| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
策略实现全网安全
——中网分布式防火墙优化大型企业网络安全 刘艺丽 大型国有企业在国民经济中具有十分重要的地位。如今,大型企业的网络和信息化建设普遍走在全国的前列。以某大型企业为例,该企业总部的局域网、各省的二级公司的局域网和地级的三级公司的局域网通过广域网互联。在总部的局域网上接互联网,三级公司通过二级公司、二级公司通过总部接入互联网。并且,企业的业务信息系统十分复杂,主要的业务系统包括行业应用系统、ERP系统、OA系统、财务系统、网站系统等。企业的用户群也十分复杂,内部用户包括系统管理人员和使用人员,外部用户包括客户、合作伙伴等。 该企业对网络安全十分重视,两年前就已经在网络安全上专项投资上千万元。其采取的安全措施包括边界防火墙、入侵检测、漏洞扫描、防病毒、主页防窜改和安全审计等。在总部、二、三级公司等局域网与路由器之间均部署了防火墙和入侵检测,每一个局域网内部也都部署了防病毒软件和漏洞扫描,而且,总部的网站所在的DMZ区还部署了主页防窜改和安全审计,并在公司内部的重要业务系统和应用系统中部署了防火墙。 然而,该企业却发现安全问题还没有得到有效解决,其主要存在的问题包括:局域网内部不够安全,病毒问题未能有效解决,边界防火墙的内部和外部安全策略设计十分困难。 从企业的安全现状和问题来看,实际上企业需要的是细颗粒度的访问控制和全网安全。经过相互的交流和讨论,最后决定一步到位,控制每一个用户、每一个IP和MAC地址。对于深度防御的安全机制,由于用户无法确定何种程度才算深,最后建议在不影响业务的基础上,尽可能采用较为安全的深度防御机制。 针对该企业的网络安全现状,本着避免重复投资的思路,中网对原来的安全方案作了调整。调整主要是两条,一是进一步明确细划网络结构,采用VLAN尽可能对网络进行划分分段;二是撤销原来的防火墙,全面部署分布式防火墙。保留了原来的入侵检测、防病毒、漏洞扫描、主页防窜改和安全审计的安全基础设施。 新方案的主要特点为:每一台PC、笔记本、服务器上都安装有一个分布式防火墙。该防火墙首要的责任是保障全网的安全,确保该计算机不会对全网造成安全威胁,然后才是保护自己的计算机免遭别人的攻击。后一条职责同传统的个人防火墙相似,但前一条则有本质的差异。 分布式防火墙的规则由两部分构成,一是公共规则,二是本机规则。公共规则优先于本机规则,公共规则优先保障全网安全,本机规则用来保证本机安全。如果局域网内部的一台计算机感染了病毒或木马,分布式防火墙发现后立即隔离该计算机,防止对全网造成安全威胁。如果局域网内部有人攻击别的计算机,攻击者的防火墙和被攻击者的防火墙会同时拦截攻击。因为每一台计算机都具有保护自己和保护全网的能力,所以,边界防火墙没有什么规则需要配置,从而大大简化了网络安全策略的管理。 为了加强进一步管理,安全管理员在中央管理控制台上对每一个用户进行了登记注册。安全管理员还可以分发安全策略给每一台分布式防火墙,定期查看每台防火墙的流量和安全状况,查看日志并对安全事件进行审计,进行宏观管理。 实施后的网络运行良好。运行半年多来,未出现网络阻塞、全网瘫痪、或重大的安全事故,有效地控制了网络病毒的传播,防止了内部局域网上的攻击和威胁,安全策略易于理解和部署,明确了管理和服务的责任。 
中网分布式防火墙部署图 |
||||||||||||||||||||||||||||
