因地制宜,選擇適當的設備防護內部
網路型防毒閘道器大多採硬體設備的形式設計,建置在封包進出的戰略要道上,但在複雜的企業網路中,如果還要增加防毒閘道器,「建置位置」就成為重要的課題。閘道防毒非萬能
絕大多數的企業在建置防毒閘道器時,會選擇放在企業網路的進出口,藉由防毒閘道器過濾所有進出的封包,我們稱之為In-Line模式。
這種建置架構可以確保所有進出網際網路的封包都是乾淨且安全的,只要該位置的設備效能良好,就能有效防護外界的病毒蠕蟲入侵,不過這種架構,卻不能防護來自內部網路病毒感染擴散。假如公司資訊安全政策未嚴格限制人員進出攜行的行動儲存裝置,包括筆記型電腦、軟碟、光碟或USB快閃碟,哪麼這些裝置還是不會經過閘道防毒設備的檢驗,有可能形成防護的漏洞。選擇適當模式,降低建置難度
在網路設備中,我們時常會聽到Transparent、Bridge、Route或是Proxy等多種建置模式,但是這些名詞又代表了哪些類型的建置方式?
橋接模式(Bridge Mode)以實體連接的方式,過濾所有流經設備的封包,對現有環境影響最小。只要確定需要安裝的位置,將線路接上網路流入與流出設備的網路埠之後,就可以開始過濾病毒。這種方式對於已經建置好內部網路,並且不希望變動現有環境的企業是最佳的作法。但是在選擇支援Bridge模式的設備時,必須要留意設備效能是否足以應付所需,以及日後可能的發展空間,不然當流量大於設備的負荷量時,就只能採購新設備了。
路由模式(Route Mode)能隱藏設備背後的內部網路,從外部網路窺視,僅能看到這部設備,可避免外部攻擊直接影響到設備防護的主機。對於網路架構較單純,或是新建網路區域的企業而言,Route模式能夠省去不少建置時的困擾,並且可以透過設備內建的安全政策,同時管理多個網路區域,而且除了防毒之外,還能夠提供其他資訊安全防護的能力。不過採用Route模式,需要事前做好規畫流量轉送與DMZ的設定,避免建置後造成連線問題。
不論橋接模式或路由模式,都可支援透通模式(Transparent Mode)。可以透通所有合法的封包,在不同網路之間得知彼此的存在,降低管理上的負擔,並減少網路界接時可能發生的問題。
Proxy模式需要修改用戶端電腦的設定,將SMTP、POP3、HTTP或FTP等流量轉向至防毒閘道器上,藉由防毒閘道器過濾之後再行轉送。這種方式對頻寬有限,或是不需要檢視所有封包的企業相當有利,因為作為Proxy使用的防毒閘道器,不需要特別擺放在網路閘道上,只要是在內部網路可以連接的位置即可。如果頻寬允許,甚至可以要求各個企業分據點統一經由企業總部的防毒閘道器過濾,減少設備支出。
不論選擇何種建置模式,企業需要先瞭解內部網路的架構,以及需要保護的主要區域位置。在一個PC端已經充分安裝防毒軟體的區域,防毒的優先順序就可以降低,讓較重要的伺服器區段得到較多的保障。善用多功能設備,加強防護
在主閘道進出口位置附近,存在同樣都需要處理封包的多種網路設備,如防火牆、負載平衡、及VPN等設備。許多廠商因此推出功能整合的防毒閘道器,藉由該設備提供多項網路功能,降低管理難度,增加設備適用率。
雖然多功能設備讓管理更方便,卻不能忽略效能問題。因為防毒閘道器需要比對每個封包的特徵及模式,才能找出病毒,通過的封包量越大,負擔越重,容易造成效能降低。大多數的整合型防毒閘道器都包含了垃圾郵件過濾、負載平衡、防火牆、VPN等功能。
依據攻擊模式而言,有許多病毒/蠕蟲攻擊都是從電子郵件開始,這些郵件幾乎都被視為垃圾郵件。而以封包過濾的方式而言,檢視郵件的標頭、主旨及附件類型,會比檢視整個封包來的快且有效率,因此許多的防毒閘道器都會附加垃圾郵件過濾的功能,先行過濾各種垃圾郵件,以降低防毒引擎的負載。
搭配負載平衡功能的防毒閘道器,多半採用路由模式或是透通模式,藉由連接多條網際網路連線,提供企業彈性調整頻寬的功能,保持連線順暢不會中斷。加上防毒功能則能夠過濾有害封包,讓企業內部網路保持乾淨。這樣的設計雖然可以提供良好的頻寬調控功能,但仍然要注意連接的頻寬是否超過設備所能負荷。內建防火牆的設備,則是可以先在第二層至第四層阻擋不合法的封包進入,再過濾合法通道進入的封包,能夠降低設備負擔並且提高運作效率;加入VPN功能則是可以讓合法且安全的封包直接通過,不需經過檢查,避免影響傳輸效率。
多功能設備最大的問題,在於是否能夠同時啟動與負擔多種功能。單純防護病毒,需要過濾所有的封包,再加上其他功能,很容易造成處理器的負擔過重,降低傳輸效能。
主幹道上還是可以技巧性的使用整合型防毒閘道器。如果企業日常使用網路的方式是以電子郵件、瀏覽網頁、檔案傳輸等方式為主,採用整合型設備的影響不大,可以使用所有的功能,以降低管理負擔、精簡成本;如果企業需要的是敏感度較高的服務,像是VoIP、視訊會議或是線上交易的話,應選擇效能較好的整合型設備,或是採用單一功能的防毒閘道器,避免因為開啟過多功能造成效能降低,進而影響網路效能。文⊙羅健豪
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-10
2024-11-11
2024-11-11
2024-11-12