【赛迪网独家特稿】早在三年前,业界就有取消网络防火墙的呼声:防火墙限制了应用配置,加重了网络管理负担。
我们经常听到一种说法,说重要信息处于内网,因而不存在安全问题,似乎不安全因素都是来自防火墙之外而内部网是“安全无忧”的,其实这是一种安全的认识误区。
如今很多应用,从基于Web的邮件处理到即时消息处理到VoIP,都能穿透或绕过防火墙。而且,现代网络架构模型应对的访问者太过庞杂,有商务纽带关系,有合作伙伴,也有普通用户,安全防护变得相当复杂。当然,传统的网络周界仍是防止网络滥用的“边界线”。那么,如果将防火墙移除,是否能构筑起新型的安全模型呢?答案是肯定的。
防火墙一定程度上限制了应用配置,给网络增添了配置和管理难度。如今一些企业网络架构已经取消了防火墙这个设备,而改为采用网络周界安全模式,这样能比较好地实现信息和内容保护,防止失窃和滥用。
新的安全需求是:让用户从任何位置接入尽可能多的应用而不存在安全问题。这种体系结构不再将防火墙作为重点,而是在网络内部解决安全问题。具体做法是将服务器与客户端分离。如今第3层数据中心交换机比较成熟,能够低成本实现创建子网,通过定义简单的ACL,能很好地对后端服务器进行隔离。服务器及各自应用位于自身DMZ,通过应用层防火墙进行保护,可将服务器组织为三层:第一层为通用服务器,如Web及邮件服务器,它们只供终端用户接入;第二层由应用及中间件服务器组成,依次只能经由通用服务器接入;最后一层为数据库服务器,只能由应用及中间件服务器接入。
表面看来,这种以硬件为中心的安全架构实现成本太高,但由于实现了软件“一体化”管理,能明显降低配置和管理成本。其中客户端虽处于不设防位置,但可在服务器端透过完善的软件方案保证它们的安全:运行安全的操作系统,即时进行完整的补丁升级,安装病毒软件等;对每位用户身份集中管理,在接入内部DMZ前进行认证检查;通过中心目录方案来管理身份权限和PKI证书。如果未建立有完善的PKI体系,现行目录系统如Active Directory也可实现低成本加密认证。
为进一步增强内部网络安全性,内部用户在接入外部网时使用通常已被限制接入(关闭)的端口,这样减少对外部访问的限制,很多语音工具(如Skype)可照常使用。由于笔记本电脑受内部网保护,在接入开放无线网时也能经受攻击。
更为重要的是,这类架构能减小升级麻烦,通过重新利用现有网络设备,消除了不必要的网络安全设备,真正达到了为网络架构“减负”的目的。(n101)
