构筑立体化数据防泄密体系(二)

2 业界 防泄密 介绍
为了解决企业面临的机密数据的泄密问题,现阶段国内外应用较广泛的手段有:数据权限管理技术、数据加密技术、数据防泄密技术、行政管理手段等。

2.1 数据权限管理技术

数据权限管理技术一般通过集中的权限管理中心,对每一个文档的访问权限进行控制。用户访问文件时,需通过权限管理中心服务器验证与授权后方可正常使用文档。数据权限管理技术的主要优点是集中管理和授权,可以决定数据的访问和使用方式。但此类系统大多需要特殊的阅读器,只能对特定格式文件进行控制,不能防范被授权用户的主动泄密。数据权限管理系统在一定程度上可以控制数据文件的传播和使用,但是仍然存在着很大的不足。

2.2 数据加密技术

数据加密技术的思路就是将受保护的机密文件进行加密存放。它的主要优点是能够阻止没有密码的人非法获取信息,即使丢失数据也没关系。数据加密常见的方式有基于应用程序插件的主动加密、基于API拦截的主动加密、基于文件系统驱动技术的主动加密等。但是无论哪种加密方式,对于密钥的管理复杂性较高。同时它同样存在着只能对特定格式文件进行控制、不能防范被授权用户的主动泄密和文档作者的主动泄密等不足。

2.3 行政管理手段
行政管理手段的主要优点是能够从管理制度上对用户使用机密数据进行限制。行政管理控制的有效性主要依赖于个人的自觉性和自主性,以及个人的职业道德水平,缺乏一些有效的技术手段对这些应用数据的流转、外送和存储,进行有效地跟踪审计,甚至是实时阻止和保护。完全依赖行政管理手段,不可避免的会由于安全意识不足或者个人利益驱使,发生核心机密数据的外泄情况。

2.4 数据防泄密技术

数据防泄密技术通过使用多种内容感知技术,发现敏感或机密数据,其工作原理主要由数据发现、数据监控、数据防止与审计3个模块来实现。数据防泄密技术的优点是能够实时审计、阻止机密数据的外泄,是一种过程控制策略。但是还存在因未主动加密,导致诸如硬盘物理拆卸拷贝造成的数据泄密等问题。

综上所述,由于目前没有一种防泄密技术可全面满足企业机密数据精细化控制、防护的策略,需综合运用管理手段与各种防护技术,实现数据防泄密体系化的构筑,才能满足企业防泄密的需求。

构筑立体化数据防泄密体系(三)

3 立体化数据防泄密体系的构筑

3.1 立体化数据防泄密体系的框架

立体化数据防泄密体系的思路是围绕“你是谁”、”谁能用“、”谁乱用“为控制点,利用行政管理手段进行流程规范管控,同步实施严格的终端准入控制,并综合利用数据加密与权限管理技术、数据防泄密技术对应用数据的流转、外送,存储,进行有效的跟踪、审计、实时阻止与保护,达到企业枧密数据防泄密的要求,整体框架如图l所示。

3.1.1 行政管理手段
通过行政管理手段梳理企业机密数据,明确机密数据的等级,规范机密数据的审批流程、加密规则、授权要求、使用责任及义务;同时通过制定完善的考核办法为各种防泄密技术的实施提供管理保障。

3.1.2 统一身份认证与终端准入控制

建立企业统一的身份认证体系,确保企业员工在使用机密数据的过程中身份的唯一性,解决“你是谁”的问题。
实旄严格的终端准人控制策略,对终端进行身份认证及合规检查,非认证、非合规终端无法接入企业网络;解决了终端的“谁能用“问题,并控制“谁乱用”现象。

3.1.3 数据加密与权限管理系统
部署数据加密与权限管理系统,实现对需要加密的文档进行细密授权管理,加密文档能够授予只读、修改、打印、离线等权限满足了企业机密数据精细化权限控制的要求,解决了数据“谁能用”的问题。

