企業防火墻升級過程中原有設備的應用

[摘要] 本文就目前企業所關心的網絡安全建設過程中替換下來的陳舊設備進行合理再利用問題，進行了分析并提出了幾種解決方案。

[關鍵詞] 網絡安全防火墻陳舊設備

近年來，隨著網絡的迅速發展，網絡安全已經成為人們日益關心的問題。目前，網絡面臨的安全威脅大體上分為兩種:一種是對網絡數據的威脅;另一種是對網絡設備的威脅。其中，來自外部或內部人員的惡意攻擊和入侵是當前因特網所面臨的最大威脅，是電子商務、政府上網工程等順利發展的最大障礙，也是企業網絡安全策略最需要解決的問題。目前解決網絡安全問題的最有效辦法是采用防火墻。但是，由于缺乏安全防范意識和對關鍵的核心技術掌握不夠，我國的信息安全形勢不容樂觀。黑客的侵擾也是破壞信息安全的主要因素之一。目前，因特網上已有上萬個黑客網站，而且技術不斷創新，基本的攻擊手法已多達上千種。即使是防衛森嚴的美國國防信息系統也頻頻遭受攻擊，并且成功進入率高達63％。中國目前已經有幾千萬的網民，信息安全問題已經大量出現。信息安全已經成為企業，政府部門網絡建設的重中之重。

一、防火墻概述

定義1:防火墻是一種用來加強網絡之間訪問控制的特殊網絡互聯設備，其實質就是限制或允許數據的流通。

Internet防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度，其主要目標就是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭外界因素的干擾和破壞。防火墻用于在內部網和外部網之間構造一個保護層。所有來自Internet(外部網)的傳輸信息或從內部網絡發出的信息都必須穿過防火墻。從邏輯上講，防火墻是分離器、限制器、分析器。防火墻的物理實現方式又有所不同，通常一個防火墻由一套硬件(一個路由器或路由器的組合，一臺主機)和適當的軟件組成。

1.防火墻的主要功能

(1)作為網絡安全策略的焦點。把防火墻作為網絡通信的阻塞點，所有進出網絡的信息都必須通過這個唯一的阻塞點。防火墻為網絡安全起到了把關的作用，它讓我們把安全防范集中在內外網絡連接的阻塞點上。

(2)強化安全策略。因為Internet 每天都有上百萬人在那里收集、交換信息，不可避免會出現個別品德不良或違反規則的人。防火墻是為了防止不良現象發生的“交通警察”，它執行站點的安全策略，僅僅容許“認可的”和符合規則的請求通過。

(3)有效記錄網絡活動。因為所有的傳輸信息都會穿過防火墻，所以，防火墻很適合收集和記錄關于系統和網絡使用的多種信息。

(4)掩蓋內部網絡的拓撲結構。防火墻能夠將內部網絡分為多個網段，限制訪問等等。所以，它可以用來防止對內部網絡的惡意探測。。

2.目前防火墻的差異

正如中國的一句俗語所說的“一母生九子，九子各不同”，在這短短的時間內涌現出的各種安全設備同樣存在著各種各樣的差異，這些差異主要來源與。

（1)產品采用的核心技術，體系架構的不同。

（2)廠商技術實力的差距。

（3)開發成本的約束。

（4)生產成本的限制。

（5)產品定位、目標客戶群不同。

由于以上各種限制因素的存在，造成了產品在各個方面形成差距，主要表現在:產品安全性;產品穩定性;產品性價比;產品技術先進性;產品實際應用定位;售后服務支持能力;產品可持續升級能力。

不同廠商所開發的防火墻產品或者是同一廠商所提供的不同系列的防火墻產品在各個方面都存在著差異，這些差異可能會構成客戶選擇的參考因素。但是與此同時，這些差異也構成了產品的不同特點，也就是所謂“尺有所短，寸有所長”。在網絡中充分結合利用各家產品的優點長處，取長補短，則會讓組合方案發揮出最大效果，實現單一產品所無法達到的性能。

