企业网解决方案

2004-9-29　发布方：成都迈普　网友评论 0 条　点击进入论坛

前言

世界的步伐跨入21世纪，随着全球信息化的浪潮及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多，并且这种企业运营模式也逐渐成为现代企业的"需要"和"必要"。这样，企业总部和各地的分公司、办事处以及出差的员工需要实时的进行信息传输、资源共享等，企业之间的业务来往也越来越多的依赖于网络，但是由于互联网的开放性和通信协议原始设计的局限性，所有信息采用明文传输，从而导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患甚至不可估量的损失，因此必须利用信息安全技术来确保网络的安全问题，这就使得网络安全成为了21世纪计算机信息技术中一个永恒的话题。

现代企业信息化的网络结构中究竟存在哪些安全隐患呢？我们首先来对国内现代企业信息化的基本网络模式做一个安全风险分析，在图1-1中就表明了现在企业信息化网络结构中太多让我们不寒而栗的危险！

图1-1 国内现代企业基本网络模式安全风险分析图

第一，来自网络攻击（如图蓝线所示）的威胁，会造成我们的服务器或者工作站瘫痪，其中以拒绝服务攻击尤为常见。拒绝服务攻击就是使你的服务计算机崩溃来阻止你提供服务，包括死亡之ping、泪滴攻击、Land攻击、泛洪攻击、Smurf攻击、Fraggle攻击、畸形消息攻击、电子邮件炸弹攻击等攻击手段。当然，除了拒绝服务攻击之外，还有许多危害网络安全的其它类型攻击，比如利用型攻击（这是一类试图直接对你的机器进行控制的攻击，包括字典暴力破解密码、安装特洛伊木马、缓冲区溢出等）、信息型收集攻击（这类攻击并不对目标本身造成危害，是被用来为进一步入侵提供有用的信息，包括端口扫描、地址扫描、体系结构探测、利用信息服务等）等。

第二，来自信息窃取（如图黑虚线所示）的威胁，造成我们的商业机密泄密，内部服务器被非法访问，破坏传输信息的完整性或者直接假冒。

第三，来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染而系统崩溃或者瘫痪，更厉害甚至造成网络瘫痪，比如前段时间在Internet上流行的让我们谈之色变的"欢乐时光"、"尼姆达"、"冲击波"等。

综上所述，网络不是一个安全的"阳光乐土"，充满了危险、邪恶、狡诈与罪恶，那么如何来保障我们的网络安全，为企业的商务运作保驾护航呢，迈普通信用专业的安全产品、完美的网络方案给你信心！

1．企业信息化网络安全第一步：防火墙

通过网络安全风险分析，企业网络管理者意识到了网络安全的必要性和重要性，进而逐步想办法解决网络安全的问题，最为普通的做法就是——给我们的内部网络装上一道"闸门"来解决网络安全的问题，这就有了防火墙（Firewall）和Nat（Network Address Translation，网络地址翻译）转换的概念，当然这里所指的防火墙的含义囊括了网络安全防火墙和病毒防火墙，其应用如图1-2所示：

图1-2 国内现代企业基本网络模式防火墙应用示意图

在如图1-2所示的模式中，本着对网络安全级别差异的要求，针对企业总部信息中心和企业分支机构采用了不同的方式来解决网络安全的问题。首先在重要级别为最高的企业总部信息中心，最开始在交换机上划分VLAN（虚拟局域网）来分隔市场部、财务部、人力资源部等，使得各个不同职能的部门不能互相访问，保护本部门敏感的数据；接下来在各个服务器与工作站上安装病毒防火墙来防护计算机病毒；最后在企业总部信息中心与公共网络的接口处放置网络安全防火墙来保护企业总部信息中心内部网络，防止来自公共网络的多种网络攻击，当然在接入公共网络的路由器上可能也集成了防火墙的功能，但是比起专业的网络安全防火墙，功能没有那么强大。其次，在重要级别为一般的企业分支机构，除了在工作站PC上安装病毒防火墙来防护计算机病毒之外，大多数企业分支机构都是在接入路由器上做Nat来防止网络攻击，从安全性上来看NAT提供了对外隐藏内网拓扑的一个手段。

那么，这样我们的企业网就彻底安全了吗？答案显然是否定的。从图1-2我们可以清晰的看到，虽然网络攻击和病毒攻击得到了防范，但是依然没有解决通信安全的问题，隐藏在茫茫网海中的危险分子（Hacker）依然可以窃取甚至篡改你在公共网络上传输的包括你的帐号、口令、数据等重要的信息，因此即使我们已经开始改良网络安全性，但是图1-2所示的这个企业网络模式依然不是一个令人放心的安全网络。

此外，还有一个小小的问题，我们在企业分支机构的接入路由器上做了Nat，这样确实解决了一部分安全的问题，但是面对我们的网络增值业务（比如IP语音）却又带来了一个麻烦，因为需要穿越Nat，虽然目前有很多厂家采用ALG（Application Level Gateway，应用层网关）技术推出了专业的VoIP穿越Nat的设备，但是把公共网络变成我自己享用的专网却是大家的梦想、更为愿意尝试的方式。

