企业网络架构方案.docx

企业架构网络安全方案网络上”黑来黑去”的事件不断发生，企业或组织可能面临的伤害，轻则只是网页被篡改，但重则可能蒙 受钜额或商业利益上的损失。因此，许多企业组织开始警觉到架设防火墙的对网络安全的重要性。企业 在选购、架设防火墙时，一般会考虑的重点不外乎是产品功能、网络架构、技术支持、版本更新、售后服 务等项。大多数的企业或组织在架设防火墙系统时，通常都是从市面上或是系统整合商所建议的产品中 开始着手，但是如何在众多的防火墙产品中评估各家的优缺点，选择一套满足自己企业组织需求的防火 墙，并且完善地建构企业的安全机制呢？许多有经验的网络安全管理人员都知道，这不是一件相当简单 或容易的事情。虽然企业可轻易地从很多地方例如系统整合商得到各种防火墙产品的比较资料来作为选 购的要点，但是企业在选定合适的防火墙产品后却很可能因为未将防火墙架设的规划也列入选购的重点 之一，因此产生更大的困扰：该如何将防火墙架设到企业原有网络？笔者经常听闻许多企业已安装好防 火墙，却因为架构的问题而必须重新进行评估，甚至更换品牌的情形。确认了符合企业各项功能需求的防火墙之后，最重要的是还要确认防火墙系统的硬件在架设时或日后 可以很弹性地扩充网络架构，以因应企业更新架构之需求。千万别让防火墙系统的硬件架构，成为建置 的限制。在网络架构方面，可以依据防火墙系统的网络接口，来区分不同的防火墙网络建置型态。第一种类型，是所谓的单机版防火墙。如图1-1的网络架构，这种型态的防火墙建置架构，是目 前防火墙产品市场中较少被提出的方案。单机版的防火墙是针对特定主机作安全防护的措施，而非整 个网络内所有的机器。这种单机版的防火墙对某些企业而言有一定的需求；例如已架设防火墙，但 需要重点式保护某些主机的企业，或是只有单一主机的企业。这种架构从网络的底层就开始保护这台伺 服主机，可以彻底地防御类似拒绝服务(Denial of Service)的攻击，因为这类攻击可能不单来自外界或者 是网际网络，亦可能来自同一个网络区段上的任何一台机器。因此，架设这种单机版的防火墙绝对会提升在同一个网络区段上的服务器的安全等级。另一种网络架构的建置类似图1-2的架构，号称为入侵终结者(Intrusion Detection Monitor)J，其防 护的对象不是一部伺服主机，而是在同一网络区段上监听封包，对于非法的封包加以拦截并送出TCP/IP 表头的RST讯号以回绝对方的联机。这种作法必须随时去网络上作刺探的动作，而它也是另一种防火墙 的建置型态。这种网络架构很难确定所有的网络封包都可以被这个入侵终结者所栏截，所以并无法 保证是否没有漏网之鱼。第二种类型是利用防火墙系统实际区分两个网络区段，如图2。如果与防火墙的网络地址转换（Network Address Translation）的功能做搭配，这样建置的网络架构就有不同的变化。在如此多种的网络架 构下，企业可以从下列几点考量来决定要建置何种架构：企业是否使用防火墙系统所提供的应用程序代理服务（Application Level Gateway/Proxy）的功能：如果企 业已经准备使用防火墙系统所提供的应用程序代理服务（俗称Proxy），那幺可能只有三种架构（图3-1、3-2、 3-3）可供选择。因为使用Proxy则代表所有应用程序的存取都必须靠防火墙这部主机来作对外存取。如 果这部防火墙主机是使用一组非法注册的网络地址（Illegal IP Address作为防火墙对外网卡的网络地址，则 这些对外的存取动作就无法完成。原有的企业主机IP设定是否不变更：一般在建置防火墙时最令人头痛的部份就是网段的切割及IP的分 配。企业通常希望原有的企业网络机器设定变更越少越好，但这似乎是不太可能的事情。可是类似（图 3-4、3-5）的做法却能够解决这种困扰。这种架构将原路由器的地址移做防火墙系统内部网络卡的地址之用， 因此原本设定在企业内的机器就全部不需要做变更。至于路由器及防火墙系统的对外网卡的地址设定，只 需选定一组非法的IP并在路由器上将原本企业的地址范围静态路由（Static Routing）设定至防火墙即可。 这是架设防火墙系统最快的方式，而且还可以针对防火墙主机的硬件做效能的评估测试。这种架构使企 业即使未安装防火墙软件，也可使企业内外网络畅通无阻。因此，在未安装防火墙前，企业可先评估这 部硬设备是否可以承载企业网络的频宽；更可以在安装防火墙软件之后评估这套防火墙的效能是否真如 厂商所号称的。假如企业已将机器架设完成但尚未装防火墙之前就已经发觉网络速度太慢，那幺企业则 该考虑将本机升级了。