巨灵鸟

电话   4000156919
当前位置:首页 > 网络和服务器管理_ERP百科

企业网络安全系统如何布局(四)

来源:巨灵鸟软件  作者:进销存软件  发布:2014/10/23  浏览次数:5815

3、Intranet安全解决方案

3.1 Intranet安全解决方案

过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。一是社会的法律政策、企业的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。

企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。没有社会的参与就不可能实施安全保障。

网络信息安全包括了建立安全环境的几个重要组成部分,其中安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。

第二部分为增强的用户认证,用户认证在网络和信息的安全中属于技术措施的第一道大门,最后防线为审计和数据备份,不加强这道大门的建设,整个安全体系就会较脆弱。用户认证的主要目的是提供访问控制和不可抵赖的作用。用户认证方法按其层次不同可以根据以下三种因素提供认证。

1.用户持有的证件,如大门钥匙、门卡等等;

2.用户知道的信息,如密码;

3.用户特有的特征,如指纹、声音、视网膜扫描等等。

根据在认证中采用因素的多少,可以分为单因素认证、双因素认证,多因素认证等方法。

第三部分是授权,这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。该部分与访问控制(常说的隔离功能)是相对立的。隔离不是管理的最终目的,管理的最终目的是要加强信息有效、安全的使用,同时对不同用户实施不同访问许可。

第四部分是加密。在上述的安全体系结构中,加密主要满足以下几个需求。

1.认证——识别用户身份,提供访问许可;

2.一致性——保证数据不被非法篡改;

3.隐密性——保护数据不被非法用户查看;

4.不可抵赖——使信息接收者无法否认曾经收到的信息。

加密是信息安全应用中最早开展的有效手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中,利用加密技术至少应能解决以下问题:

1.钥匙的管理,包括数据加密钥匙、私人证书、私密等的保证分发措施;

2.建立权威钥匙分发机构;

3.保证数据完整性技术;

4.数据加密传输;

5.数据存储加密等。

第五部分为审计和监控,确切说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。

在网络和信息安全模型中,这五个部分是相辅相成、缺一不可的。其中底层是上层保障的基础,如果缺少下面各层次的安全保障,上一层的安全措施则无从说起。如果一个企业没有对授权用户的操作规范、安全政策和教育等方面制定有效的管理标准,那么对用户授权的控制过程以及事后的审计等的工作就会变得非常困难。

3.2  网络信息安全产品

为了实施上面提出的安全体系,可采用防火墙产品来满足其要求。

(1)访问控制

实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。

 (2)普通授权与认证

提供多种认证和授权方法,控制不同的信息源。

 (3)内容安全

对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。

 (4)加密

提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。

 (5)网络设备安全管理

目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。

 (6)集中管理

实施一个企业一种安全策略,实现集中管理、集中监控等。

 (7)提供记帐、报警功能

实施移动方式的报警功能,包括E-mail、SNMP等。

企业如何选择合适的防火墙

计算机网络将有效的实现资源共享,但资源共享和信息安全是一对矛盾。随着资源共享进一步加强,随之而来的信息安全问题也日益突出。

并不是每一款防火墙都适应于每个用户的需求,根据用户需求的不同,所需要的防火墙可能完全不同。下面列举了几种网络中的防火墙应用。

INTERNET或信息发布服务

这种情况非常普遍,ISP或ICP,企业的网页,在INTERNET上提供信息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为,必须允许用户能够访问到你提供服务的主机,都属于这种情况。

对访问服务行业而言,访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的地方,也就是说,主机安全几乎是唯一的保证。除非明确地知道谁会对你的访问惊醒破坏,才可以对出口路由器或出口防火墙惊醒一些针对性的限制访问控制的设定,否则,访问控制变得毫无意义。

主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念,首先是要有一个安全的操作系统,建立在一个不安全、甚至稳定性都很差的操作系统上,是无法作到一个安全的主机。然后是仔细的检查你所提供的服务,如果不是你所必须提供的服务,建议除掉一切你所不需要的进程,对你的服务而言,它们都是你安全上的隐患。可以采用一些安全检测或网络扫描工具来确定你的服务器上到底有伸麽服务,以保证是否有安全漏洞或隐患。最后是对主机确定非常严格的访问限制规则,除了允许提供商愿意提供的服务之外,宣纸并拒绝所有未允许的服务,这是一个非常严格的措施。

除了主机安全以外,如果还需要提高服务的安全性,就该考虑采用网络实时监控和交互式动态防火墙。网络实时监控系统,会自动捕捉网络上所有的通信包,并对其进行分析和解析,并判断出用户的行为和企图。如果发现用户的行为或企图与服务商所允许的服务不同,交互式防火墙立即采取措施,封堵或拒绝用户的访问,将其拒绝在防火墙之外,并报警。网络实时监控系统和交互式防火墙具有很强的审计功能,但成本相对偏高。

