自网络发明以来,企业和政府机构 (无论大小) 每年都在增加网络化计算机的使用。过去企业内部或企业之间仅通过网络交换电子邮件,而现在,知识产权、产品信息、发票、采购单、人力资源数据、信用卡号及其它众多信息都通过这些网络传递。 随着 Internet 的扩展和企业内 Internet 技术使用的不断增加,越来越多的计算资源被连接到能够从企业内外访问的网络。通过过去五年的发展,互联网已经成为许多企业商业战略中不可或缺的一部分。网络环境的发展早已将触角伸出到企业的"围墙"之外 - 包括连接合作伙伴的外部网、应用门户、Web服务、远程办公室/现场和远程终端连接、即时讯息、B2B、B2C以及所有其他的能够满足业务需要的活动。
计算机网络已经成为各种规模、各种行业的企业和政府机构日常运营的中枢神经。实际上,许多企业和机构几乎已经达到每时每刻都要依赖基于网络的计算和信息存取的地步。然而随着网络信息资源的增长,网络范围、用户数量的不断扩展,网络的安全问题日趋严重。路透社最近的一份报告 (1月2日) 曾这样说过:"专家估计,仅2001年一年的时间内,美国的企业用在清理计算机病毒所造成的损失的残局上的开销就达到约123亿美元 (125.5亿欧元),而未来的计算机攻击行为可能造成损失会更大。据英国贸易工业部组织编撰的《2002年信息和安全违规行为调查》显示,在小型企业中,最严重的安全违规事件中有32%是由内部人员造成的; 在大型企业中,这个数字为48%。另外,有73%的英国企业将安全问题重要等级定为"高"或者"很高",大大高于2000年的53%。
安全问题已经成为网络运营所要考虑的当务之急。本文将概要从网络的安全问题、典型的安全技术和相应的安全策略的角度出发,介绍3Com公司端到端的网络安全解决方案。
3Com网络安全构架
3Com作为企业网络市场的领导者,从防火墙、内嵌式防火墙、远程接入安全网关等专业安全产品,到局域网络交换产品、无线局域网络产品和网络电话产品等,3Com在其丰富的网络产品线中广泛采用网络安全技术,为企业和政府机构用户提供端到端的全方位解决方案。同时,3Com的网络顾问和3Com的网络安全服务伙伴将携手合作,为用户制定有效的安全策略与实施,提供全面的技术咨询与服务。
威胁与对策
见图1
破坏者和侵入者攻击的对象主要集中在: 网络攻击、数据攻击和用户攻击。
网络攻击
这个领域主要是对网络基础设施的攻击为主(例如,有线、无线、语音、远程接入等)。网络攻击的例子包括:
· 通过发动"拒绝服务"(DoS)攻击,破坏公司的网络,是网络的合法用户无法正常接入网络。
· 侵入使用宽带互联网连接的"永远在线"远程工作台位 (例如,通过"后门"入侵),暴露公司的IP,使其面临受到进一步攻击的风险。
· 在网络上插入一个未经授权的设备,并将其伪装成网络上的一个合法设备。
· 在公共Web服务器和电子商务服务器上发动入侵攻击。
· 精心策划并发动病毒攻击,破坏数据和应用。
3Com安全技术对策
· 可以检测和阻止DoS攻击的防火墙。
· 创建一个稳固的基础设施,使其能够通过内嵌式防火墙进行持续的强制性风险转移政策。
· 客户机和验证服务器之间的802.1X双向验证支持。
· 组成网络的网络设备和政策的安全管理。
· 制定相关政策,防止不使用当前的反病毒软件的网络接入。
· 通过VPN、内嵌式防火墙和RADIUS支持来确保远程接入的安全。
· 禁用未被使用的交换端口。
数据攻击
攻击对在网络上传输的数据 (专用IP、客户记录、员工信息等)、存储在数据服务器上的数据以及在网络上进行存取的各项应用 (电子邮件、Web、ERP、CRM等)。
数据攻击的例子包括:
有意破坏在网络上传输的信息,或者无意中窃取以有线或者无线的方式在网络上传输的口令以及其他保密信息。
窃取硬件并访问内嵌在设备上的(如设备MAC地址等)或者存储在设备的硬盘上的保密信息。
3Com安全技术对策:
对IPSec、DES、3DES、AES等加密标准的支持。
动态加密密钥和基于用户的验证方法。
用户攻击 攻击对访问网络的用户(IT、终端用户、远程用户等)、用户设备(笔记本电脑、台式电脑等)。用户攻击的例子包括:
盗窃合法网络用户的身份,获取对网络上的保密信息和受保护的资源的访问权。
在用户的设备上发动 DoS 攻击,导致其中断和过载,使用户无法正常运行 。