根据主机在网段上的数量来规划网段的大小：一般而言，企业将主机安排在开放网段上的机会并不多， 即使有，设备也不多。主要的原因可能是不需要特别防护、有备份的伺服主机、或要求高效率的频宽。如 果要进行这样的规划，企业就必须将注册获得的地址范围再做切割。以TCP/IP而言，网络区段内主机的 数量是以2n来计算的。例如256、128、64.，4个IP地址。企业可以选择符合规划上需求的IP个数， 然后将它分配至开放网段上；这种方式也较不会引起争议。但接下来面临的问题是如何将剩余的IP数量做有效的使用规划并分配给另一个网段来用。正如刚才所述，TCP/IP的切割只能以2n来计算，因此若 将16个IP地址分配于开放网段上，则剩余240个IP地址。因此，如果企业内部网段采用合法地址的设 定，最多只能利用到128个IP地址，而这将浪费企业的IP地址；除非企业不在乎这样的浪费。如果不想 浪费，则问题如何解决呢？其实只要利用防火墙所提供的网络地址转换功能做搭配，就可以解决这个问 题。方法是将这些IP地址(240个)都当成防火墙系统，用以对应企业内部机器的IP地址资源之用。如 此，还可以将防火墙系统所提供的地址共享(IP Sharing)及虚拟主机(Virtual Host)的功能发挥出来。第三种类型的建置是防火墙系统可随时弹性地增加网络适配卡。如果以三个网络区段而言即可分成数种 网络架构图参考图4)。若企业的网络较复杂亦可选择四个网络区段或五个网络区段或以上。企业可 以这种方式设计多达二十多种以上的配置。这种架构也可让企业在决定切割网络时更有弹性。防火墙的 架构上有一种设计被称为非军事区(De-Military Zone /DMZ)(参考图5)。DMZ网段的设计可完全区隔 网际网络用户及企业内部网络用户。通常置于DMZ网段的主机是为服务公众的主机，例如企业对外的网 站、信件服务器等。这些主机可以经由防火墙的授权让企业内部或网际网络的用户进行资料的存取，而 防火墙也会针对非授权封包的攻击，例如Ping of Death、SNY Flooding等予以拦截并反击。另一方面，企 业更可以利用防火墙系统提供的网络监控及记录分析工具(如果防火墙系统没有提供，可选购辅助的软件) 来评估企业网际网络专线的使用状况是否符合企业效益。如果企业了解这些概念，就可算是抓到防火墙产 品所能提供的功能重点了。网际网络技术的兴起使传统的主从架构运算模式的应用系统逐渐被Internet/Intranet应用系统运算模式 所取代。这样的建置转变是可以预期的，因为企业建置的过程可以更迅速，而且更容易有成果。此外，前 台的共通使用者接口 (Browser)不仅大大地降低到处安装的困扰，也大幅减低人力及训练的成本。根据 Forresh Research Inc.对美国500大企业采用N-Tier架构的调查指出，近七成以上的企业已经建置完成或 者已在计划建置中。在国内，目前最热门的电子商务、网络证券、及网络银行等的应用正带领着企业走 向N-Tier架构的潮流。这种网络运用的安全机制也有一个非常实际的解决方案，可以让企业抓紧获利的 商机又不必担心网络安全的问题。在N-Tier网络架构中，有几个重要的主机及软件套件。主机的部份， 如网站服务器及数据库主机，通常会被放在同一部机器上执行，而这样往往会威胁到资料的安全。因此 建议可以前述的图三网络架构型态来建置企业的网络。首先，企业必须将网站服务器及数据库主机规划 在不同的网络区段上，并将网站服务器置于DMZ网络区段上，另外则将数据库主机置于内部网段内（这 个内部网段是采用非法的IP地址来设计的）。所有与企业联机的用户都会被要求先连上企业的网站，因此 用户如欲存取数据库的资料，是透过网站、以网站的角色间接至内部的数据库主机进行存取（它是非法 IP地址），外界用户完全没有直接至数据库主机存取的机会；如此，所有资料的存取就完全在企业的掌控 之中。反之，如果企业将网站及数据库置于同一台主机之上，有心人士就可利用连接企业网站的机会而 进行企业数据库资料的存取。在这种架构中，除了以上的规划之外，还可搭配防火墙的Proxy功能，让企 业网络更安全。这种方式是将外部存取网站的动作都经由防火墙来进行。如此一来，企业不但建置了 N-Tier 的系统架构，也同样具有N-Tier的安全等级。进行过分析比较的人大多认为目前防火墙市场中各种产品的功能其实大同小异。要使防火墙的功能及架 构能发挥至最大的效益，就完全端赖于企业安全策略规划与落实程度。企业拥有完善安全政策规划并确 实执行，绝对胜过买上百万的软件；而且也不会发生装了防火墙系统后，还被入侵或者必须更换防火墙 产品的窘况。