3.1.4 数据防泄密系统
数据防泄密系统,以下称之为DLP系统,通过发现敏感或机密数据,在跟踪其用户的使用行为,记录或阻止敏感信息泄漏,通过自动识别、自动监控、自动稽核保护的方式实现对机密数据的安全保护,解决了数据“谁乱用“的问题。

3.2 立体化数据防泄密体系的部署
3.2.1 行政管理手段的部署
通过对企业数据的梳理,明确定义公司年度工作会等l5类为企业机密数据,同时将机密数据分级,进一步制定了分层、分级的权限矩阵表。如表l列举了公司年度工作会的权限矩阵表。

所有企业机密数据在使用、传播,存储过程中,公司规定必须依据权限矩阵表,使用数据加密与权限管理系统进行合规貹的加密与授权,不得私自扩大知悉范围,防止泄密。
此外,公司保密管理部门定期进行重要机密数据的使用审计,对未做好机密数据管理的单位与个人,直接通过绩效进行考核。

3.2.2 统一身份认证的部署
身份管理是指企业管理终端用户和网络实体整个安全生命周期的过程。结合当前业界统一身份管理技术和产品的最新发展和趋势,建设了以”统一身份管理“和”统一登录验证“为核心的统一身份认证实施方案,如图2所示。

通过统一身份认证系统的实施,不但解决使用机密数据的过程中身份的唯一性,同时提高了应用程序安全性,降低了企业管理成本,改善了用户体验。

3.2.3 终端准入控制的部署
实施严格的终端准入控制策略,终端必须加入公司的AD域且安装终端监控客户端软件。由终端监控客户端软件进行身份谁和安全合规性检查,才能接入办公网络。安全合规性检查包括终端的基本防护策略、是否安装数据加密与权限管理系统与DLP系统等。

合规性检查合格,则允许进入企业核心网络,否则进入修复区,如图3所示。
规范统一的终端准入管理,整体提高接入终端的安全防护等级,有效防范蠕虫病毒可能引发的防泄密风险,阻止了非认证、非合规终端的接入。

3.2.4 数据加密与权限管理的部署

数据加密与权限管理系统通过部署DSM系统实现了对需要文档进行加密授权管理,实现了对企业机密数据的分层分级授权,同时确保了企业机密数据离开企业内部环境后的不可读性,防范机密数据因丢窃、盗取等原因造成的数据泄密,如图4所示。

3.2.5 数据防泄密技术的部署

根据数据源走向分析,总结出了本地硬盘、移动介质、截屏拷贝、电子邮件等l4种泄密途径。基于泄密途径,制定出了明确的管控方式。表2列举了其中3种泄密途径及管控方式。

基于管控方式与防泄密策略,在DLP系统上部署了l2种策略参数。表3列举了其中检测向外传送的数据中是否包含l5位或l8位身份证号码的客户信息与是否包含客户账单两种策略参数的设置。

经验证,通过泄露途径的管控与策略参数的部署,能够有效的检测机密数据的存储及流转,由DLP系统完成告警、记录、审计和阻止。

3.3 立体化数据防泄密体系的应用效果

根据研究成果和项目实施,2010年起开始在某电信运营公司部署并快速应用。经实践证明,通过数据防泄密管理体系的构筑,将数据防泄密从以前的“事后查找取证”转变为现在的“事前预防审核“,有效降低了可能对企业经营造成危害的各项信息风险。

4 下一步研究方向
(1)进一步加强DLP系统和DSM系统两种技术的自动结合,以实现敏感信息的完整生命周期管理;
(2)研究在互联网出口和无线WLAN环境下的密文破解和如何进行更有效的实时拦截防护。

智能Ping32局域网监控系统

在企业管理中为什么需要 Ping32 局域网监控软件 来辅助管理?

随着计算机技术、网络通信技术、视频编码技术、数字图像处理等技术的快速发展,网络监控系统作为现代化管理手段越来越多地进入到各种应用领域.中小企业采用网络监控系统既可以用作安全保卫监控,又可以用于生产管理调控和劳动纪律监控,可整体提升企业的管理水平.现代企业监控系统一般采用智能局域网监控系统 .

