建立防火牆的主動性網路安全防護體系

賽迪網資訊中心 2006/10/10

防火牆和其他反病毒類軟體都是很好的安全產品，但是要讓你的網路體系具有最高級別的安全等級，還需要你具有一定的主動性。

你是不是每天都會留意各種駭客攻擊、病毒和蠕蟲入侵等消息？不過當你看到這些消息時，也許你的系統已經受到攻擊了。而現在，我要給你介紹一種更具主動性的網路安全模型，通過它，就算再出現什麼新病毒，你也可以對企業的網路系統感到放心。

類似于防火牆或者反XX類軟體(如反病毒、反垃圾郵件、反間諜軟體等)，都是屬於被動型或者說是反應型安全措施。在攻擊到來時，這類軟體都會產生相應的對抗動作，它們可以作為整個安全體系的一部分，但是，你還需要建立一種具有主動性的安全模型，防護任何未知的攻擊，保護網路安全。另外，雖然在安全方面時刻保持警惕是非常必要的，但是事實上很少有企業有能力24小時不間斷的派人守護網路。

在實現一個具有主動性的網路安全架構前，你需要對現有的主流網路安全體系有一個大概的了解。防護方法包括四個方面：防火牆、VPN、反病毒軟體，以及入侵檢測系統(IDS)。防火牆可以檢測數據包並試圖阻止有問題的數據包，但是它並不能識別入侵，而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的電腦間建立起一個受保護的專用通道，但是它並不能保護網路中的資料。反病毒軟體是與其自身的規則密不可分的，而且面對駭客攻擊，基本沒有什麼反抗能力。同樣，入侵檢測系統也是一個純粹的受激反應系統，在入侵發生後才會有所動作。

雖然這四項基本的安全措施對企業來說至關重要，但是實際上，一個企業也許花費了上百萬購買和建立的防火牆、VPN、反病毒軟體以及IDS系統，但是面對駭客所採用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程式內部的漏洞，它可以被駭客利用，用來攻擊網路、竊取資訊，並使網路癱瘓。據2004 E-Crime Survey(2004 電子犯罪調查)顯示，90%的網路安全問題都是由於CVE引起的。

具有主動性的網路安全模式是對上述四種安全措施的綜合管理，使得用戶可以從這四種安全措施中獲得最大的安全性，同時也是為用戶添加一個漏洞管理系統。在這種系統中，一個更有效的防火牆可以正確的攔截數據資料。一個更有效的反病毒程式則更少機會被激活，因為攻擊系統的病毒數量更少了。而IDS則成為了一個備份系統，因為很少人能入侵系統而激活報警機制。而使用漏洞管理系統來防止CVE帶來的入侵則是整個系統最重要的部分。

為什麼這麼說呢？從上面提到的調查看，95%的攻擊是由於系統的漏洞或對系統的錯誤配置而造成的。在現實生活中也是一樣，大家都試圖將竊賊拒之門外，而很少考慮到當盜賊已經進入屋子後該怎防護。正如你不會在外出時讓大門敞開，為什麼不給網路再加一把鎖呢。

實現主動性的網路安全模型

那麼作為一家企業的技術人員，你該如何保護企業的網路呢？下面我會介紹幾個簡單的步驟，幫助你實現一個具有主動性的安全網路。首先你需要開發一套安全策略，並強迫所有企業人員遵守這一規則。同時，你需要遮罩所有的移 動設備，並開啟無線網路的加密功能以增強網路的安全級別。為你的無線路由器打好補丁並確保防火牆可以正常工作是非常重要的。之後檢查系統漏洞，如果發現漏洞就立即用補丁或其他方法將其保護起來，這樣可以防止駭客利用這些漏洞竊取公司的資料，或者令你的網路癱瘓。以下是各個步驟的實現細節：

開發一個安全策略

實現良好的網路安全總是以一個能夠起到作用的安全策略為開始的。就算這個安全策略只有一頁，公司的全體人員包括總經理在內，都必須按照這個策略來執行。基本的規則包括從指導員工如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如，你應該有針對客戶的財產和其他保密資訊的備份策略，比如一個鏡象系統，以便在災難發生後可以迅速恢複數據。在有些情況，你的BCP和DRP也許需要一個“冷”或“熱”的站點，以便當災難發生或者有攻擊時你可以快速將員工的工作重新定向到新的站點。執行一個共同的安全策略也就意味著你向具有主動性安全網路邁出了第一步。

減少對安全策略的破壞

不論是有限網路，還是NB或者無線設備，都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟體、防火牆軟體，同時卻安裝了很多點對點的傳輸程式(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟體等，它們都是網路安全漏洞的根源。因此，你必須強制所有的終端安裝反病毒軟體，並開啟Windows XP內建的防火牆，或者安裝商業級的桌面防火牆軟體，同時卸載點對點共用程式以及亂七八糟的聊天軟體。