3Com安全技术对策:
802.1X网络登录。
对口令交换进行加密,消除被窃听的危险。
创建和分发加密密钥和数字认证。
使用内嵌防火墙提供基于用户的安全解决方案。
3Com网络安全架构综述
(见图二)
3Com安全架构是模块化的,基于一些关键的安全技术、技术资格、合作/联盟的基础上构建起来的,并广泛应用3Com强大的网络产品线,形成基于标准的层次分明的端到端全方位网络安全架构。
其特点如下:
基于标准易于扩展、可以很好的兼容融合计算机系统整体安全策略实施。
按照用户的不同规模和业务需求,并根据网络内各部分/区的具体需要为客户提供不同等级的服务 (3Com的安全等级分为1、2、3级),从而促进分层次的部署。
为客户提供有效的、到更高安全等级的技术迁移路径和扩展能力,同时确保投资得到强有力的保护。
使客户可以部署也包括客户机、LAN、WAN和远程站点在内的完整的网络解决方案。
3Com网络安全级别
3Com的安全解决方案根据客户的不同网络环境和安全需求,划分为三个层次,提供客户安全政策实施所需要的技术和产品实现。
(见图三)
第一级、安全中立
最简单的安全形式,主要面向对安全没有显著要求的SOHO和小型业务环境。
在这一等级中,网络安全的部署包括:
· 按照Wi-Fi要求的无线安全措施;
· 能够防止简单的拒绝服务(DoS)攻击的基本安全措施;
· 安全的远程接入,能够保证通过VPN安全地接入到企业的网络。
该方案的益处主要包括: 客户免受日常安全风险的困扰,如:
非专业的黑客攻击,防止黑客通过被其入侵的无线网络接入到企业的网络,安全的互联网接入等。
第二级、安全感知
主要面向 SOHU和小型业务环境,以及仅要求对网络安全进行有限的控制的企业。这一级的网络安全部署包括:
· 内置到无线接入点的强化128位加密,以及VPN加强无线连接。
· 为WAN连接提供防火墙边界保护,以防止DoS攻击、防止非授权访问、执行URL过滤对可访问的外部内容进行控制等。
· 在每个交换端口进行 VLAN 配置,并可启动DUD端口安全控制功能。
· 在每台PC及服务器上安装基于主机的防火墙。
· 为PPTP和IPSec提供VPN支持,并采用3DES加密技术。
· 对所有电话流量进行加密。
该方案的益处主要包括: 可以仅为机密数据提供安全保护,或者紧围网络中需要重点保护的区域提供保护,如:拦截对公用Web服务器上的应用程序的非授权访问,保护客户的隐私和记录。
第三级、安全敏感
真正的企业级安全需求,主要面向对安全问题极其敏感并要求对网络安全进行集中控制的企业。部署这一级的网络安全包括:
· 在远程的 SOHO 和移动工作者网络采用集中管理的远程安全控制政策,使用带有集成的VPN的内嵌式防火墙来确保末端的安全。
· 采用802.1X用户认证技术,建立从有线到无线网络的企业级集中管理安全措施。
· 在广域网络连接以及LAN中的关键区域边界点上的防火墙保护。
· 在整合现有的RADIUS架构的基础上实现对所有网络接入的AAA控制。
· 通过捆绑到 PKI (公共密钥基础设施) 的AAA RADIUS验证实现双要素验证。
· 用来存储PKI信息和用户授权的安全令牌和智能卡。
· 在防火墙和LAN交换机(VLAN、ACL、过滤)上进行分组安全政策的集中部署。
· 用于站到站、远程接入和无线接入的VPN。
· 用来位安全敏感型应用提供端到端安全解决方案的IPSec和SSL。
· 用来防止窃听的电话数据包加密。
· 继承网络的安全管理。
该方案的益处主要包括: 提供基于标准的、端到端的网络保护;分布式架构的集中控制 (AAA、用户政策、设备等); 将远程系统的安全策略控制权交到IT管理人员的手中,而不是交给远程终端用户; 在不影响现有的设备和管理基础设施正常运行的基础上为网络提供更好的防御。
3Com的安全产品和解决方案可以随时随地满足上面提到的一个或者多个安全等级的需求。另外,每个安全等级还可以进行扩展来满足纵向分段的客户 (如政府、教育机构、金融机构等) 的具体需要。
3Com端到端的网络安全架构
(见图四)
