《企业网络架构方案》.docxVIP

企业架构网络安全方案 网络上”黑来黑去”的事件不断发生，企业或组织可能面临的伤害，轻则只是网页被篡改，但 重则可能蒙受镇额或商业利益上的损失。因此，许多企业组织开始警觉到架设 防火墙的对网 络安全的重要性。 企业在选购、架设防火墙时，一般会考虑的重点不外乎是产品功能、网络 架构、技术支持、版本更新、售后服务等项。 大多数的企业或组织在架设 防火墙系统时，通 常都是从市面上或是系统整合商所建议的产品中开始着手， 但是如何在众多的防火墙产品中 评估各家的优缺点，选择一套满足自己企业组织需求的 防火墙，并且完善地建构企业的安全 机制呢？许多有经验的网络安全管理人员都知道， 这不是一件相当简单或容易的事情。 虽然 企业可轻易地从很多地方例如系统整合商得到各种 防火墙产品的比较资料来作为选购的要 点，但是企业在选定合适的 防火墙产品后却很可能因为未将 防火墙架设的规划也列入选购的 重点之一，因此产生更大的困扰： 该如何将防火墙架设到企业原有网络？笔者经常听闻许多 企业已安装好防火墙，却因为架构的问题而必须重新进行评估， 甚至更换品牌的情形。 确认了符合企业各项功能需求的 防火墙之后，最重要的是还要确认 防火墙系统的硬件在 架设时或日后可以很弹性地扩充网络架构， 以因应企业更新架构之需求。千万别让防火墙系 统的硬件架构，成为建置的限制。 在网络架构方面，可以依据 防火墙系统的网络接口，来区分不同的 防火墙网络建置型态。 第一种类型，是所谓的「单机版」 防火墙。如图1-1的网络架构，这种型态的 防火墙建置 架构，是目前防火墙产品市场中较少被提出的方案。「单机版」的防火墙是针对特定主机作 安全防护的措施，而非整个网络内所有的机器。 这种「单机版」的防火墙对某些企业而言有 一定的需求；例如已架设 防火墙，但需要重点式保护某些主机的企业， 或是只有单一主机的 企业。这种架构从网络的底层就开始保护这台伺服主机，可以彻底地防御类似「拒绝服务 (Denial of Service)的攻击，因为这类攻击可能不单来自外界或者是网际网络，亦可能来自同 一个网络区段上的任何一台机器。 因此，架设这种「单机版」的防火墙绝对会提升在同一个网络区段上的 服务器的安全等级。 另一种网络架构的建置类似图1-2的架构，号称为「入侵终结者(Intrusion Detection Monitor n ,其防护的对象不是一部伺服主机，而是在同一网络区段上监听封包， 对丁非 法的封包加以拦截并送出TCP/IP表头的RST讯号以回绝对方的联机。这种作法必须随时去网 第二种类型是利用防火墙系统实际区分两个网络区段，如图 2。如果与防火墙的网络地 址转换(Network Address Translation) 的功能做搭配，这样建置的网络架构就有不同的变 化。在如此多种的网络架构下，企业可以从下列几点考量来决定要建置何种架构： 企业是否使用防火墙系统所提供的应用程序代理服务(Application Level Gateway/Proxy)的功能：如果企业已经准备使用防火墙系统所提供的应用程序代理服务(俗 称Proxy),那幺可能只有三种架构 (图3-1、3-2、3-3)可供选择。因为使用Proxy则代表 所有应用程序的存取都必须靠防火墙这部主机来作对外存取。 如果这部防火墙主机是使用一 组非法注册的网络地址(Illegal IP Address)作为防火墙对外网卡的网络地址， 则这些对外 的存取动作就无法完成。 原有的企业主机IP设定是否不变更：一般在建置防火墙时最令人头痈的部份就是网 段的切割及IP的分配。 企业通常希望原有的企业网络机器设定变更越少越好，但这似乎是 不太可能的事情。 可是类似(图3-4、3-5)的做法却能够解决这种困扰。这种架构将原路由 器的地址移做防火墙系统内部网络卡的地址之用， 因此原本设定在企业内的机器就全部不需 要做变更。至丁路由器及防火墙系统的对外网卡的地址设定， 只需选定一组非法的IP并在 路由器上将原本企业的地址范围静态路由(Static Routing) 设定至防火墙即可。 这是架设 防火墙系统最快的方式，而且还可以针对防火墙主机的硬件做效能的评估测试。 这种架构使 企业即使未安装防火墙软件，也可使企业内外网络畅通无阻。因此，在未安装防火墙前， 企 业可先评估这部硬设备是否可以承载企业网络的频宽； 更可以在安装防火墙软件之后评估这 套防火墙的效能是否真如厂商所号称的。假如企业已将机器架设完成但尚未装防火墙之前就 已经发觉网络速度太慢，那幺企业则该考虑将本机升级了 根据主机在网段上的数量来规划网段的大小： 一般而言，企业将主机安排在开放网段 上的机会并不多，即使有， 设备也不多。主要的原因可能是不需要特别防护、有备份的伺服 主机、或要求高效率的频