下载试用
监控技术的发展经历了传统监控技术和现代智能网络监控技术两个阶段.传统的监控系统一般都是闭路电视监控系统,采取模拟信号传输图像,通过监视器监视现场情况.其缺点是所有的信息都集中于监控中心,无扩展传输及控制能力,这种基于模拟信号的监控技术限制了传统监控系统的发展.智能局域网监控系统则是利用计算机网络技术及多媒体信息处理技术实现的网络数字监控系统.监控的视频、报警、控制信号可传至网络上的每一个节点,可以利用计算机网络在不同的地点同时监控、控制远程的某些场所,同时控制云台、镜头等设备及时获取各种信号,进行远程指挥.

智能局域网监控系统以计算机网络为平台,系统主要是通过IP地址来识别所有的监控设备.系统具有布控区域广阔的特点,视频信号可通过网络任意调看,扩展了布控区域;而且系统具有很强的扩展能力,所有设备都以IP地址进行标识,设备增加只是意味着IP地址的扩充.

智能局域网监控系统技术实现的关键是采集信号的数字化和信号传输的网络化.数字化首先应该是系统中信息流(包括视频、音频、控制等)从模拟状态转为数字状态,信息流的数字化、编码压缩、开放式的协议,使智能局域网监控系统与安防系统中的各个子系统间实现了无缝联接,并在统一的操作平台上实现管理和控制.系统采用多层分级的结构形式.系统的硬件和软件采用标准化、模块化和系统化设计,使系统具有通用性强,开放性好,系统组态灵活,控制功能完善,数据处理方便,人机界面友好,系统安装、调试和维修简单化,系统安全可靠等优势.

Ping32 局域网监控软件 就是这样一个纯软件构架的智能局域网监控系统,为您的企业管理提供有力保证.

基于远程桌面配合边界策略的穿透

作为网络管理员,经常需要通过远程桌面连接运行着各类业务的Windows服务器或网管PC,Windows白带的远程桌面无疑是各种远控工具之中的首选,它来源干系统,获取方便,而且能自如地进行远程与本地的文件交互,在Windows远程维护工具排行榜中名列前茅。除此之外,还有诸如PCAnywhere、VNC等耳熟能详的远程控制工具,但如果网管员需要在园区网络以外进行远程连接,我们又该怎么办呢?下面以笔者近年来使用过的穿透办法为例,探讨在相对安全的情况下可采用的穿透途径。

首先介绍一下笔者的应用环境,园区网络拥有两条出口,固区内所有的计算机均使用教育网实IP,DMZ中服务器所有发起和进入的连接都走教育网,包括网管PC在内的其他计算机均通过边界路由使用策略路由规则,一部分园医对外访问通过伪装走电信出口,其余仍以实IP走教育网出口。除位于DMZ区域服务器开放少数对外服务端口,边界路由均拦截由外向内发起的所有连接,即不可直接请求其他计算机任何端口。

基于远程桌面配合边界策略的穿透

远程桌面是基于RDP协议图形界面、多通道的远程管理协议,最初随同终端服务出现在Windows NT 4.0上,在通信时使用TCP的3389监听数据。随着Windows2000/XP/Server 2003的更新发展,逐步具备了打印机转向、24位颜色、声音转向、文件系统转向、通讯端口转向等强大便捷的功能。园区网络或内部网络的安全策略通常会关闭对外联系的3389端口,以规避早些年终端服务出现的各种安全问题和缺陷,但不使用图形桌面的远程控制,叉难以较好控制和管理Windows,因此需要对“3389”做‘点变通。

