世界的步伐跨入21世纪,随着全球信息化的浪潮及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多,并且这种企业运营模式也逐渐成为现代企业的“需要”和“必要”。这样,企业总部和各地的分公司、办事处以及出差的员工需要实时的进行信息传输、资源共享等,企业之间的业务来往也越来越多的依赖于网络,但是由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失,因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成为了21世纪计算机信息技术中一个永恒的话题。
现代企业信息化的网络结构中究竟存在哪些安全隐患呢?我们首先来对国内现代企业信息化的基本网络模式做一个安全风险分析,在图1-1中就表明了现在企业信息化网络结构中太多让我们不寒而栗的危险!
第一,来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪,其中以拒绝服务攻击尤为常见。拒绝服务攻击就是使你的服务计算机崩溃来阻止你提供服务,包括死亡之ping、泪滴攻击、Land攻击、泛洪攻击、Smurf攻击、Fraggle攻击、畸形消息攻击、电子邮件炸弹攻击等攻击手段。当然,除了拒绝服务攻击之外,还有许多危害网络安全的其它类型攻击,比如利用型攻击(这是一类试图直接对你的机器进行控制的攻击,包括字典暴力破解密码、安装特洛伊木马、缓冲区溢出等)、信息型收集攻击(这类攻击并不对目标本身造成危害,是被用来为进一步入侵提供有用的信息,包括端口扫描、地址扫描、体系结构探测、利用信息服务等)等。
第二,来自信息窃取的威胁,造成我们的商业机密泄密,内部服务器被非法访问,破坏传输信息的完整性或者直接假冒。
第三,来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染而系统崩溃或者瘫痪,更厉害甚至造成网络瘫痪,比如前段时间在Internet上流行的让我们谈之色变的“欢乐时光”、“尼姆达”、“冲击波”等。
综上所述,网络不是一个安全的“阳光乐土”,充满了危险、邪恶、狡诈与罪恶,那么如何来保障我们的网络安全,为企业的商务运作保驾护航呢,迈普通信用专业的安全产品、完美的网络方案给你信心!
1.企业信息化网络安全第一步:防火墙
通过网络安全风险分析,企业网络管理者意识到了网络安全的必要性和重要性,进而逐步想办法解决网络安全的问题,最为普通的做法就是——给我们的内部网络装上一道“闸门”来解决网络安全的问题,这就有了防火墙(Firewall)和Nat(Network Address Translation,网络地址翻译)转换的概念,当然这里所指的防火墙的含义囊括了网络安全防火墙和病毒防火墙.
本着对网络安全级别差异的要求,针对企业总部信息中心和企业分支机构采用了不同的方式来解决网络安全的问题。首先在重要级别为最高的企业总部信息中心,最开始在交换机上划分VLAN(虚拟局域网)来分隔市场部、财务部、人力资源部等,使得各个不同职能的部门不能互相访问,保护本部门敏感的数据;接下来在各个服务器与工作站上安装病毒防火墙来防护计算机病毒;最后在企业总部信息中心与公共网络的接口处放置网络安全防火墙来保护企业总部信息中心内部网络,防止来自公共网络的多种网络攻击,当然在接入公共网络的路由器上可能也集成了防火墙的功能,但是比起专业的网络安全防火墙,功能没有那么强大。其次,在重要级别为一般的企业分支机构,除了在工作站PC上安装病毒防火墙来防护计算机病毒之外,大多数企业分支机构都是在接入路由器上做Nat来防止网络攻击,从安全性上来看NAT提供了对外隐藏内网拓扑的一个手段。
那么,这样我们的企业网就彻底安全了吗?答案显然是否定的。从图1-2我们可以清晰的看到,虽然网络攻击和病毒攻击得到了防范,但是依然没有解决通信安全的问题,隐藏在茫茫网海中的危险分子(Hacker)依然可以窃取甚至篡改你在公共网络上传输的包括你的帐号、口令、数据等重要的信息,因此即使我们已经开始改良网络安全性,但是图1-2所示的这个企业网络模式依然不是一个令人放心的安全网络。
此外,还有一个小小的问题,我们在企业分支机构的接入路由器上做了Nat,这样确实解决了一部分安全的问题,但是面对我们的网络增值业务(比如IP语音)却又带来了一个麻烦,因为需要穿越Nat,虽然目前有很多厂家采用ALG(Application Level Gateway,应用层网关)技术推出了专业的VoIP穿越Nat的设备,但是把公共网络变成我自己享用的专网却是大家的梦想、更为愿意尝试的方式。
2.企业信息化网络安全第二步:VPN
在解决了网络攻击和病毒攻击的困扰以后,大多数企业网络管理者就要开始考虑信息传输安全的问题了,那么如何来解决信息在公共网络上安全传输的问题呢,VPN技术的横空出世让我们找到了解决网络安全中在公共网络上安全传输信息的的方法,
VPN(Virtual Private Network)技术,也就是虚拟专用网技术,是一种利用公共网络构造私有网络的一种技术,要架构这种 VPN,需要使用数据包隧道传输和加解密技术。最为通俗的形容就是好像在源端与目的端架设了一个坚固(坚固的含义就是外界力量不能破坏)的石油管道(隧道),让石油(信息)丝毫不泄漏的从源端流到目的端,隧道是由隧道协议来完成建立的,通常的隧道协议包括二层隧道协议(比如PPTP、L2F、L2TP)和三层隧道协议(比如GRE、IPSec),而最通用的则是IPSec协议。IPSec协议是一组开放协议的总称,通过AH (Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议在特定的通信方之间的IP层通过数据加密与数据源验证,来保证数据包在Internet网上传输时的私有性、完整性和真实性。
以迈普通信的专业网络安全设备为例来分析该网络方案。在企业总部信息中心放置一台MPSec VPN3020网关,该网关集成了强大的防火墙功能,能够有效的对抗网络攻击,节省了图1-2中所示的需要在企业总部信息中心配备的网络安全防火墙;在企业分支机构使用内置IPSec加密芯片的迈普通信安全路由器系列,这样带IPSec加密芯片的迈普路由器与迈普VPN网关之间就形成了VPN通道,VPN通道有效的保护了企业分支机构与企业总部信息中心之间的信息传输,使得公共网络中的危险分子无法窃取在隧道中加密传输的信息,大大推进了网络安全向前跨越了一大步。此外,由于虚拟专用网的建立,前面所讲的VoIP穿越Nat的问题也迎刃而解,此时相当于在专网上架设IP语音网,使得网络增值业务轻松实现。