INTERNET和内部网

企业一方面访问INTERNET,得到INTERNET所带来的好处,另一方面,却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。

防火墙的基本思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对受保护的内部网和不可信任的外界网络之间建立一道屏障,它可以实施比较惯犯的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。

根据企业内部网安全政策的不同,采取防火墙的技术手段也有所不同。

包过滤防火墙

包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。

包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做;建立安全策略;写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法重写逻辑表达式并设置之,

包过滤防火墙主要是防止外来攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:

对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks)

对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。

对付残片攻击(Tiny Fragment Attacks)

入侵者使用TCP/IP数据包 分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。

包过滤防火墙简单、透明,而且非常行之有效,能解决大部分的安全问题,但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。

对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。

包过滤防火墙只按照规则丢弃数据包而不对其作日志,导致对过滤的IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。

代理防火墙

包过滤防火墙从很大意义上像一场战争,黑客想攻击,防火墙坚决予以拒绝。而代理服务器则是另外一种方式,能回避就回避,甚至干脆隐藏起来。代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住。

代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络,而也不希望内部的用户无限制的使用或滥用INTERNET。采用代理服务器,可以把企业的内部网络隐藏起来,内部的用户需要验证和授权之后才可以去访问INTERNET。

代理服务器包含两大类:一类是电路级代理网关,另一类是应用级代理网关。

电路级网关又称线路级网关,它工作在会话层。它在两主机收次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,信号有效后网关仅复制、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。

电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。

应用级网关使用软件来转发和过滤特定的应用服务,如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议,如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关的安全性高,其不足是要为每种应用提供专门的代理服务程序。

两种代理技术都具有登记、日记、统计和报告功能,有很好的审计功能。还可以具有严格的用户认证功能。先进的认证措施,如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。

状态监控技术

网络状态监控技术普遍被认为是下一代的网络安全技术。传统的网络状态监控技术对网络安全正常的工作完全没有影响的前提下,采用捕捉网络数据包的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据包)端口信息,而包过滤和代理服务则都无法做到。

网络状态监控对主机的要求非常高,128M的内存可能是一个基本的要求,硬盘的要求也非常大,至少要求9G,对SWAP区至少也要求192M以上。一个好的网络状态监控系统,处理的量可能高达每秒45M左右(一条T3的线路)。

网络状态的监控的结果,直接就是要求能够有一种交互式的防火墙来满足客户较高的要求。中网的IP防火墙就是这样一种产品。

虚拟专用网VPN

EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况,密码是一个单独的领域。对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。

 如何构筑虚拟专用网VPN

企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。

削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。

明确远程访问的需求

首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。

WAN的连接有两类:内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。

对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。

围绕下属办事处,VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素,从下属办事处的密钥和锁,到计算设备的物理访问,再到可访问设施的非雇员数量等等。如果所有这一切都万无一失,在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证,因为我们认为这样的连接是安全的。但是,如果这些地方有问题,网络设计人员就要考虑采用更严格的安全措施。例如,VPN需要严格认证,或者将对总部网络的访问限制在某个孤立的子网中。

VPN对外联网的安全要求通常十分严格,对保密信息的访问只有在需要时才能获准,而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员,解决用户的变化问题则很有挑战性。从根本上说,这是严格政治问题。但在机构确定用户时,这是严格急需解决的技术问题。

注重管理

企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的,决策中还要确定相应的VPN设备和实施选择方法。

一般来说,决策者应解决VPN特有的几个问题:远程访问的资格,可执行的计算能力,外联网连接的责任,以及VPN资源的监管。另外,还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然,决策中应包括一些技术细节,例如加密密钥长度,如果VPN的加密算法要求公开认证,则还需要法律的支持保护。

对外另外而言,决策中应具体说明及时通报远程用户人员变更的步骤,被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常,企业的人事部门已制定有人事管理规定,这些规定可能也适用于VPN用户。

确定最佳的产品组合

可选择的VPN产品很多,但产品基本上可分成三大类:基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。

硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。

基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道,而硬件产品则不同,它们一般为全部信息流量打开通道,而不考虑协议要求。因流量类型不同,特定的通道在远程站点可能遇到混合信息流时分优先级,例如有些信息流需要通过VPN进入总部的数据库,有些信息流则是在网上冲浪。在一般情况下,如通过拨号链路连接的用户,软件结构也许是最佳的选择。

软件系统的问题在于难于管理,它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制,甚至一些软件包需要对路由表和网络地址方案进行改动。