策略一,既然服务器位于DMZ允许开放少数相对安全的通讯端口,那么将3389改为其他服务的默认端口或不常见高端端口,继而实现对服务器远程控制的内网穿透。修改远程桌面的通信端口,在注册表编辑器中找到Hkey_local_machineSvstemCurreritcontrolsetControlTerminal serverWdsRdpwdTdsTcp,将其下的Portnumber值从3389修改为任意的高端端口,如13579.修改时注意选择十进制数字。然后在边界路由上放开相应IP及端口号从而实现非默认端口内网穿透。此举可以简单地避免直接对3389这个高危端口的扫描和嗅探。

策略二,直接修改服务器注册表难免不够严谨,直接从园区外控制服务器毕竟安全性也是有限的,改进的办法是增加网管PC作为跳板——即在园区外直接访问园区内的一台网管PC,再从网管PC上嵌套登录需要维护的目标服务器。网管PC不在DMZ区域,享有两条出口,放开其在教育网上的端口意义不大,由于其从电信出口访问是采用的IP伪装,因此可在防火墙上定义端口转发规则,即在IP3上将任意一高端端口号映射到被控主机IPl的3389端口。

以上两种策略都是基于端口号的变换,相比之下,策略一实现的远控外部网络必须回到教育网,而公众网通常与教育网互联较慢,受网速影响,远控的效率和体验也较差。策略二灵活利用了电信出口,使园区外与园区内之间享有较高速的网络连接,并且即使有“好奇者”扫描到了相应开放的端口,也不能准确把握对应的计算机和路由,具有一定的迷惑性,能够确保安全性。但这两种策略都需要得到出口安全策略在端口上的支持,若能定期修改这些变化后映射的端口号,也能在一定程度上迷惑“好奇者”,减少端口暴露的机会,有意或无意的网络扫描也难以找到目标,减轻端口开放后的安全威胁。

CAN总线网络监控软件设计之-方案设计

2.1 功能
CAN总线 监控软件 需具备的功能包括CAN总线通信(数据接收与发送)、数据处理(数据解析与存储)和数据应用(将数据展示为图表,数据回放等)。

2.2 功能模块关系

CAN总线的监控过程即是对通信数据的处理过程。软件首先通过与CAN总线上的节点通信来接收和发送数据,然后将这些数据记录在文件中,同时对数据进行分析处理,软件根据 由用户所设定的数据格式对数据解析,最后是对数据信息的应用,根据用户的设定,可以对数据进行表展示,曲线绘制或者历史回放。

2.2.1 通信

通信是 监控软件 获取数据信息的方式,也是软件的基础 。它的主要功能是接收和发送CAN总线中节点的数据,是数据解析和应用的来源。监控节点需要连接到 CAN总线网络中。

2.2.2 数据记录

数据记录模块是将接收或者发送的数据以一定的形式记录在文件中,用以对数据进行后期分析,或者通过回放功能复现CAN总线状态。为能达到复现的,此记录文件需记录的信息包括原始数据包和收发时间,时间信息具体内容为通信数据的时间间隔,基于此回放功能更加真实模拟网络中的状态。

2.2.3 数据分析

数据分析模块是整个监控软件的核心,它负责按照用户设定的解析模式将收发数据报解析为可以理解的信息值。每一帧数据的解析过程可以分为以下3步:(1)定位。通过数据帧格式来定位每个信息在数据包中的起始位置,将数据包分组。(2)截取。通过起始位置和数据长度,可以截取到所需的数据。(3)转换。由于截取所得到的数据为原始数据,所以需要将其转换为可以理解的信息。

2.2.4 数据应用

数据应用是指软件对用户所提供的数据服务。本软件实现了以下几个功能来应用数据:(1)数据表。用于向用户提供所需要的信息,展示总线数据。(2)绘图。根据用户需要对某些需要显示数据变化的内容进行曲线绘制。(3)回放。将存储于文件中的历史数据按照收发时间顺序重新播放,以重现网络状态,它为用户提供了一种调试网络的简单方式。

