企业网络安全随着企业用户纷纷上网而越来越受到重视。最近几年,常常会听到某大公司或政府机构被黑客入侵的事件, 著名的美国空军基地就曾与黑客发生过几次攻防战。然而无论战局结果如何,黑客入侵最直接的危害就是主机受损,应用无法正常运行,其更深层次的损失就是机密的遗失。
另一方面,随着因特网和电子商务的发展,企业的商务应用从企业内部扩展到与其他企业的互连。在竞争非常激烈的市场经济大环境中,对于一个企业来说,速度就是一切,这必然对企业网络的的响应速度提出了更高的要求。
为了解决网络的整体安全,同时帮助企业加快网络的速度,微软公司推出了Microsoft ISA Server 2000(Microsoft Internet Security and Acceleration Server 2000)。它是Windows 2000 Server平台上同时具有防火墙与网站缓存功能的服务器软件。
它可提供多层次的企业级防火墙,并结合专用的防毒软件,保护网络资源,避免病毒、黑客及未获授权的存取行为。同时可加速公司网络对内与对外的存取速度,节省Internet网络带宽,进而统一管理Internet资源。
ISA Server 2000提供了两个高度整合的模式:一个多层次的防火墙与一个高效率的网站缓存服务器。它建立在Windows 2000的安全性、目录服务、虚拟专用网络(VPN)与带宽控制的基础上,因此无论是分别部署防火墙、网站缓存,或是部署为两者兼具的整合模式,都能够强化网络的安全性、强制实施一致的Internet使用原则以及加速Internet的存取。
它巧妙设计的管理工具简化了策略的定义、流量路由、服务器发布与监控等工作,并以智能的管理界面,让管理者可以轻松设定防火墙与企业内部网络的复杂环境。
它还能够在效率、管理、扩展性等各方面满足Internet高流量的需求,同时它也具备集中管理、多层次存取与容错的功能。ISA Server 2000 企业版为关键任务的Internet连接,提供了一个快速、安全与高扩展能力的环境。
安全的因特网连接性
防火墙能够通过各种不同的方法来强化其安全性,其中包括包过滤、链路级过滤与应用过滤,从而提供多层次的网络保护。
链路级的过滤
在链路层上,ISA Server 2000的防火墙服务能够支持几乎所有的Internet应用程序,还包括其他客户端的应用程序。防火墙服务使这些应用程序执行起来就像是直接连接着Internet一样。
包过滤
ISA Server 2000的包过滤功能让系统管理员能控制IP包的进出。当包过滤的功能启用后,除非是包过滤器允许的包,或是由存取原则、公布规则所允许的包,其他所有外界传来的包都会被丢弃。IP包过滤功能会先将包拦截并经过检查、评估后,再传送到防火墙内较高层或是应用过滤器。
IP包过滤功能能够被设定为只让特殊的包通过,为网络提供了一个高层次的安全防护,并能阻止由Internet上特定的某台主机传来的资料,也可以拒绝许多常见的、具有攻击性的包。它还可以阻止将包传送到内部网络的任何一个服务,包括Web proxy、网站、SMTP服务器等。
只在需要通信的时候,ISA Server 2000的动态包过滤功能才会将所需的端口开启,并且会在通信结束时将其关闭。这种动态的方式降低了端口暴露的危险,从而提高了网络的安全等级。
应用级的过滤功能
ISA Server 2000防火墙所提供的包检测功能中最复杂的是其应用级的安全功能。一个聪明的应用过滤器能够分析送给某一应用的数据流,并且提供针对应用的处理程序,例如检测、screening、阻止、转向甚至在通过防火墙时修改其数据。
这些措施可以弥补一些已知的的安全漏洞,例如不安全的SMTP指令或攻击内部DNS服务器的行为。另外由合作伙伴所提供的内容screening工具,包括病毒侦测、词法分析、站点分类等,也使用了应用程序与网站过滤器进一步扩展防火墙的功能。
安全状态检测
安全状态检测根据通信协议与连接状态,检测通过防火墙的内容。以包的层次来说,ISA Server 2000检测IP header中的源地址与目的地址,并通过TCP或UDP header来辨认所需的服务器服务或应用。
整合式的入侵侦测功能
除了具备市场上防火墙产品所具备的功能,ISA Server 2000还能帮助系统管理员辨认与回应一般的服务器攻击行为,例如端口扫描、WinNuke、Ping of Death等攻击行为。这使它具备了整合的入侵者侦测机制,从而可以辨认这些类型的攻击行为。
当攻击行为被识破时,ISA Server 2000会采取一系列措施,例如传送e-mail或警告信息给系统管理员、停止防火墙的服务、将该事件记录到系统日志、执行一个程序或指令脚本等。通过合作伙伴的开发,它还可以帮助系统管理员辨认与处理其他的网络攻击行为。ISA Server 2000将侦测入侵者的功能同时建立在包过滤与应用程序过滤的层次上。
ISA Server 2000的安全因特网特性主要有如下特点:
多层防火墙 利用数据包、电路和应用程序层次的通信筛选,获得最大的安全性。
状态检查 根据协议和连接状态对经过防火墙的数据进行检查。动态数据包过滤功能仅在必要时打开端口。
广泛的应用程序支持 利用预定义的协议和应用程序过滤器,透明地使用大量主要的应用程序。
集成的虚拟专用网(VPN) 利用Windows 2000的虚拟专用网服务,提供基于标准的、安全的远程访问。
系统硬化 通过利用预定义的模板设定适当的安全性水平,将Windows 2000封闭起来。
集成的入侵检测 识别并响应常见的网络攻击,如端口扫描,WinNuke和利用Ping命令使系统瘫痪,并基于ISS(Internet Security Systems)技术。
智能应用程序过滤器 利用应用程序感知的过滤器对特定应用程序的通信进行分析和控制,这些管理器对实际的数据进行检测。内置了对HTTP、FTP、SMTP e-mail、H.323会议、流式媒体、RFC等的智能过滤功能。
对所有客户端透明 使用SecureNAT(Secure Network Address Translation)而无需任何客户端软件,即可为所有IP客户端提供可扩展的、透明的防火墙保护。
高级的身份验证 使用优化的防火墙客户端软件,利用Windows集成的身份验证(NTLM和Kerberos),强制实施严格的用户身份验证。
安全的发布 只允许通过被授权的通信量,保护位于防火墙后面的Web服务器、e-mail服务器和电子商务应用程序免受外部攻击。
E-mail内容筛选 在网关处阻止对邮件服务器未经授权的访问,并阻止不能接受的e-mail。
检验SSL通信量 利用SSL桥接、对加密的SSL通信量进行检测,提供端对端的安全性。(未完待续)
