面对Web IM 企业有防火墙就安全了吗
- 网络安全
- 2005-08-12
- 50热度
- 0评论
企业有防火墙就安全了吗?其实,面对众多企业用户的新应用,防火墙还有许多自身的局限,新一代安全代理专用设备可以弥补防火墙的这些局限,成为企业网络安全架构的重要组成部分。
现在,许多企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,以阻止病毒泛滥和黑客攻击。在许多企业,甚至系统集成商看来,这样的网络在安全方面就高枕无忧了。然而,结果怎样?据分析专家估算,2003年病毒和攻击给企业造成的损失达550亿美元;我国公安部于2003年上半年发布报告,称中国80%的计算机曾感染过病毒。由此可见,现在企业的网并不安全。究其原因,是由于现有的企业网络安全基础设施存在缺陷,它们对新型的病毒和攻击无法防御。现在的企业IT经理们需要重新审视网络安全问题,“企业网有防火墙就安全了吗?”
企业网面临的新问题
当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,最终损失的是企业的利润。
滥用Web降低企业生产率
Web的广泛使用极大地帮助企业提高了生产力,但互联网中充斥着各种各样的内容,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。因此,对内容进行适当过滤,对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业效益的当务之急。
病毒传播和攻击的新途径
目前大多数网络都安装了防火墙,攻击者清楚地知道,只要管理员不犯低级错误,要从正面攻入防火墙非常困难,于是他们从早期简单的端口试探性攻击转向通过应用层协议隐蔽地进入企业内网。具体来说,有以下四种病毒传播和攻击的新途径:通过Web传播病毒或实施攻击,通过WebMail进行传播,通过MSN Messenger之类的聊天工具传播,最近兴起的P2P文件共享应用也成了病毒传播的平台。遗憾的是,大部分企业还未对这些新的威胁采取有效的措施。
聊天工具的安全问题
这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具。根据IDC对业界的分析,企业使用这类在线聊天工具的用户正处于增长趋势,到2005年将达到3亿人。权威人士研究发现,这些聊天系统在设计时都较多地考虑了灵活性,而没有考虑到安全问题。一个明显的事实是,几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。而且,聊天工具也已成为病毒大量传播的一种途径。
点对点文件共享应用的安全问题
点对点文件共享应用(P2P),是近年来迅速流行起来的一种互联网文件共享应用。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等,在企业网络中,这种应用没有理由存在,不仅会对网络可用性造成严重影响,还能成为病毒传播途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任,因此,有必要对其进行屏蔽和控制。
面对互联网应用方面出现的新问题,应该如何解决呢?
代理服务是解决方法
防火墙的主要功能是阻挡源自外部的攻击,企业现在使用的防火墙大多是包过滤型,或者是状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。
而且,防火墙不能进行有效的应用层检查,当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。
对应用层检查最好的办法是使用新一代的安全代理专用设备代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。这些控制策略包括:内容过滤策略,过滤与工作无关的站点,提高员工的工作效率;Web病毒扫描策略,对可能携带病毒的Web对象和恶意代码进行扫描和剥离;控制WebMail使用,全面禁止使用WebMail或允许使用WebMail但禁止收发附件;聊天控制策略,记录聊天内容、跟踪聊天关键字、禁止收发文件或通过语音、视频聊天;对P2P进行屏蔽。
虽然安全代理专用设备具有以上种种优点,但是,需要说明的是,它只是现有网络安全架构的一个重要补充,不会取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。