CAN总线网络监控软件设计之-设计需求

CAN总线网络即控制器局域网络(Cmtroller AreaNetwo.k,CAN),是由德国BOSCH公司在20世纪80年代为解决现代汽车巾众多的控制与测试仪器之间的数据交换而开发的一种串行数据通信协议,可实现点对点、一点对多点及全网广播3种方式的发进和接收数据。传输的数据采用CRC校验,能够有救地降低误码率。CAN总线的通信介质可以是双绞线、同轴电缆或者光导纤维,通信速率可达1 MB/s。由于具有通信速度快、可靠性高、价格便宜等特点,使CAN总线成为应用广泛的现场总线之一。

当前,市面上已有多种CAN蕾线的分析测试工具.如广州周立功公司的CANalvse.德国Ve.to.公司的CANce等。这些软件工具具有较强的功能,但对于一些小型CAN网络开发组件来说,其附加费用较大,基于此考虑,本文提出了一种功能完善、操作简洁的CAN网络监控系统设计方案,可达到对CAN总线运行情况监测分析的目的。

设计需求

通过对一些通用CAN总线 监控软件 的分析,并结合设计提出的实现一个较为通用的CAN总线监控软件的要求,可以将此软件的设计需求总结如下:

(1)具有适应CAN控制器各种工作模式的功能,用户只用稍加配置,便可以将此软件用于具体的CAN总线网络的监控中。

(2)具有用户自定义数据帧格式及其解析方式的功能,以使此软件可以满足不同环境下的使用要求,对用户所需要的数据内容进行解析。

(3)具有数据可视化显示功能,如数据表展示数据,图形绘制数据曲线等方式。使用户可以较为直观地对网络数据和状态进行监控。

(4)具有将通信中的数据信息进行分类的功能,方便用户对数据的分析。

(5)具有查看历史数据的功能,将历史数据记录下来,并提供一种方式实现对历史网络状态的重现,方便用户调试。

局域网监控软件

CAN总线网络监控软件设计之-技术和测试

关键技术
1 数据解析
鉴于CAN总线的应用广泛,从汽车到工业现场的应用,所需要监测的信息不同,故软件对数据的解析方式也不相同。数据的解析过程需要用到用户所定义的数据格式,这里使用XML文件来描述数据帧的内容。如图6所示,帧ID为OxO1的数据内容包:一个 16位数据表示的温度值,信息类型为整数;一个 16位数据表示的压力值,信息类型为正整数。
2 数据回放
回放功能是将历史数据及当时的网络状态按照原过程如实演示,使用的数据源是从历史记录文件中获取的。记录文件由记录模块将总线数据按照时间顺序写入文件中生成,使用回放功能是将所记录数据按顺序读入,按照记录时间模拟当时的顺序实现回放功能,用户可通过应用功能再次使用数据表、绘图来呈现数据。
测试
在实际应用中,将监控节点接入CAN总线网络中,完成软件设定后,便可开启对总线的监控。使用数据表显示所测得信息的正确性,并验证通信是否正常。所生成的数据表如图7所示,显示信息来自节点1和节点3,以及发自它们的温度和压力值。使用绘图功能将此温度变化绘制为曲线图形.

本文提出了一个CAN总线 网络监控软件的方案,并描述了此软件的设计方法和所使用到的关键技术。依据此方案,实现了一个较为通用的CAN总线 监控软件 ,它可通过分析由用户设定传输数据格式的方式,自动对数据进行解析,可满足大多数CAN总线的监控需求。在应用中,它可帮助用户调试和测试网络,有效提高工作效率。通过实际测试,验证了此方案的可行性。但是,本文提出的设计方案也有局限性和进一步提升的空间。在后续研究和设计中,可以将数据融合技术逐步加入到软件对数据的分析中,并可将此工具演化为一种通用的软件中间件,以便进行更多的应用。

企业监控员工孰是孰非?

现在是早上9点,你知道你的员工在哪里吗?

