[摘要] 本文就目前企業(yè)所關(guān)心的網(wǎng)絡(luò)安全建設(shè)過(guò)程中替換下來(lái)的陳舊設(shè)備進(jìn)行合理再利用問(wèn)題，進(jìn)行了分析并提出了幾種解決方案。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全防火墻陳舊設(shè)備

近年來(lái)，隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)心的問(wèn)題。目前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種:一種是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅;另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。其中，來(lái)自外部或內(nèi)部人員的惡意攻擊和入侵是當(dāng)前因特網(wǎng)所面臨的最大威脅，是電子商務(wù)、政府上網(wǎng)工程等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的最有效辦法是采用防火墻。但是，由于缺乏安全防范意識(shí)和對(duì)關(guān)鍵的核心技術(shù)掌握不夠，我國(guó)的信息安全形勢(shì)不容樂(lè)觀。黑客的侵?jǐn)_也是破壞信息安全的主要因素之一。目前，因特網(wǎng)上已有上萬(wàn)個(gè)黑客網(wǎng)站，而且技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)上千種。即使是防衛(wèi)森嚴(yán)的美國(guó)國(guó)防信息系統(tǒng)也頻頻遭受攻擊，并且成功進(jìn)入率高達(dá)63％。中國(guó)目前已經(jīng)有幾千萬(wàn)的網(wǎng)民，信息安全問(wèn)題已經(jīng)大量出現(xiàn)。信息安全已經(jīng)成為企業(yè)，政府部門(mén)網(wǎng)絡(luò)建設(shè)的重中之重。

一、防火墻概述

定義1:防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，其實(shí)質(zhì)就是限制或允許數(shù)據(jù)的流通。

Internet防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度，其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過(guò)這樣的檢查，防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。防火墻用于在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層。所有來(lái)自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。從邏輯上講，防火墻是分離器、限制器、分析器。防火墻的物理實(shí)現(xiàn)方式又有所不同，通常一個(gè)防火墻由一套硬件(一個(gè)路由器或路由器的組合，一臺(tái)主機(jī))和適當(dāng)?shù)能浖M成。

1.防火墻的主要功能

(1)作為網(wǎng)絡(luò)安全策略的焦點(diǎn)。把防火墻作為網(wǎng)絡(luò)通信的阻塞點(diǎn)，所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)這個(gè)唯一的阻塞點(diǎn)。防火墻為網(wǎng)絡(luò)安全起到了把關(guān)的作用，它讓我們把安全防范集中在內(nèi)外網(wǎng)絡(luò)連接的阻塞點(diǎn)上。

(2)強(qiáng)化安全策略。因?yàn)镮nternet 每天都有上百萬(wàn)人在那里收集、交換信息，不可避免會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。

(3)有效記錄網(wǎng)絡(luò)活動(dòng)。因?yàn)樗械膫鬏斝畔⒍紩?huì)穿過(guò)防火墻，所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息。

(4)掩蓋內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。防火墻能夠?qū)?nèi)部網(wǎng)絡(luò)分為多個(gè)網(wǎng)段，限制訪問(wèn)等等。所以，它可以用來(lái)防止對(duì)內(nèi)部網(wǎng)絡(luò)的惡意探測(cè)。。

2.目前防火墻的差異

正如中國(guó)的一句俗語(yǔ)所說(shuō)的“一母生九子，九子各不同”，在這短短的時(shí)間內(nèi)涌現(xiàn)出的各種安全設(shè)備同樣存在著各種各樣的差異，這些差異主要來(lái)源與。

（1)產(chǎn)品采用的核心技術(shù)，體系架構(gòu)的不同。

（2)廠商技術(shù)實(shí)力的差距。

（3)開(kāi)發(fā)成本的約束。

（4)生產(chǎn)成本的限制。

（5)產(chǎn)品定位、目標(biāo)客戶群不同。

由于以上各種限制因素的存在，造成了產(chǎn)品在各個(gè)方面形成差距，主要表現(xiàn)在:產(chǎn)品安全性;產(chǎn)品穩(wěn)定性;產(chǎn)品性價(jià)比;產(chǎn)品技術(shù)先進(jìn)性;產(chǎn)品實(shí)際應(yīng)用定位;售后服務(wù)支持能力;產(chǎn)品可持續(xù)升級(jí)能力。