封鎖移動設備

對於企業的網路來說，最大的威脅可能就是來自那些隨處移 動的NB或其他移 動終端，它們具有網路的接入許可權，可以隨時接入公司的網路。但是正因為它們具有移 動特性，可以隨著員工遷移到其他不安全的網路並暴露在駭客的攻擊之下，當這些筆記本電腦再次回到公司的網路環境時，就成了最大的安全隱患。其他無線終端也和NB有類似的情況。

據Forrester Research調查，到2005年，世界總共將有3500萬移 動設備用戶，而到2010年，這個數字將增加到150億。我們不是數學家，不需要具體算出到底這些移 動設備會給企業的網路增加多少受攻擊的幾率，只需要知道這將是企業網路安全所面臨的巨大考驗。任何一個系統都有可能由於未經驗證的用戶的訪問而被感染。

通過安全策略，你可以讓網路針對無線終端具有更多的審核，比如快速檢測到無線終端的接入，然後驗證這些終端是否符合你的安全策略，是否是經過認證的用戶，是否有明顯的系統漏洞等。

開啟無線網路加密功能

在無線網路系統中，無線網路加密 (Wireless Encryption，WEP)應該處於開啟狀態，並應該設置為最高安全級別。而且管理者的用戶名和密碼需要經常及時更換。但是這些措施也並不能夠完全防止駭客通過你的無線路由器入侵企業內部網路。這是由於在大多數無線路由器中，都包含有目前尚未被修補的CVE，駭客可以利用這些CVE進行攻擊。一些高級的駭客會下載免費的工具對這些漏洞進行更高級的利用，以此完全攻破你的安全系統。

為無線路由器做更新，並使用其內建的防火牆功能

我強烈建議用戶在使用無線路由器即時更新產品的韌體，而且如果無線路由器有內建防火牆功能，一定學習如何使用並配置它，開啟這個防火牆。你也可以限制同時接入無線路由器的用戶數量，如果企業員工數量不是很多，完全沒有必要讓路由器設置為可以接納無限多的用戶。比如企業只有十五個員工，那麼就設置無線路由器只能同時接入十五個連接好了。

設置你的防火牆

雖然防火牆並沒有特別強的安全主動性，但是它可以很好的完成自己該做的那份工作。你應該為防火牆設置智慧化的規則，以便關閉那些可能成為駭客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口，因此你需要為防火牆建立規則，遮罩所有系統上的1045端口。另外，當筆記本或其他無線設備連接到網路中時，防火牆也應該具有動態的規則來遮罩這些移 動終端的危險端口。

目前與安全有關的商業軟體相當豐富，你可以從網上下載相應的產品來幫助你保護企業網路。這類產品從安全策略模板到反病毒、反垃圾郵件程式等，應有盡有。微軟也針對系統的漏洞不斷給出升級更新。所有這些工具都可以有效地提升網路的安全等級，因此你應該充分利用它們。

禁止潛在的可被駭客利用的對象

“瀏覽器助手(BHO)”是最常見的可被駭客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的，由於它可以將外界的資訊存入你的系統，因此對網路安全來說是一個威脅。有些人利用BHO對象開發出了間諜軟體，並儘量將起隱藏起來。一般來說，間諜軟體都會不斷變種，儘量避免被流行的間諜軟體檢測程式所發現，直到間諜軟體檢測程式進行了升級。如果你想看看自己的系統中到底有多少BHO，可以從Definitive Solutions公司的網站上下載BHODemon工具進行檢測。

BHO是通過ADODB流對象在IE中運行的。通過禁止ADODB流對象，你就可以防止BHO寫入文件、運行程式以及在你的系統上進行其他一些動作。要禁止ADODB流對象，你可以訪問微軟的技術支援頁面。

留意最新的威脅

據電腦安全協會 (CSI)表示，2002 CSI/FBI電腦犯罪和安全調查顯示，“電腦犯罪和資訊安全的威脅仍然不衰退，並且趨向於金融領域”。因此，你需要時刻留意網路上的最新安全資訊，以便保護自己的企業。網路上很多地方可以提供最新的安全資訊。

系統上已知的漏洞被稱為“通用漏洞批露”(CVEs)，它是由MITRE組織彙編整理的漏洞資訊。通過打補丁或其他措施，你可以將網路中所有系統的CVE漏洞彌補好。目前通過工具軟體，你可以快速檢測系統的CVE漏洞並將其修補好。有關這方面更多的資訊，你可以查閱cve.mitre.org網站。

總的來說，一個具有主動性的網路安全模型是以一個良好的安全策略為起點的。之後你需要確保這個安全策略可以被徹底貫徹執行。最後，由於移 動辦公用戶的存在，你的企業和網路經常處在變化中，你需要時刻比那些駭客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步，你應該時刻具有主動性的眼光並在第一時刻更新的你安全策略，同時你要確保系統已經安裝了足夠的防護產品，來阻止駭客的各種進攻嘗試。雖然安全性永遠都不是百分之百的，但這樣做足可以使你處於優勢地位。