天下网吧 >> 网吧方案 >> 企业方案 >> 正文

网络安全必须多管齐下


  “将你的服务器集中,将你的数据集中,这可以节省大量的管理成本。”今天,很多供应商这样教导用户。“尽管从业务控制的角度来看,这种做法有其合理性,但从网络安全的角度来看,这并不是最好的做法。”思科公司负责安全业务的Barbara Fraser女士说:“我们认为,应当将不同的应用放置在不同的服务器上。也就是说,最好是每一台服务器上仅仅支持一种服务。比如,相互独立的邮件服务器、部门服务器、语音邮件服务器等等。同时,每台服务器还需要使用全冗余,即使某一台服务器万一被攻破也不会影响大局。”
  
  但这并不是全部。为保证企业的网络坚固性,网络管理员还应当在内部网中添加NIDS(网络入侵检测系统),在关键服务器上添加HIDS(主机入侵检测系统),在关键业务主机上部署防火墙,在必要的地方部署SSH/SSL,管理和提高第2层的安全性。对于某些关键模块,比如企业的管理模块,还需要采用VLAN技术来隔离流量。为了避免外部发起的攻击,网络管理员应当采取特殊过滤手段,使与互联网相接的公共服务器不能与内部网中的服务器有主动连接。
  
  而对于一个包含了语音、数据以及IP的混合网络来说,由于不同的技术有不同的安全级别,这给网络管理带来了困难。针对这种状况,思科建议在应用安全方面采用分层的方式来进行管理——阶梯递升方式有助于整体的安全。通过分离Web及应用服务器,确保由应用层接入内部数据都要经过身份验证,所有的应用都经由InfoSec认可,这种层层认证的方式可以避免用户在某一层中驻留病毒。 多层防范模式则是公司在整体安全方面所提倡的。比如,思科将公司的应用分为3个层面(客户介面/应用层/网络层)、3种类型(验证/加密/病毒防范),分别由活动目录、DES、SSL、IP-Sec、McAfee防火墙、Trend Micro病毒软件、ACL等执行相应的功能。思科也同时采用了例如PKI、注册工具等其它安全措施。
  
  而对于能够通过互联网直接访问公司内部局域网的VPN链接来说,思科也采用了3种技术来防止数据泄密。首先是Block技术,通过这种数据包过滤技术,可以阻止非授权用户进入到网络中来。其次是CA技术和密匙技术。在思科公司的实际网络中,就是通过符合VPN 3.02规范的设备与总部进行通讯,客户端上的VPN软件会产生一次性密码,验证后即建立VPN通道。
  
  显然,这是一套高成本的解决方案。但是,思科也同样为中小企业提出了自己的安全建议。“由于中小企业本身的规模比较小,受到攻击的可能性也相对较小,中小企业并不需要安全级别非常高的网络。安全投资应当与自己的安全风险直接挂钩,在极端情况下,中小企业甚至仅仅是简单地在互联网和公司的局域网之间安装一个防火墙就可以满足需求。假如它们需要更高的安全级别,它们应当尽量按照以上的安全原则来设计自己的网络,思科都能够提供相应的产品。”Barbara Fraser说。

本文来源:天下网吧 作者:网吧方案

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下