不同廠商所開(kāi)發(fā)的防火墻產(chǎn)品或者是同一廠商所提供的不同系列的防火墻產(chǎn)品在各個(gè)方面都存在著差異，這些差異可能會(huì)構(gòu)成客戶選擇的參考因素。但是與此同時(shí)，這些差異也構(gòu)成了產(chǎn)品的不同特點(diǎn)，也就是所謂“尺有所短，寸有所長(zhǎng)”。在網(wǎng)絡(luò)中充分結(jié)合利用各家產(chǎn)品的優(yōu)點(diǎn)長(zhǎng)處，取長(zhǎng)補(bǔ)短，則會(huì)讓組合方案發(fā)揮出最大效果，實(shí)現(xiàn)單一產(chǎn)品所無(wú)法達(dá)到的性能。

二、企業(yè)信息安全建設(shè)現(xiàn)狀

企業(yè)的信息安全建設(shè)是一個(gè)持續(xù)的、艱巨的過(guò)程，它不可能一蹴而就，這就意味著企業(yè)IT主管必須時(shí)刻關(guān)注業(yè)內(nèi)最新動(dòng)態(tài)，追蹤熱門(mén)技術(shù)，保證企業(yè)網(wǎng)絡(luò)能夠快速適應(yīng)當(dāng)前的反黑形勢(shì)。企業(yè)網(wǎng)絡(luò)的狀況是在不斷的變化的。業(yè)內(nèi)各安全產(chǎn)品的優(yōu)劣形勢(shì)也在變化，所以當(dāng)年的最佳解決方案在今天看上去往往已經(jīng)不能滿足企業(yè)的需要。企業(yè)IT人員有責(zé)任將之快速扭轉(zhuǎn)過(guò)來(lái)。扭轉(zhuǎn)這種落后局面的方法有很多種，最常見(jiàn)的也是最有效的方法就是“設(shè)備替換法”。這種方法關(guān)注于尋求當(dāng)前最先進(jìn)同類產(chǎn)品，將網(wǎng)絡(luò)已有的陳舊設(shè)備簡(jiǎn)單替換即可，以求得實(shí)現(xiàn)最新技術(shù)在網(wǎng)絡(luò)中的運(yùn)用，達(dá)到當(dāng)前網(wǎng)絡(luò)安全的需要。但是，這種方法沒(méi)有考慮到陳舊設(shè)備的再利用，替換下來(lái)的陳舊設(shè)備一般而言無(wú)法出售，只能閑置或遺棄，造成企業(yè)固定資產(chǎn)的流失浪費(fèi)。既然升級(jí)是不可避免的，而且大多情況下又是非常緊迫的，那么如何進(jìn)行網(wǎng)絡(luò)安全升級(jí)改造，達(dá)到既不浪費(fèi)資產(chǎn)又要發(fā)揮出產(chǎn)品最大性能的目的呢？這個(gè)問(wèn)題已經(jīng)成為企業(yè)IT主管的重要考慮課題。

三、解決辦法

1.利用原有設(shè)備組成新的防火墻

疊加式防火墻（圖1）將多臺(tái)防火墻串聯(lián)在一條鏈路之上（如企業(yè)網(wǎng)絡(luò)的出口位置），所有訪問(wèn)流量都要先后通過(guò)多臺(tái)不同廠家的防火墻的審計(jì)保護(hù)，每種防火墻都將按照自己特定的體系結(jié)構(gòu)和安全策略對(duì)過(guò)往流量進(jìn)行核查，利用新設(shè)備來(lái)防范新的網(wǎng)絡(luò)攻擊方式。組合后的整個(gè)防火墻系統(tǒng)的漏洞集是每臺(tái)防火墻漏洞的集的交集，網(wǎng)絡(luò)攻擊滲透過(guò)整套系統(tǒng)的概率將會(huì)大大降低，因此該部署方式能夠充分結(jié)合多臺(tái)防火墻在安全、審計(jì)方面的多種優(yōu)勢(shì)，同時(shí)所購(gòu)買的新設(shè)備不用具有舊設(shè)備所具有的功能，從而大大節(jié)約了開(kāi)支，降低了成本。