2．企业信息化网络安全第二步：VPN

在解决了网络攻击和病毒攻击的困扰以后，大多数企业网络管理者就要开始考虑信息传输安全的问题了，那么如何来解决信息在公共网络上安全传输的问题呢，VPN技术的横空出世让我们找到了解决网络安全中在公共网络上安全传输信息的的方法，如图1-3所示：

图1-3 国内现代企业基本网络模式VPN应用示意图

VPN（Virtual Private Network）技术，也就是虚拟专用网技术，是一种利用公共网络构造私有网络的一种技术，要架构这种 VPN，需要使用数据包隧道传输和加解密技术。最为通俗的形容就是好像在源端与目的端架设了一个坚固（坚固的含义就是外界力量不能破坏）的石油管道（隧道），让石油（信息）丝毫不泄漏的从源端流到目的端，隧道是由隧道协议来完成建立的，通常的隧道协议包括二层隧道协议（比如PPTP、L2F、L2TP）和三层隧道协议（比如GRE、IPSec），而最通用的则是IPSec协议。IPSec协议是一组开放协议的总称，通过AH （Authentication Header，验证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议在特定的通信方之间的IP层通过数据加密与数据源验证，来保证数据包在Internet网上传输时的私有性、完整性和真实性。

在如图1-3所示的网络模式中，以迈普通信的专业网络安全设备为例来分析该网络方案。在企业总部信息中心放置一台MPSec VPN3020网关，该网关集成了强大的防火墙功能，能够有效的对抗网络攻击，节省了图1-2中所示的需要在企业总部信息中心配备的网络安全防火墙；在企业分支机构使用内置IPSec加密芯片的迈普通信安全路由器系列，这样带IPSec加密芯片的迈普路由器与迈普VPN网关之间就形成了VPN通道，VPN通道有效的保护了企业分支机构与企业总部信息中心之间的信息传输，使得公共网络中的危险分子无法窃取在隧道中加密传输的信息，大大推进了网络安全向前跨越了一大步。此外，由于虚拟专用网的建立，前面所讲的VoIP穿越Nat的问题也迎刃而解，此时相当于在专网上架设IP语音网，使得网络增值业务轻松实现。

但是，这样我们的企业网又彻底安全了吗，答案依然是否定的，从图1-3中我们依然可以清晰的看到，出差员工与企业总部信息中心的数据传输（如图1-3棕线所示）依然没有得到安全的保障，依然存在被窃取的危险（如图1-3黑虚线所示），那么我们应该怎么办？此外，如何来防范企业内部人员破坏网络安全的问题也摆到了我们的面前，举一个例子，甲具有访问并操作内部资源服务器一部分绝密信息的帐号口令，而乙按照企业内部规定不应该访问这部分绝密信息，但是乙是甲的好朋友，甲由于疏忽被乙得到了甲的帐号密码，这样乙就可以访问并操作内部资源服务器上不属于他权限范围的信息，这样就是对网络安全一个巨大的挑战，那么此时我们又应该怎么办？

因此，我们依然还得对企业信息化网络安全进行更加深入的研究，找到解决以上问题的更好办法。

3．企业信息化网络安全第三步：SSL安全代理网关

既然出差员工的数据传输安全以及企业内部人员作案防范的网络安全问题摆到了我们的面前，因此在这里利用迈普通信良好贴近客户需求的专业网络安全设备，设计了这套完整的网络安全解决方案，如图1-4所示：

图1-4 国内现代企业基本网络模式VPN※SSL代理网关应用示意图

从图1-4中我们可以看出，在图1-3的VPN网络模式上，在企业总部信息中心的局域网中放置MPSec CMS数字证书管理服务器，在交换机与内网Web服务器和内部资源服务器之间放置MPSec SSL600安全代理网关，并在所有企业总部、企业分支机构的工作站PC以及出差员工的移动电脑上安装了MPSec SSL600客户端软件，通过MPSec SSL600客户端软件与MPSec SSL600安全代理网关的隧道系统来解决出差员工的数据传输安全以及企业内部人员作案防范的问题。

MPSec CMS数字证书管理服务器：为安全代理网关MPSec SSL600及各MPSec SSL600客户端颁发绑定了各自的身份信息的数字证书，在MPSec SSL600与各MPSec SSL600客户端的公共网络传输中使用数字证书进行身份验证及信息的加密传输，并且MPSec CMS数字证书管理服务器对各MPSec SSL600客户端的用户进行管理，并对各MPSec SSL600客户端用户的访问控制授权，使得只有通过授权的合法MPSec SSL600客户端用户才能够通过安全代理网关MPSec SSL600访问到内网Web服务器和资源服务器，MPSec CMS服务器所签发的证书存储在IC卡（USB KEY）中，IC卡采用用户PIN口令保护，从而保证了证书和私钥的安全性，并且IC卡还具有使用方便、灵活等特点。

