| 在网络信息技术高度发展的今天,随着企业内部办公网络和外部互联网应用环境的日趋复杂,人们对网络安全的重视程度也早已今非昔比。很多企业用户逐渐开始意识到系统化的网络安全整体方案的重要性。然而对于广大中小企业网络用户而言,搭建和管理一个完整的网络安全系统显然并非易事,很多企业在此都遇到了不小的困惑,裹足不前。为了更好地帮助大家了解现代中小企业网络安全系统设计方案,我们特别挑选了思科(Cisco)“中小企业安全宝典”套件在《微电脑世界》评测实验室中搭建起一个典型的中小企业网络安全平台,希望从中能带给读者一些有益的启示。 网络应用 谁在威胁您的网络? 伴随着企业信息化、网络化进程的逐步深入,网络通信无疑已经成为我们今天进行内外信息交流和资源共享不可或缺的主要手段。而面对浩瀚且毫无秩序可言的互联网,要想真正维持企业网络长期的安全和可用,也许我们有必要先来了解一下,究竟是谁在威胁用户的企业网络: 1、来自互联网的攻击 互联网作为企业内部网络用户和外界沟通的主要桥梁,在及时为我们提供大量信息的同时,也将各种非法访问带到我们面前,这显然是网络安全首要解决的问题。 2、暗藏杀机的信息交流 像电子邮件之类的信息通讯方式在很大程度上提高了用户间信息交流效率之余,也为无数的垃圾信息、病毒、黑客提供了更为便利的传播途径。同时,HTML页面中嵌入的恶意代码(ActiveX/Java Applet攻击)也已对今天的企业网络环境构成了极大的威胁。 3、对网络资源的不合理使用 不可否认,传统开放、共享的网络资源的确为互联网的迅速普及做出了巨大的贡献。但随着企业内部网络规模的逐渐扩大,如何充分利用自己有限的网络资源来为企业创造更多的实用价值,避免大量与工作无关的网络流量(网络游戏、影音下载、非法内容等…)严重浪费网络资源业已成为网管们最为头疼的问题。 谁能为您保驾护航? 针对以上来自互联网的三大典型威胁,网络安全领域也逐渐形成了两大类网络安全解决方案(图1)。一类是整合型方案,即把所有功能集中到单一网络安全设备(防火墙)上,通过统一的管理界面,实现全方位的简单网络安全管理。尽管这种方案在产品性能和灵活性方面有所折中,但在规模变化不大的环境中,仍不失为一种经济实用的选择;另一类则采用分布式信息安全结构,即将以上三种威胁分别交由不同专业设备、软件进行高效处理,以实现更高效、更完善也更强大的网络安全平台,特别适合网络环境需要灵活扩展的用户。为了更方便地管理、使用多个产品进行高效协同工作,此类方案大都会提供一些专用或通用的互联接口,以便管理员更方便地将它们组合成一个有机的整体安全方案。
您该怎么做呢? 上述两类网络安全方案中,前者由于是单一产品解决方案,实施起来相对较为简单,同时也考虑到我们在2003年第2期《微电脑世界》防火墙专题中已有所介绍,这里就不再赘述。今天我们将着力带大家一起体验一下分布式信息安全结构。鉴于思科在网络产品互操作性、系统集成、网络安全防护、模块化部署等技术和经验方面的优势,我们选择了其“中小企业安全宝典”解决方案进行了本次亲历体验。 网络安全系统的搭建 正如我们前面所讲,思科在构建网络安全整体方案方面也采用了典型的分布式结构设计,即由其PIX防火墙(简称PIX)来承担网络攻击、管理等工作,而将URL过滤、病毒扫描等功能通过一系列专用接口,导出给更为专业的合作伙伴提供的专用设备进行处理,从而充分发挥各厂商的优势,形成更为完善、高效的网络安全平台。在进行网络数据处理时,一旦发现有需要进行访问限制和病毒防范的策略,系统将会把需要处理的数据交由Websense公司和TrendMicro公司的两个专业软件组件进行处理。这里我们为其搭建了一个实验网络(图1),其中包括一台安装Windows 2000 Advance Server的PC服务器、一台安装有Linux/Windows XP/Windows 2000的客户端,并将随该宝典捆绑的TrendMicro病毒防范软件包和Websense URL过滤软件安装在服务器上。 安装过程非常简单。我们首先通过超级终端用“ip address outside dhcp setroute”命令,将PIX配置到支持DHCP功能的模拟外网上,以模拟中小企业现实网络环境中经常会采用的PPPoE等互联网连接方式。这里用户应注意: 您的防火墙产品是否提供了对在动态分配IP地址的接入方式下创建基于SNAT的网络地址转换功能的支持,正如我们使用的这台PIX 506E防火墙。然后,我们用下面的命令来配置内网地址,并且给内网部网段提供一个DHCP服务。 对CLI模式不太习惯的用户可能会觉得命令行模式过于麻烦,那么,我们可以通过“http server enable(开启HTTP服务模式)”和“http 10.0.0.1 255.255.255.0 inside(设置内网管理IP地址)”两条指令来打开PIX的HTTP管理方式。