为了最大限度地”挤压”出员工的工作效率,确保员工老实呆在他们的办公桌前,很多公司启用了复杂的电子跟踪系统,跟踪对象是白领男女们。

纽约一家律师事务所配备了新型的打卡机,每个人进出办公室时,都要将手指放在门口的一个传感器上。事务所的合伙人之一德尔克说:”我希望知道员工在午餐上用了多长时间,这个仪器让每个人变得诚实。到现在为止,我们的工作效率得到了很大的提高。”

对24岁的助理律师万达来说,公司的这套生物测定系统实在让人吃惊。“我换过3个工作,还从来没见过这玩意儿,”她说,”但当午间休息结束后,把拇指放在传感器上能让我更清醒地意识到自己回到了工作状态。现在,如果午间需要外出的话,我很匆忙,因为我是真的在赶时间。”

北美的三菱电机厂则使用一个电脑系统来记录员工的工作时间。在某个特定的时间段里,500个白领员工中有多少人正在工作,电脑终端上一目了然。这个系统还可以跟踪2600名蓝领工人的动向。以前,工人们都在纸上填写出入工厂的时间,但现在,他们每人手持一个可供系统自动识别的身份牌。会计部经理安妮说:”我们每天都会查看这个系统,我们所掌握的数据能显示出,有多少人的工作效率和他们拿的薪水是相称的。”

这些做法遭到了职场权利维护者的反对。他们认为,电子监视系统经常会侵犯员工的私人空间,如果管理者要用每分钟检查一次员工的物理位置来判断他们是否在工作的话,那么,他是个不合格的管理者。另外一些人认为,当工人受到如此严格的监控时,他们的士气和效率反而会下降。粘在办公桌前是衡量工作态度的标准,但不是唯一的标准。如果没有一个鼓励灵活性和创造性的工作环境,员工就没有发挥个性的空间。他们相信,应该用更好的方法去激励员工,而不是拴着他们。

企业在上班时间监控员工的工作情况有着一定条件下的法律支持,对待这项事物我们不能一口定音地说孰是孰非,企业有着自身的考虑,而且企业监控员工也确实对一些企业的生产率的提高有着很大的作用,对企业安全(包括数据安全)有着重要的意义;另一方面,监控给员工的不仅是一种行为准则的检测,也是对员工的一种不信任和隐私的一种可能的侵犯。对此,Ping32 局域网监控软件 提醒您,企业监控员工不是不可以,而是要用好,要和员工沟通好,要注意保护员工的隐私。

巧用由路器封杀P2P提高共享上网速度

在使路由器共享上网的时候如果感觉速很慢的话可以通过修改路由器设置常用的软件的域名给限制了效果还是非常好的。

如果ADSL带宽比较少的话,360safe、microsoft6的域名也可以禁用安装360安全卫士的人还是蛮多的,这两个域名会自动被访问!其它域名,大家发挥一下想法吧。其它路由器品牌过滤域名的方式不同,比如tp-link就是采用(*.pconline.com.cn)这种方式,这里就不一一举例说明了,操作方法雷同。

自从过滤域名后,好了一段时间,网速慢的情况又发生了,没办法笔者进入后台,仔细一看发现有一个用户经常访问pplive被路由给过滤了,这说明他是打开pplive软件,为了证实过滤域名有没有效果,笔者安装了最新版的pplive软件,一运行发现对pplive一点作用都没有。接着笔者用IP雷达分析PPLIVE访问的域名,把这些域名抓出来,然后再过滤,再测试还是一样没有半点效果,最后宣告方法失败!

功夫不负有心人啊,下一步该怎么做呢?

