人计算机普遍采用微软的Windows操作系统。Windows操作系统提供方便的档案共享机制，但此机制也造成企业内诸多安全及保密管理控制的疏失。不信我们在公司内利用简单的“网络邻居”找找看，通常还真的会有“意想不到”的收获。个人计算机的另一安全漏洞来自员工上网，下载软件或接收电子邮件而感染到病毒或后门程序。病毒的防治在一般企业内已受到重视，但危害更严重的后门程序，却常常被忽略掉。当企业内的任一员工的个人计算机不小心被植入后门，其对企业的伤害是很严重的。一个典型的例子就是微软的一个员工在家上网，其家里的个人计算机被植入后门程序，进而“入侵”微软总公司的企业内部网络，取得了公司原始程序代码。因此，企业内的每一个环节均马虎不得，企业内服务器主机与个人计算机端防护的加强有其绝对的必要性。适合企业内部使用的个人计算机防火墙应至少具备Windows操作系统的档案网络存取管理控制、网络入侵侦测及拦阻后门程序等功能。

防火墙“区域联防”
　　
　　在篮球运动中有所谓“区域联防”的战术，其目的是利用各区域的加强防卫动作来化解对手的攻击行为。随着黑客技术的不断提升，过去传统的单一网络网关型防火墙已渐渐不适于现今企业架构。我们必须结合主机型防火墙与个人计算机型防火墙再配合传统网关型防火墙的功能，让其各司其职、各在其位，来达成全方位及最佳效能比的防卫架构，方能呈现出防火墙铁三角的全新组合，为企业网络安全有效把关。

打印本文 |

推荐朋友 |

收藏文章 |

关闭窗口