基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问进行限制。此外,它们还执行地址的翻译,满足严格的认证功能要求,提供实时报警,具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。

什么时候企业选择基于防火墙的VPN呢?一般是在远程用户或网络充满潜在敌意的时候。这时,网管员可建立起所谓的非军事区(DMZ),部分,系统一般使用在防火墙上的一个第三方界面,并有自己的访问控制规则。攻击者也许能到达DMZ,但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的,它是软件产品中最容易保证安全和管理的产品。

对于这三种VPN产品,网管员还要在四个领域进行考核:协议处理、IP安全支持、认证服务器支持和加密密钥的引出。

例如:虽然大多数公司网络为多协议型,但VPN产品只解决IP协议的传输,如果其他协议如IPX或SNA需要传送,用户需要寻找能为这些协议加密,或者能将它们打包成IP,让基于IP的VPN系统处理的方案。显然,后一种选择可能会降低系统性能。

尽管大部分VPN可保留自己的认证数据库,但网管员也希望借助于现有的认证服务器。比如,许多远程访问服务器使用下述两种协议之一的外部系统来认证用户:远程认证拨入用户服务器(Radius)或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性,即无论增加多少台访问设备,一台认证服务器就足矣。

如果一个企业的VPN延伸到海外,网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口,尽管未来立法可能会或多或少地放宽限制,但一般跨国经营的美国公民可能需要部署两个VPN系统:一个加密功能较弱,用于国际用户的,一个加密功能较强,用于国内用户。

进行测试

企业不能武断地选择某种VPN方案,一般要通过广泛测试,运行两到三种VPN产品,再作出决定。企业首先要确定一个远程用户间的测试伙伴小组,由他们测试系统的情况。

注意,测试小组中一定要包括各种技术工种的员工,这一点对于保证VPN测试的公正以及评估系统管理人员排除故障的能力至关重要。

成功的VPN测试包括6个方面:首先,测试VPN是否可按照机构的远程访问决策进行配置;其次,测试VPN是否支持所有正在使用的认证与授权机构;第三,验证VPN可有效地产生和分配的密钥;第四,测试VPN是否允许远程用户加入到公司网络中,就像他们在物理上是连接起来的一样;第五,验证系统为排除故障和提供明显线索的能力;最后,验证是否技术与非技术人员同样能轻松运用VPN。

确定系统大小

为企业系统选择合适的硬件时,网络决策者要估计系统用户的总数,同时举行网络会议的典型数量,以及数据的时间敏感性(它决定所需的密钥长度)。例如对于基于软件的VPN,假设采用三倍的DES(数据加密标准)加密,使用128位密钥、数据压缩和信息认证,这样,200MHz Pentium处理器就能处理T1网络连接。鉴于内存越大,可允许同时连接的信息流越多,因此,系统在服务器上可以指定尽可能多的RAM。正如以上所述,速度高于T1的网络连接则可能需要基于硬件的VPN。

如果厂商提供产品性能基准,网络管理员注意务必了解如何进行测试的详细说明。为了能对不同厂商的产品进行公平比较,网管员需考虑诸如帧长度、加密算法及密钥长度、压缩的使用及信息认证算法的现状。

另外,网管员在设计生产系统时,还要考虑备份和冗余问题,大型机构或信息流量大的机构也许还想考虑多服务器上的负载均衡问题。

为VPN服务器选择位置

远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说,VPN服务器最好直接放在专用网络中,但这一方法也最易成为攻击者的攻击目标。

对于员工企业,如果绝大多数远程用户属于外部机构,将VPN设备放在DMZ网络上意义更大,因为它要比内部网络更为安全,屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网,它会得到细心的管理和保护,免于内部和外部的威胁。

企业在设计安全内联网和外联网时,安置VPN和认证服务器是关键的一步。其中,建立与下属办事处的链路最简单:一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证,因此,它们建立与VPN服务器的链路,将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证,他们只需同另一台VPN服务器连接起来,这一台服务器应位于第二个DMZ上,以保护公司的认证服务器。另外值得注意的是,企业为业务伙伴进行的连接配置最需要技巧,连接请求首先到达第二个DMZ上的VPN服务器,之后请求被传送到第一个DMZ上的认证服务器,最后,批准的请求被传送到请求访问的资源中。

重新配置其他网络设备

安装VPN,特别是涉及IP地址管理和防火墙时,公司可能要对网络上的其他设备重新进行配置。VPN通常使用网络地址翻译器(NAT),如IETF RFC 1918中所述,NAT将专用地址(通常从一组保留的地址中选出)映射到一个或几个在Internet上可见的地址上。

