安全伺服器網路

計算機安全學會（Computer Security Institute）本周發布了一項調查報告稱，去年聲稱網站受到攻擊的公司數量急劇增多。計算機犯罪與安全調查是由計算機安全學會與聯邦調查局駐舊金山市辦公室的一個計算機侵入調查小組共同展開的，調查發現在被調查的公司中有85%的公司的網站在2007年遭到了10次以上的攻擊，比2008年上漲了5%。

為適應越來越多的用戶向Internet上提供服務時對伺服器保護的需要，新一代防火牆採用分別保護的策略對用戶上網的對外伺服器實施保護，它利用一張網卡將對外伺服器作為一個獨立網路處理，對外伺服器既是內部網的一部分，又與內部網關完全隔離。這就是安全伺服器網路（SSN）技術，對SSN上的主機既可單獨管理，也可設定成通過FTP、Telnet等方式從內部網上管理。

最初的防火牆只有兩個網路接口，用於區域網路和外網的隔離，然而在防火牆的使用過程中，用戶發現區域網路中的對外提供服務的伺服器（例如郵件伺服器、WWW伺服器等）比其他區域網路設備遭到入侵的可能性要高很多，而這些伺服器一旦被入侵，有可能會被作為跳板攻擊整個區域網路。為了解決這個問題，需要在防火牆中增加一個網路接口，專門用於接入安全伺服器網路（SSN）。如圖所示，在SSN網路中通常放置一些不含機密信息的公用伺服器。

SSN網路的訪問策略描述如下：

1、區域網路可以訪問SSN網路

區域網路可以通過FTP或Telnet管理SSN網路內的伺服器，並享受這些伺服器提供的服務。

2、外網可以訪問SSN網路

SSN網路中的伺服器可以向外網提供服務。

3、SSN網路訪問區域網路受限制

SSN網路不允許主動向區域網路發起連線請求，只允許回應區域網路的請求數據包。這樣即使SSN網路中的伺服器遭到入侵，也不會對區域網路中的設備造成影響。

4、SSN網路不可以訪問外網

SSN網路不允許主動向外網發起連線請求，只允許回應外網的請求數據包。該策略有例外情況，例如SSN網路中的郵件伺服器需要訪問外網，否則不能正常工作。

區域網路和外網通過網路地址轉換（NAT）訪問SSN網路中的伺服器。網路地址轉換是將一個地址域映射到另一個地址域，以達到隱藏網路地址的目的。SSN網路中的伺服器對內服務時映射成區域網路地址，對外服務時映射成外網地址。

來自於網路外部和內部的層出不窮的網路病毒、黑客攻擊、非授權訪問等對企業信息安全的危害已經到了十分嚴重的地步。黑客一般對所入侵的網站做如下危害性操作：篡改頁面、損毀檔案、盜取客戶信息、操縱網路交易。

例：僅在3月18日一天，就有北京通州投資促進網、國家林業局野生動物保護司、石獅市地方稅務局等幾十家政府網站的首頁或其它頁面被黑客掛上了木馬，同時北京語言大學、西南石油大學等十多所大專院校的網站也同樣慘遭“掛馬”。然而現在企業還是靠簡單的防火牆、防病毒軟體、入侵檢測等獨立、零散的安全部件已經不可能真正保護企業網路安全正常運轉。 必須有一個系統、全面的安全產品與專業服務相組合的整體解決方案才能保障網路的真正安全；而中小企業很難建立完善的安全系統，更難建立一支專職的安全技術專家隊伍，所以由專業的安全服務提供商利用高效的安全防火牆對網路進行安全管理控制，並結合網路的實際情況提供專家分析、建議及事件處理等專業服務，是解決安全問題的有效途徑。

目前企業網的基礎網路設備及組網模式已非常成熟和穩定，其建設相對比較簡單，企業自己來建設和維護無論從技術還是建設難度來講都不太大 ，但關鍵的網路安全防護工作對於各級別的企業，都存在很大的技術難度，而這方面一旦出現問題，對企業的正常運行將造成重大危害。