3Com网络安全架构的目标是提供一个贯穿于整个企业范围内的解决方案,以"端到端"的方法解决网络安全问题。我们一直认为,安全和网络是密不可分的,安全问题会随着网络的扩展而延伸。同时3Com也意识到,一个网络的各个部分/区段在网络中的具体作用是不一样的,所以对安全的需求可能也有所不同,需要不同的安全等级来与之对应。所以,3Com设计和推出一系列的安全产品和解决方案,可以满足企业网络的各个层次的需要。
3Com网络安全解决方案的竞争优势
3Com认为,客户在购买网络安全解决方案时最为关注的两个问题就是"连网"和"安全"。3Com是一家技术领先、经验丰富的网络服务公司,在市场中占据着领先的地位,在满足客户需求方面的能力是其他厂商所难以比拟的。除了本身具有的优势以外,为使客户提供最好的安全解决方案,3Com积极同其他相关厂商合作及结盟。 3Com的策略竞争优势。
3Com的策略竞争优势
| 安全等级 |
争竞优势 |
| 第一级:安全中立 |
同其他的Office Connect解决方案相结合,为小型业业环境提供灵活的安全的保障。
低成本的无线安全解决方安,拥有可以自动选择最好无线点频率(RF)频道的频道
选择功能 |
| 第二级:安全认知 |
内置到无线接入点中的基与设备的安全解决方法,支持128位加密方法,基于会话的动态密钥和基于拥护的验证方法
业界领先的网络电话(NRX)解决方法,在实时的操作系统(OS)上运行,可以在网关和手机之间对童话量进行加密。
在安全网关上集成具有最高放火墙安全功能的四端口10/100M以太网交换机,添加了硬件,VPN和DOS阻拦等功能特色 |
| 第三级:安全敏感 |
内嵌式防火墙,可以在工作组和计算机上创建和执行集中管理的安全政策,在工能上要强于软件防火墙。
整个网络内的其中 AAA 服务,可以进行RADIUS认证和802.1x网络登陆 用来连接远程用户的完备的边界防火墙和VPN
使用我们的企业无线网络解决方案的开放式RADIUS服务器支持和802.1X客户驱动器认证 |
基于标准
3Com解决方案在开放性方面具有极佳的表现,其良好的标准兼容能力和互用性使可以免于落入"专用"网络解决方案的陷阱之中。所谓的"专用"的网络解决方案并不是基于标准的解决方案,在开放性方面有很大的局限,使客户只能选用一家厂商的解决方案,大大降低客户选择的灵活性。这样的解决方案会创造出一个个无法同基础设施整合的"孤岛",从而增加总所有权成本和管理负担。如今的网络环境通常都是由多家厂商的解决方案混合组成的,所以在设计安全解决方案的时候, 必需要充分考虑到灵活性和对标准的支持等问题。所有的3Com安全解决方案都可以同其他任何兼容开放性标准的基础设施进行互用,使客户在充分利用3Com的强大技术来维护网络的安全的同时,还能拥有足够的灵活性和机动性。
关注于解决方案
多数安全解决方案提供商都关注"安全设备"的方法,这是因为他们对网络基础设施的广泛性还没有充分的理解。
最理想的方案应该是:
? 为不同的设备和设施整合适合它们的安全等级的功能。
充分考虑设备、价格、性能等因素,为从小型业务网络到企业网络的各种环境都提供响应的选择。
? 甄别各种安全设备或者设施在整个网络中的作用,通过丰富的连网经验帮助网络升值。这个方案可以帮助客户获得合适的设备、设施和功能,降低将设备集成到网络中的负担。 为统一做好准备
? 在统一网络中拥有专业技术的安全解决方案提供商可以使用的选择是非常有限的。如今多数客户都希望通过在他们的LAN上聚合语音、数据和无线通信等来更好地利用他们的基础设施,所以统一网络的安全保障已经成为一个巨大的挑战。这种趋势在未来的一段时间内会越来越明显,所以客户们都希望他们的安全解决方案提供商和系统集成商们能够拥有为他们的动态发展和聚合的网络拓扑保驾护航的远见、技术和能力。
安全边界和移动解决方案
安全边界和移动解决方案
? 如今的用户都希望在办公司、会议室、远程站点、家中以及机场、酒店等公共场所随时随地进行办公,所以对移动性的要求也越来越高。网络的客户边缘和没有安全保护的末端的安全保障也变得越来越重要,成为迫切需要解决的问题。真正能够解决这些问题的产品应该既能够进行有效的客户端安全保护,同时又能够将这个客户端的安全问题作为企业网络的延伸来管理,但是多数安全解决方案提供商根本没有或者只有很有限的这种产品。安全的移动解决方案已经成为当今网络的必需,客户们都非常关注安全解决方案提供商们的产品是否能够在充分地保护客户端的安全的同时,具有基于基础设施的安全能力。