MPSec SSL600安全代理网关：主要提供MPSec SSL600 客户端身份认证、数据加密、数据完整性保护以及访问代理等功能，MPSec SSL600启动之前必须从MPSec CMS申请一张数字证书，以便各MPSec SSL600 客户端通过验证MPSec SSL600网关的数字证书来确认其的合法身份。就访问代理功能而言，MPSec SSL600使用双宿主机来实现外网到内网地址的转换，外网的MPSec SSL600 客户端只需要与MPSec SSL600进行连接，由MPSec SSL600将其请求转发到内网Web服务器和资源服务器中，从而既实现了外网到内网的透明合法访问，又对外网屏弊了内网的地址信息，实现了对内网的安全保护；就身份认证功能而言，当MPSec SSL600 客户端向MPSec SSL600建链时，MPSec SSL600需要对MPSec SSL600 客户端的身份进行验证，以保证只有合法用户才能够与其建立连接，如果建立连接的客户端不能提供合法身份信息，则MPSec SSL600将拒绝该连接；就数据加密功能而言，MPSec SSL600在验证了MPSec SSL600 客户端的合法身份后，即与其协商信息安全传输的加密参数，在协商完毕后即启用加密信息传输，使在MPSec SSL600 客户端与MPSec SSL600之间的数据以加密方式传输，从而保证除MPSec SSL600 客户端与MPSec SSL600之外的第三方无法获得正确数据信息。

MPSec SSL600 客户端软件：是安装在各用户工作站PC中的代理客户端软件，用户在使用代理客户端软件之前，必须向MPSec CMS申请一张个人身份证书，这张数字证书以及证书对应的私钥等信息存储在IC卡（USB KEY）中，用户通过个人身份证书向MPSec SSL600证明其合法身份，用户的数据通过MPSec SSL600 客户端软件进行加密、完整性保护之后传输给MPSec SSL600；同时MPSec SSL600 客户端软件也负责接收MPSec SSL600传输的加密数据，对这些数据进行解密以及完整性验证，最后将解密之后的数据发给用户，这样，通过MPSec SSL600 客户端软件和MPSec SSL600 安全代理网关，为用户的数据建立了一个安全的传输通道，充分保证数据的安全性。

从图1-4我们可以清晰看到MPSec SSL600安全代理网关系统很好的解决了出差员工的数据传输安全问题，那么，其又是如何来解决企业内部人员作案防范的问题呢？我们继续举前面甲和乙的那个例子，即使前面所说的那个乙得到了甲访问并操作内部资源服务器一部分绝密信息的帐号口令，但是很遗憾他必须还得得到甲的USB KEY，因为MPSec SSL600 客户端用户要访问到内网Web服务器和资源服务器必须向MPSec SSL600出示MPSec CMS签发的合法授权证书，而MPSec CMS签发的证书存储在USB KEY中，没有甲的USB KEY ，MPSec SSL600拒绝乙以甲的帐号和口令访问内网Web服务器和内部资源服务器，再假设乙神通广大偷到了甲的USB KEY，但是还是很遗憾，乙还得必须知道甲的USB KEY用户PIN口令，如果没有用户PIN口令，乙得到了甲的USB KEY同样无用，这样层层关卡有效的将企业内部人员作案的可能性降到了最小。

MPSec SSL600安全代理网关和MPSec SSL600 客户端软件是采用SSL（Secure Socket Layer，安全套接层）协议，完全不同于前面所讲的VPN中的IPSec协议，该协议最早是由NetScape公司提出来的，主要是基于Web浏览器，它是一个位于应用层之下和传输层之上的端到端的协议，其目的是为分布在不同的位置的组件提供安全的socket连接，分析其在TCP/IP协议栈中的位置如表1-1所示：

表1-1 SSL协议在TCP/IP协议栈中的位置示意图

由表可以看出，SSL协议只能基于TCP的应用，比如Web，应用范围相对狭窄，但是配合VPN技术中的IPSec协议，即将VPN系统和MPSec SSL600安全代理网关系统配合起来使用，相互弥补各自的不足，就能极大程度上解决网络安全的问题。

总结

"魔高一尺，道高一丈"，防患于未然乃是解决网络安全问题的根本，不管隐藏在网海深处的网络危险分子攻陷网络的技术水平如何的提高，不管计算机病毒日益猖獗，只要提高了网络安全防范技术就能御敌于网络之外，未来网络安全技术的发展方向一定会朝着多个方面预防的方向发展，我们甚至可以设想在交换机的802.1x协议做文章，和病毒数据库联动，在工作站接入到交换机以前进行病毒扫描，检测到工作站中存在计算机病毒交换机就拒绝该工作站接入网络，或者定时对已经接入交换机的工作站进行病毒扫描检测，发现计算机病毒交换机立刻切断该工作站的连接。当然，网络安全技术只是一个手段，只有人的网络安全意识提高，才能从根本上解决网络安全的问题，实现企业信息化安全。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表