过滤域名行不通就从IP策略入手!PPLIVE没有默认的IP服务端口,所以必须想个比较灵活的方式去限制!打开IP访问控制界面。因为所有的网站软件,都是通过端口来进行通讯的,比如QQ采用4000、8000,网页采用80,但是这些P2P软件并不是采用固定的IP端口来工作的,所以在控制的时候就要把规则写得周全一些,经过上网搜索相关资料,和使用IP雷达分析种种P2P端口的情况,发现P2P一般是采用3-4位数的UDP端口而且是随机变化的,抱着试试看的心态,增加几个规则还是有效果的,为了不影响正常软件的使用,又增加了几条可允许访问的端口的规则。

开放QQ4000-8000端口。QQ是大家经常用的聊天和通讯工具,当然是允许使用了开放常用端口21-443,注意了都是TCP端口,这条规则包括了很多常用的端口,如21FTP,80HTTP,25,110,443为HTTPS端口,收发网页邮箱和网上银行经常要用的,别忘记了。禁用的端口分了两部分,笔者选择从444-7999,8006-65535,考虑路由器智商太低把开放的端口也限制了,TCP和UDP笔者都限制了,就是为了保险起见。

最后保存重启路由,再拨号,PPLIVE搞定了,再测试其它P2P有关的软件都打不开了!

另外提醒大家,不要一味地使用什么P2P终结者类型的软件去限制网速,采用本方法限制了P2P下载后,几个人打开网页的速度还是能接受的。虽然家用路由器功能简单,没有企业级别的路由器功能强大,只要用心去摸索还是会有惊喜的,比如限制IP段,限制MAC,有些家用路由还有限制带宽的功能,这些并不是什么高深的技术,大家可以举一反三!

这种方法家庭用户的话,还是比较合适的,但是由于操作精度不够,而且不能区别对待用户,所以对企业用户来说显然是不够的。企业用户需要进行局域网(或者跨网段)管理的话,可以试用一下Ping32 局域网监控软件 ,它不但可以记录员工电脑的任意操作,而且还可以远程控制员工电脑,批量禁止特定员工进行P2P拦截,网址限制等,非常方便而且精准。

防火墙和路由器两种设备的七大不同

很多用户认为网络中经有了路由器以实一些简的包过滤功能为什么还要用防火墙呢以下我们通过防火墙与业界应用多具代表性的路由器在安方面的对比来阐述为什么用户网中有了由器还需防火墙。

1、两种设备产生的根源不同

路由器的产生是于网络数据包由而产生的路由器需要完成的是将不网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确地到达、到达时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。

2、根本目的不同

路由器的根本目的是:保持网络和数据的“通”。防火墙的根本目的是:保证任何非允许的数据包“不通”。

3、核心技术的不同

通常路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用:企业内网的一台主机,通过路由器防火墙对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-内,只允许client访问server的tcp 1455端口,其他拒绝。针对现在的配置,存在的安全脆弱性如下:存在上述隐患的原因是,路由器防火墙不能监测TCP的状态。如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号则可以彻底消除这样的脆弱性。

同时,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。虽然,路由器的”lock-and-key”功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供telnet服务,用户在使用时也需要先telnet到路由器上,使用起来不方便,同时也不够安全(开放的端口为黑客创造了机会)。

4、安全策略制定的复杂程度不同

路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。防火墙的默认配置既可以防止各种攻击,达到能用又安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

5、对性能的影响不同

路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器防火墙的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应地增加,而防火墙采用的是状态包过滤,规则条数、NAT的规则数对性能的影响接近于零。

6、审计功能的强弱差异巨大

路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的响应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件记录。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。

7、防范攻击的能力不同

多数路由器普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果坱要具有这样的功能,就需要升级为IOS为防火墙特性集,此时不但要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:

具有防火墙特性的路由器成本>防火墙+路由器。

具有防火墙特性的路由器可扩展性<防火墙+路由器。

综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程序不是决定是滞应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙是网络建设中不可或缺的一部分,对于通常的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。

在企业中还需要用到网络管理软件来规范和管理员工上班时间的上网行为,而路由器+防火墙的配置显示是不够的。当然,有的路由器也集成了这个功能,但是使用起来比较麻烦,而且不能对员工桌面进行监控,以及远程管理,这时我们就需要一款好的 局域网管理软件 了, Ping32 局域网监控软件 就是这样一款功能强大的局域网管理软件,需了解多请门查看使用教程。