这样用户就可以用浏览器通过从PIX上下载的PDM(PIX Device Manager)管理器进行管理了(见图2)。图形化的PDM管理界面有别于市面上其他基于CGI的管理方式,它是一个采用Java编写,以Applet形式运行的程序,能够实现和其他本地应用程序类似的菜单选择、实时曲线绘制等CGI方式无法实现的功能(图3)。得益于Java优异的平台无关性,它能够在各种安装了Java虚拟机的操作系统和浏览器上运行。这也正是思科在网络管理方面较有特色的地方。当然,对于思科网络产品的老用户来说,大家可能更习惯在CLI的特权模式下用更简单、直接的命令来查看、配置它。不过在配置调整好后,最好用“write mem”来保存当前配置,以防在意外掉电后丢失配置。而对于有TFTP服务器访问权限的用户,您也可以通过“write tftp://主机/文件名”保存配置文件到tftp服务器上。
在本次实验环境中,我们创建了一条最简单的策略:从内到外的SNAT,允许用户从内向外进行访问,同时打开对常见攻击的防御。至此,防火墙部分的基本配置就已经完成,对于一开始提到的“来自互联网的攻击” 包括大多数的Flood、端口扫描等问题,也基本可以迎刃而解了。 接下来我们还需要让PIX和安装在服务器上的Websense和TrendMicro套件协作。在安装向导的提示下,我们很容易就在Windows 2000服务器上安装好了WebSense和TrendMicro。在重新启动系统后,我们启动了WebSense的管理器,由于它是一个B/S结构的程序,管理器作为一个有特权的客户端,能够对访问列表进行非常方便和直观的管理(图4)。在初次使用时,用户还需要在得到WebSense的使用许可后,从其网站上下载URL信息库,其中包含了世界上大部分网址的信息和详尽分类。在WebSense能够正常工作以后,只需要在PIX中用“utl-server (inside) vendor websense host 10.0.0.4 timeout 5 protocol TCP version 1”和“filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0”命令,就可以让这套安全系统在内部网络用户访问互联网页时,进行URL过滤,并且能够以时间、用户等不同对象来进行策略设置,同时把日志信息通过自带的报表系统来生成访问报表,对网络资源管理非常有用。有关病毒防范方面,鉴于现在企业网络防毒方案已经非常成熟,且其工作原理也大同小异,这里也不再赘述。
亲历网络安全系统 由于我们在2003年第2期《微电脑世界》防火墙专题中已经对思科PIX 525性能和功能进行过详细测试,这里也不再重复。不过值得强调的是,由于所有思科PIX平台都使用统一的软件,因此它们的配置也是可以通用的。也就是说,一旦用户在某台PIX上调试好了比较复杂的配置后,在日后网络负荷增大,需要升级到更高性能的PIX硬件产品时,只需要轻松地把配置重新导入到新的PIX中就可以完成升级、配置过程,能够大大节约重新调试安装所消耗的时间。另外,对用惯了思科IOS的用户,PIX的操作显然也是非常容易的,和IOS具有一样的特权模式(enable)、配置模式(Cont T),一致的语法风格都为众多熟悉思科网络设备的网络管理人员提供了方便。 本次测试中,我们发现,在打开WebSense进行URL过滤时,正常情况下内部网络用户的网页浏览速度并不会受到明显地影响。但如果用户需要进行非常详细的日志记录,同时网页访问量也非常大的时候,则会需要更为强劲的服务器平台做支持,以避免内部网络用户浏览网页的速度受到影响。对于在服务器硬件升级方面有一定困难的用户,我们还有另一个办法,就是把日志定向到安装在别的服务器上的数据库中,把过滤系统一分为二,以分散服务器所受的压力,避免造成网络瓶颈。此外,像对VPN和对多媒体流等的支持,也将是今后网络安全发展的一个重要应用领域。 CISCO PIX 506(E)防火墙
结束语 经历了本次对思科 “中小企业安全宝典” 的体验测试,相信您对如何系统地构建一个企业网络安全防护体系也已有了一定的认知。对于中小企业网络用户来说,类似思科这次提供的“中小企业安全宝典”解决方案的确在很大程度上减轻了搭建、维护整套企业内部安全网络环境对广大中小型非IT企业用户的压力。用户可以通过成套的购买企业网络安全解决方案,以最小的成本轻松地获得全方位的安全防护,而且在配置和调试方面也比自行单独构建、分散管理的方式要方便得多。 |
 |
 |
|
|
|
PIX 506采用IA架构,集成两个10/100Mbps自适应网卡,一个RJ45的Console口,一个USB口。提供NAT/PAT模式,支持VPN,并可选3DES和DES协议支持。 