二、企業信息安全建設現狀

企業的信息安全建設是一個持續的、艱巨的過程，它不可能一蹴而就，這就意味著企業IT主管必須時刻關注業內最新動態，追蹤熱門技術，保證企業網絡能夠快速適應當前的反黑形勢。企業網絡的狀況是在不斷的變化的。業內各安全產品的優劣形勢也在變化，所以當年的最佳解決方案在今天看上去往往已經不能滿足企業的需要。企業IT人員有責任將之快速扭轉過來。扭轉這種落后局面的方法有很多種，最常見的也是最有效的方法就是“設備替換法”。這種方法關注于尋求當前最先進同類產品，將網絡已有的陳舊設備簡單替換即可，以求得實現最新技術在網絡中的運用，達到當前網絡安全的需要。但是，這種方法沒有考慮到陳舊設備的再利用，替換下來的陳舊設備一般而言無法出售，只能閑置或遺棄，造成企業固定資產的流失浪費。既然升級是不可避免的，而且大多情況下又是非常緊迫的，那么如何進行網絡安全升級改造，達到既不浪費資產又要發揮出產品最大性能的目的呢？這個問題已經成為企業IT主管的重要考慮課題。

三、解決辦法

1.利用原有設備組成新的防火墻

疊加式防火墻（圖1）將多臺防火墻串聯在一條鏈路之上（如企業網絡的出口位置），所有訪問流量都要先后通過多臺不同廠家的防火墻的審計保護，每種防火墻都將按照自己特定的體系結構和安全策略對過往流量進行核查，利用新設備來防范新的網絡攻擊方式。組合后的整個防火墻系統的漏洞集是每臺防火墻漏洞的集的交集，網絡攻擊滲透過整套系統的概率將會大大降低，因此該部署方式能夠充分結合多臺防火墻在安全、審計方面的多種優勢，同時所購買的新設備不用具有舊設備所具有的功能，從而大大節約了開支，降低了成本。

2.利用原有設備為網絡提供備用防火墻

并行式組合方式（圖2）強調的是提供整套系統的健壯性，即利用陳舊設備為網絡提供一個并行的防火墻設備。因為每個系統都有自己的平均無故障時間間隔MTBF值，這意味著無論何種設備都很難保證長時間平穩地運行，因此，為了保護企業網絡應用的連續性和穩定性，企業網管人員可以考慮采用多種防火墻設備并行的部署方式，來獲得較大的MTBF值；除此之外，通過并行部署，企業網絡出口流量能夠得到大幅度分流，并且可以根據用戶類型或應用業務不同而劃分不同的路由，在不同廠家的防火墻上實現針對性的防護措施，從而實現安全性更高的防護體系。但是并行的方式在部署上會有很大難度，里面可能涉及網絡需要改造和調整，所以采用這種方式的可行性有限。

在上面所論述的方案中，有一點需要特別注意，那就是新舊設備必須是不同種類、不同廠家的產品。其中的原因就是同一生產廠家的產品在技術原理上往往呈現一種連續性，類似于人類的“血緣關系”一樣，這就造成同一生產廠家的產品具備很大的相似性。所以，如果某廠家的某類產品存在某種缺陷的話，那么該廠家的其他同類產品通常也會存在該缺陷；反之亦然，同一生產廠家的產品也會具備相近的優點。這樣一來，采用同一生產廠家的多臺防火墻產品進行組合應用所形成的系統擁有與單機完全相同的缺陷，而且轉發處理延遲、系統穩定性都回明顯降低，完全失去了實際意義。因而，采用不同生產廠家的防火墻系統是實現高效、穩定、健壯的組合系統的最重要的前提條件。

四、結論

多廠商防火墻系統的組合應用是一種比較高效的解決方案，在企業資金還不寬裕，而網絡安全形勢又十分嚴峻的情況下，它既可以充分利用現有設備，保護企業已有的投資，又能實現更為理想的網絡保護效果，可謂是一舉兩得。

參考文獻:

[1]海爾（美）劉成勇等:Internet防火墻與網絡安全[M].北京:機械工業出版社，1998

[2]張兆信:計算機網絡安全與應用[M].北京:機械工業出版社，2005

[3]劉淵:因特網防火墻技術[M].北京:機械工業出版社，1998

[4]劉建偉王盟:《淺談防火墻技術及其應用》[J].沿海企業與科技，2006.2

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。