扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年11月3日
关键字: 网关
第一道防治措施:防火墙
若企业对于网络顺畅运行要求比较高的企业,若在企业网络上部署了大量对应用服务器的企业,则最好在网关上部署防火墙。因为对于这些企业,若网络发生故障,就好像企业停电了一样,员工将无事可做。
笔者有个朋友的企业,他们部署了ERP系统,平时的日常办公已经都离不开ERP系统了。有一天,他们网络受到了病毒的攻击,全部网络瘫痪。此时,他们员工就叫死了。以前还说ERP系统怎么怎么不好,但是,到了ERP系统真的不能用时,他们反而不知道该如何工作了。可见,对于部署了像ERP系统等类似的网络应用的话,当网络瘫痪的时候,对于他们来说,是一个很大的打击。
故,对于这些企业的话,笔者的建议是在企业网络的网关上,设置一道防火墙。把企业的内部网络跟外部网络有效的隔离开来,并对进出这道门户的数据进行检测,看看是否存在可能危害企业网络运行的因素存在。防火墙能够有效的阻断未经授权的信息在网关上随意进出。
笔者企业使用的是硬件防火墙,东方龙马公司的产品。采用这个硬件防火墙,笔者利用其过滤规则,有效的对企业内部的网络行为进行管理与监控,如对于企业内部大部分员工不允许其上QQ或者炒股、玩游戏等等;如利用其自带的抗工具与自我保护功能,有效的防止了病毒对于企业内部网络的攻击;还可以利用地址转换功能,让企业内部的应用服务器,如ERP与OA服务器,员工可以在家里或者出差的时候也可以访问;利用防火墙的终端身份认证功能,可以实现只有经过授权的用户才能够从外部连接到企业的内部网络上,等等。笔者借助这款硬件产品,提高了对于企业网络与外部网络的把控能力;有了防火墙的帮助,笔者可以不需要使用网络行为管理软件,就可以对内部员工的网络行为进行有效的限制。这些都是笔者使用防火墙的直接的感受。
当然,硬件防火墙的投资是比较昂贵的。若中小企业的领导者在这方面不愿意过大投资的话,则网路管理员还有一个选择,就是利用软件防火墙,来实现对于网关进行管理的需求。其实,现在也有一些针对终端的防火墙产品,如一些杀毒软件,金山毒霸、瑞星等杀毒软件,都有个人防火墙功能。当一些未经授权的程序试图访问网络或者一些不良程序试图在用户不知情的情况下修改注册表等信息的话,防火墙都回告诉我们,并让我们判断该如何处理这些程序。这就保证了未经授权的程序不能更改我们的系统配置或者随意访问网络。
网关级别的软件防火墙跟这个防火墙类似,只是其功能要强大的多。现在好一些的软件防火墙,基本上可以实现硬件防火墙90%左右的功能;但是,其价格却比硬件防火墙要便宜的多。所以说,对于中小企业来说,是一个不错的选择。只是其运行效率,比硬件防火墙要差一点。不过,根据笔者的经验,中小企业用户相对比较少,进出网关的数据也不会很多,所以,这个缺点对于中小企业来说,可能不会造成多大的影响。
第二道防治措施:对于邮件的保护措施
企业员工每天上班的时候,一打开企业内部邮箱,是不是就有很多的垃圾邮件;网络管理员是不是在为层出不穷的邮件病毒所困扰着。其实,这些问题,在网关上部署一些邮件相关的保护产品,就可以有效的防止这些现象的产生。
如利用内容过滤软件,我们就可以有效的防治令人讨厌的垃圾邮件。虽然,可以在客户端的级别上进行防垃圾软件的设置,但是,若让对于这个不怎么专业的员工自己去配置防垃圾软件设置的话,效果不一定好,还可能因为不熟悉配置,而把一些不适垃圾邮件的地址都给过滤了,那就是搬起石头砸自己的脚了。所以,我们网络管理员,还是希望能够统一对垃圾邮件进行过滤。此时,我们就有两个选择,一个是直接在邮件服务器上进行过滤;另外一个就是在网关上,部署内容过滤软件,对垃圾邮件进行过滤。内容过滤软件的另外一个作用,就是我们网络管理员可以利用这个产品,防止员工对一些不正当的网络进行访问,如一些交友网站、色情网站等等。因为这些网站往往都有病毒。所以,利用这个功能,可以给企业创造一个健康的网络办公环境。
同时,在网关上部署反病毒软件,特别是在企业邮箱的网关上部署反病毒软件,那效果,比起在用户终端部署杀毒软件,要有效的多。因为出于种种原因,有时候员工在收到带有病毒的邮件时,杀毒软件常常会不起作用。如员工在收到一个带有附件的邮件时,杀毒软件是提醒员工需要对邮件附件进行扫描,但是,员工可能是出于麻烦,或者对发件人太过于信任,所以,往往不会对附件进行病毒扫描,这就给了病毒可乘之机。一些病毒会模仿用户的好友的发件人地址来欺骗用户。所以,网络管理员若能够在企业邮箱网关上部署反病毒邮件的话,就可以强制的对于进出网关所有邮件,包括带有附件的邮件,进行病毒扫描,最大程度的保障企业邮件的安全运行。
第三道防治措施:针对VPN的管理
现在大部分企业,为了便于出差的员工访问企业的内部网络,都会部署VPN应用。笔者的企业,现在也部署了VPN服务器。但是,如果保障VPN服务器的安全,曾经带给我不少的烦恼。要知道,若企业使用了VPN服务器的话,就好像在企业的内部网络上,又开了一扇门,如此的话,只要不法之人,非法取得了这扇门的钥匙的话,那么他们就可以畅通无阻的访问企业的内部网络,甚至进行任何的修改与破坏动作。
笔者为了提高VPN服务器的安全,把VPN服务器部署在硬件防火墙内部,在网关处,采用安全产品来保障VPN服务器的安全。如我们若认为VPN服务器自带的身份认证功能不够强大的话,我们还可以利用防火墙的身份认证功能与日志功能,来帮助VPN服务器对于VPN客户端身份合法性进行认证,来提高VPN服务器的安全性。对于VPN服务器来说,有过这方面管理经验的IT人才都知道,其最大的威胁就是外部非法用户的访问。而在VPN服务器的网关上,部署防火墙,无论是硬件防火墙还是软件防火墙,都可以帮助网络管理员,提高VPN身份认证的效率与准确性。可见,在网关上部署针对VPN服务器的安全应用产品,可以提高我们对于VPN服务器管理的效果,保障企业内部网络的安全。在使用VPN服务器的便利性的同时,不被其安全性所困扰。
网关产品是保护公司的网络免受外部入侵的第一道安全防线,可以防止网络病毒或者其他未经授权的用户访问企业内部网络;也是对用户的上网行为进行控制的比较好的实现方式,可以规范员工的上网行为,不让他们在办公时间访问未经允许的网站,创造一个健康的网络办公环境。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。