2.利用原有設(shè)備為網(wǎng)絡(luò)提供備用防火墻

并行式組合方式（圖2）強(qiáng)調(diào)的是提供整套系統(tǒng)的健壯性，即利用陳舊設(shè)備為網(wǎng)絡(luò)提供一個(gè)并行的防火墻設(shè)備。因?yàn)槊總€(gè)系統(tǒng)都有自己的平均無(wú)故障時(shí)間間隔MTBF值，這意味著無(wú)論何種設(shè)備都很難保證長(zhǎng)時(shí)間平穩(wěn)地運(yùn)行，因此，為了保護(hù)企業(yè)網(wǎng)絡(luò)應(yīng)用的連續(xù)性和穩(wěn)定性，企業(yè)網(wǎng)管人員可以考慮采用多種防火墻設(shè)備并行的部署方式，來(lái)獲得較大的MTBF值；除此之外，通過(guò)并行部署，企業(yè)網(wǎng)絡(luò)出口流量能夠得到大幅度分流，并且可以根據(jù)用戶類型或應(yīng)用業(yè)務(wù)不同而劃分不同的路由，在不同廠家的防火墻上實(shí)現(xiàn)針對(duì)性的防護(hù)措施，從而實(shí)現(xiàn)安全性更高的防護(hù)體系。但是并行的方式在部署上會(huì)有很大難度，里面可能涉及網(wǎng)絡(luò)需要改造和調(diào)整，所以采用這種方式的可行性有限。

在上面所論述的方案中，有一點(diǎn)需要特別注意，那就是新舊設(shè)備必須是不同種類、不同廠家的產(chǎn)品。其中的原因就是同一生產(chǎn)廠家的產(chǎn)品在技術(shù)原理上往往呈現(xiàn)一種連續(xù)性，類似于人類的“血緣關(guān)系”一樣，這就造成同一生產(chǎn)廠家的產(chǎn)品具備很大的相似性。所以，如果某廠家的某類產(chǎn)品存在某種缺陷的話，那么該廠家的其他同類產(chǎn)品通常也會(huì)存在該缺陷；反之亦然，同一生產(chǎn)廠家的產(chǎn)品也會(huì)具備相近的優(yōu)點(diǎn)。這樣一來(lái)，采用同一生產(chǎn)廠家的多臺(tái)防火墻產(chǎn)品進(jìn)行組合應(yīng)用所形成的系統(tǒng)擁有與單機(jī)完全相同的缺陷，而且轉(zhuǎn)發(fā)處理延遲、系統(tǒng)穩(wěn)定性都回明顯降低，完全失去了實(shí)際意義。因而，采用不同生產(chǎn)廠家的防火墻系統(tǒng)是實(shí)現(xiàn)高效、穩(wěn)定、健壯的組合系統(tǒng)的最重要的前提條件。

四、結(jié)論

多廠商防火墻系統(tǒng)的組合應(yīng)用是一種比較高效的解決方案，在企業(yè)資金還不寬裕，而網(wǎng)絡(luò)安全形勢(shì)又十分嚴(yán)峻的情況下，它既可以充分利用現(xiàn)有設(shè)備，保護(hù)企業(yè)已有的投資，又能實(shí)現(xiàn)更為理想的網(wǎng)絡(luò)保護(hù)效果，可謂是一舉兩得。

參考文獻(xiàn):

[1]海爾（美）劉成勇等:Internet防火墻與網(wǎng)絡(luò)安全[M].北京:機(jī)械工業(yè)出版社，1998

[2]張兆信:計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].北京:機(jī)械工業(yè)出版社，2005

[3]劉淵:因特網(wǎng)防火墻技術(shù)[M].北京:機(jī)械工業(yè)出版社，1998

[4]劉建偉王盟:《淺談防火墻技術(shù)及其應(yīng)用》[J].沿海企業(yè)與科技，2006.2

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。