限制局域网上网行为，防火墙还是网管软件？

作者：安企神日期：2022-1-22

随着互联网飞速发展，越来越多的企业都通过网络开展业务，许多企业甚至感到离开网络，业务就无法正常运行，网络安全的重要性由此可见一斑。因此，企业不惜代价地在网络安全方面投入资金，购买防火墙、电子邮件防毒系统或桌面防毒系统，来阻止病毒泛滥和黑客攻击。在许多企业、甚至系统集成商看来，这样的网络在安全方面可以高枕无忧了。

　　
　　但是由于现有的企业网络安全基础设施存在缺陷，因此它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播，而是隐藏在复杂的应用层数据中，通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播，但企业现有的安全设施还不能对这些传播渠道进行控制。现在，IT经理们不得不重新审视企业的网络安全系统

　　
　　企业网络面临新问题

　　当前企业网络面临以下几个方面的问题，如果处理得不好将直接导致企业生产力下降，较终损失的是企业的利润。

　　Web滥用降低企业生产力

　　Web的广泛使用极大地帮助企业提高生产力，获取信息的速度前所未有。但互联网是一个大染缸，各种各样的内容充斥其中，新闻、购物、体育、色情等，用户一点鼠标，就有可能被带到与工作无关的站点，这必然会导致员工工作效率降低，进而导致企业生产力的下降，严重的还可能将病毒带入公司内网，或被攻击者植入后门，导致灾难性的后果。因此，对不合适的内容进行过滤、对恶意代码和病毒进行强制清除，管理、监控并实时督导员工正确地使用互联网，是提高企业利润的当务之急。

聊天工具的安全问题

　　这里所说的聊天工具是指MSNMessenger之类的实时信息交换工具，之所以这样称呼是因为它们较初是为朋友间聊天而出现的。而现在，这类聊天工具已成为一些企业信息交流的主要工具。然而，权威人士研究发现，这些聊天系统在设计时都着重考虑了灵活性，而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能，防火墙无法对其进行阻挡。而且，聊天用户之间的信息交换是穿过公网，通过聊天服务器转发，信息在网络上清楚可见，这就容易导致企业机密信息被窃取。如前所述，聊天工具也已成为病毒大量传播的一种途径。但在线聊天工具高效、方便的特点，正迅速被越来越多的人所接受，单纯地屏蔽是不合适的，关键是采取一种有效的聊天控制策略并加以监管。

　　点对点文件共享应用的安全问题

　　点对点文件共享应用（P2P），在中国称为BT下载，它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中，每个用户既是客户端又是服务器，每个人都可从其他用户处下载自己需要的数据，也可将自己已下载的数据共享给其他需要这部分数据的用户。这样，由于这种应用消除了传统下载方式的服务器瓶颈，下载人数越多，下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而，在企业网络中，这种应用没有理由存在，因为它不仅会对网络可用性造成严重影响，还能成为病毒传播的途径，其共享文件带来的版权问题也有可能给企业带来潜在的法律责任。因此，从各方面考虑，有必要对其进行屏蔽和控制。

　　代理服务解决问题

　　为什么防火墙不能有效解决以上那些问题呢？因为防火墙的主要功能是阻挡来自外部的攻击。企业现在使用的防火墙大多是包过滤型，或者是高级一些的状态检查型防火墙，其主要功能是根据管理员设定的规则进行数据包过滤，将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。
　　
　　防火墙不能有效进行应用层检查。当前企业网面临的新问题具有一个共同特征，即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层，虽然有的防火墙对部分协议实现了应用层处理功能，但由于其硬件和操作系统是针对数据包过滤和状态检查，使用专用芯片对IP地址和端口号进行快速匹配而设计的，如果要求防火墙将一个个传输的网络层数据包进行组装，并抽取其中的应用层数据，然后进行复杂的模式匹配，根本无法达到满意的性能。事实上，现在用户正在使用的防火墙，大部分只进行网络层检查，很少有用户会打开应用层检查功能，主要就是因为性能的问题。
　　
　　对应用层检查较好的办法是使用新一代的安全代理专用设备。代理专用设备就是代理用户的访问请求，由于所有用户访问流量都必须通过代理专用设备，就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制，并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等，并经统计分析形成报告，尽早发现问题，使控制策略进一步完善。目前国内有专业的上网行为监控系统推出的硬件监控系统就相当于是代理专用设备，不过成本较大，适合大中型企业使用；国内绝大多数企业还是比较适合基于纯软件架构的网络监控软件，如国内应用普遍的安企神系统（官方网站：http://www.wgj7.com/），相对于那些硬件代理设备成本较低，并且由于是基于对数据包应用层协议特征码的监控，从而可以有效控制P2P下载、限制在线视频、限制聊天软件，并且还有一个较重要的功能是实时显示和限制局域网各个主机的带宽流量，可以保证局域网网络资源的有效利用。

　　安全代理专用设备是现有网络安全架构的一个重要的补充，但并不是取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵，着重的是网络层的过滤；而安全代理专用设备管理和控制内部用户对外的访问，着重的是应用层内容的检查。两者相辅相成，达成全方位及较佳效能的安全防卫架构，重新定义企业网络安全前景。