网络安全威胁给企业用户带来危害最直接的表现就是经济损失。除去可用金钱来计算的直接损失,由于安全导致的工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等间接损失恐怕更让企业担心,因为这种损失往往是无法用数字衡量的。导致这种损失的,则首推网络的企业安全所经常遇到的外部入侵和非法访问。
而硬件防火墙的存在恰好为企业用户减少了间接损失的机会。这篇文章里我们就让我们了解一下硬件防火墙在企业网络安全中的“强悍”作用。
首先让我们先认识一下硬件防火墙。通俗地讲,硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,以减少CPU负担的一种设备。硬件防火墙是保障内部网络安全的一道重要屏障,它的安全和稳定,直接关系到整个内部网络的安全。由于网络威胁愈发复杂,单一的防火墙已经不能满足企业用户的需求,多功能防火墙开始悄然流行。
所谓硬件防火墙实现多功能,就是在硬件防火墙中集成本不是其主要组成的功能如VPN、NAT等,从而使得防火墙更好地执行网络“巡逻”、阻止各种外部攻击和禁止非法访问。
到这里,我们已经看到了硬件防火墙帮助企业解决安全威胁的几种典型应用。
1、NAT(网络地址转换)应用
网络地址转换(NAT)是用于将一个地址域(如:专用Intranet)映射到另一个地址域(如:Internet)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机拥有注册的(以及越来越缺乏的)Internet地址。
这个原本属于路由器的功能越来越多地被硬件防火墙所利用,并且成为其标准功能之一,效果是十分明显的。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
应用NAT进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要将其列入防火墙典型应用的原因;另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。
2、防止DDos攻击
DDoS是DistributedDenialofService的缩写,由英文的字面意思就可以看出,它其实是利用多个客户或者服务器端联合起来作为攻击释放者,向攻击目标发送大量无用请求,导致正常的资源请求无法获得通过,网络带宽被垃圾数据占满,系统无法正常工作。
DDos攻击是黑客们目前最喜欢的攻击手段之一,也是造成企业计算机系统“工作效率低下”的元凶。
在硬件防火墙方面可以进行的配置主要包括:禁止对主机的非开放服务的访问;限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DDoS的属性;严格限制对外开放的服务器向外访问。
配置好防火墙的安全规则基本上可以过滤掉所有可能的伪造数据包,减少DDoS攻击的成功率。
3、日志记录功能
只要是人为的设备就存在着被攻陷的可能。而防火墙的日志记录功能可以比较全面地记录流量状态,并且防止日志被篡改,还可定期将日志备份到指定机器。这样,即使某日企业安全被破坏,企业也还有着追究攻击者法律责任的机会,保证将损失降到最低。
另外,硬件防火墙较容易的配置规则也为企业节省了相当一部分的人力成本,为中小企业带来不少便利。
对一个信息网络而言,安全问题涉及的设备种类比较多,但是考虑到成本、功能、企业安全受到威胁时产生的一些现象,使用硬件防火墙在目前对中小企业永华来说是比较实在的安全对策。
3/6/2007
|