网管员至少要使VPN设备的配置清楚哪些地址要保留下来供内部使用。此外,许多基于VPN的防火墙还支持动态主机配置协议(DHCP)。网管员需将DHCP和VPN功能协调起来,否则,客户机可能最终将信息只发送到Internet而不是专用网络上。

一些VPN设备使用虚拟网络适配器将有效的IP地址分配到专用网络上,如DEC公司的Altavista通道服务器,或使用由微软公司开发的点到点通道协议(PPTP)都可以将这些地址分配到未使用的地址中,并对路由器及其他需要进行地址更新的网络设备进行必要的修改。

如果VPN服务器在防火墙以内,网络管理员还要对防火墙进行重新配置。大多数VPN将所有信息流闭合起来,形成一股使用单一TCP端口号的信息流。这样,防火墙需要一个类属代理或用于传递封闭VPN信息 流的规则,以及允许将信息流传送到VPN设备上的规则。

如果VPN设备位于DMZ部分的外联网中,防火墙还需要一个允许加密信息流从Internet流动到DMZ上的规则,另外,还有让应用程序流从DMZ流动到内部网络上的规则。如果认证服务器位于内部网络上,防火墙的配置一定要有允许DMZ和专用网络间的认证请求。

网络管理员应该注意,网络中中有一个千万不能被篡改的地方是专用网络的域名系统(DNS)服务器,它负责专用网络设备的主机名称到IP地址的解析。如果DNS可在Internet上看到,那么攻击者可了解专用网络的布局。

安装和配置VPN

对于基于软件的VPN和那些围绕防火墙制作的产品,从安全系统入手是根本。在安装前从服务器中取消所有不必要的服务、应用程序和用户帐户,以确保安装的是最新的、安全的产品,这样安装VPN软件才是安全的。

对VPN进行配置时,网管员要为一系列因素设定参数,包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备(而不是用户)的身份,大部分VPN产品都提供此功能。对此,一些厂商的实现的方式是,让所有信息进入总部设备下载相关信息。而对于远程用户,则需要建立口令,准备连接脚本,确立认证步骤。

网管员还要让认证和授权程序协调起来。两者听起来差不多,但有些微妙且重要的差别。认证是要证明远程用户是她或他声称的身份(在外联网设置中,要证明的则相反,即服务器可信)。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组,例如营销或策划小组的授权,则系统还要注意核查它是否能正确地同VPN设备联络组信息。

监控和管理VPN

这一步是要建立监控Internet连接的机制,它可以测定VPN对网络的利用和吞吐量,而且也是培训访问台员工操作VPN设备及认识认证服务器和防火墙互相间的影响的重要一步。另外,机构中的所有网管员都应该了解VPN的基本操作,认识到管理VPN的人不应该只是那些安装和配置的人,最终用户也需要接受Internet了解及VPN软件工作原理的基本培训。而且,让最终一接受一些基本故障排除方法的培训,可以使他们能自己解决一些小故障。

进行备份

随着用户对VPN的进一步熟悉,企业可能会涉及到一些由任务决定的应用程序,例如公司要为客户建立一个电子商店。在这样的情况下,备份连接是必须的,因此网管员在设计网络阶段就应为冗余链路和设备制定计划。信息流量大的站点应选择支持多设备负载均衡的VPN,原因在于提供负载均衡能力的VPN厂商非常少,目前NetScreen的防火墙产品支持负载均衡和流量控制的功能同时也支持冗余路径。

即使网络应用并不重要,进行备份也不失为避免用户投诉的好办法。在这方面,保留几台调制解调器和电话线路用于紧急情况可能就足矣。然而,这种方法的费用较高,而且速度慢,对于LAN到LAN的连接,备份连接最好由ISDN或其他专用线路来满足。要注意的是,一定要定期测试备份连接系统。

复合型防火墙体系

防火墙体系的采纳是一个非常专业化的过程,不是一个简单的是和非。当然可以根据具体的情况,作出一定的安全政策,并采用某种上述特定的防火墙。但绝大多数情况是,根据具体的安全需求,通过某种体系构架,来实现更高强度的安全体系。或者是采用包含上述功能的复合型防火墙。我们就具体的情况作一个简单的说明:

屏蔽主机网关由一个运行代理服务 双穴网关和一个具有包过滤功能的路由器组成,功能的分开提高了防护系统的效率。

一个独立的屏蔽子网位于Intranet与Internet之间,起保护作用。它由两台过滤路由器和一台代理服务主机构成。路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服务主机上,并让其检查,并向内或向外转发符合安全要求。

 

来源:巨灵鸟 欢迎分享本文

  • 点击这里给我发消息
  • 点击这里给我发消息