1.3.7 Internet接入安全
鉴于不同企业计算机网络主要应用以及安全需求有所不同,规划方案中提供3种常用的局域网共享接入Internet方式,接入设备分别是路由器、网络防火墙和代理服务器。每一种接入方式支持的用户并发访问数量、安全性能有所不同,实现成本也有所不同,适用于不同企业灵活选择与配置。
1. 路由器接入
“路由器+防火墙”的网络出口部署方式是早期最常用的方案,路由器可以NAT地址转换功能,充分确保内网服务器的安全。用户可以通过在路由器上部署访问列表,严格控制内网用户与Internet之间的数据传输。在规模较大的网络中,还可以通过在出口路由器上创建专用的网络路由,降低用户端的访问延时,提高网络利用率。
路由器毕竟不是专业的网络安全设备,因此用户还必须购置网络防火墙,部署在路由器的局域网接口处。这种接入方案的主要特点就是:网络架构完整但耗资大,适用于大型企业网络。
2. 网络防火墙接入
防火墙本身就是专业的网络安全设备,可以有效阻止网络攻击、过滤数据包和隔离网络访问。由于防火墙本身自带多个以太网接口,可以同时连接多个网络,并且防火墙本身的访问规则设置即可对连接网络之间的访问进行控制,因此,完全可以在网络出口处部署防火墙,用于局域网的共享接入。
目前,大多数网络防火墙产品都提供混合模式的Internet接入方式,即一台防火墙可同时工作在路由和透明模式下,便于接入各种复杂的网络环境以满足企业网络多样化的部署需求。
3. 代理服务器接入
代理防火墙方案顾名思义就是通过在网络出口处的服务器上部署代理服务器软件,达到局域网共享接入Internet的目的。本例中使用Microsoft公司著名的网络边缘安全产品(Forefront TMG)作为代理服务器软件。Forefront TMG服务器,可以提供如下功能:
● 网络防火墙。TMG服务器提供了灵活的防火墙策略配置,允许管理员根据实际需要定制Internet访问规则,例如限制特定用户访问Internet、禁止浏览视频网站等。
● Web访问缓存。TMG服务器既是网络防火墙,又可以作为Web访问代理服务器。管理员可以在TMG服务器上开辟专用于存储客户端请求的Internet数据的空间,暂时缓存常用数据。当客户端需要再次访问这些Internet数据时,在局域网中即可完成,提高了客户端访问效率。
● 安全VPN接入功能。通过TMG服务器创建VPN连接,能够很轻松地建立起各种情况下的VPN连接。当本地计算机要和远程计算机通过TMG服务器进行通信时,数据封装好后,将通过VPN隧道进行收发,充分确保通信过程的安全。