网络边界的管理问题

因特网与内联网（Intranet）交界的区域称为“Border＂（边界）。网络边界的安全性是企业实现与因特网连接必须解决的一个关键问题，因此许多厂家都提供防火墙产品，以便在“Border＂建立一种保护壁垒。据国际计算机安全协会（ICSA）统计，在所发生的入侵事件中有80％是来自防火墙内部。因此，“Border＂需要既防外贼又防内贼。

企业与因特网连接带来的另一个问题是如何控制对因特网的外部访问，一些职员可能会在网上从事与工作无关的活动。这不仅影响职工的工作效率，而且无谓地增加了网络的负荷。为此软件供应商提供了内容过滤器，以控制职员对某些因特网站点的访问。

与安全性问题紧密相关的另一个问题是性能问题。防火墙的过滤作用延缓了信息通过它的速率，迫使企业不得不在安全和性能之间做出折衷的选择。针对这一问题，软件厂商采取了诸如代理缓存等多种性能强化手段，以减缓防火墙对性能的影响。

企业与因特网相联所带来的许多问题都是因为没有正确地管理好网络的边界。换句话说，企业在接入因特网中遇到的问题完全可以在边界上解决，而无须对网络内部作调整。例如：在边界上加装防火墙，可保证内部网安全；在边界进行地址翻译，可解决IP和IPX地址非法问题；在边界上加装缓存服务，可提高网络访问速度；在边界上加装VPN服务，可把各分支机构和合作伙伴连成一个整体。从一定意义上讲，边界是企业接入因特网时的灵魂，因此边界的管理也就至关重要。

业界现有的方案

管理边界可以采用硬件的方法，也可以采用软件的方法。事实上，在硬件的实现中，边界管理的算法也是通过软件来实现的。

1）防火墙

防火墙是保证边界安全的最好形式，它是边界的数据过滤器，过滤的数据包括从低层的数据包到高层的应用。防火墙提供三个层面上的数据过滤：数据包过滤、电路网关过滤和应用程序代理过滤。

纯软件防火墙有CheckPoint的FireWall－1和Novell的BorderManager。相对硬件而言，软件防火墙配置灵活，过滤高层数据性能强。

BorderManager的防火墙服务与NDS紧密集成，可针对不同用户设定不同的规则。它在数据包过滤层增加了一对规则：源接口（Source Interface）和目标接口（Distination Interface），用于判断数据的流向。在电路级层面上提供了SOCKS和Novell IP网关，通过对SOCKS的支持，用户可以将BorderManager设置为一个防火墙部件，置于现有防火墙的前端、中间或后端。BorderManager的应用代理过滤很有特点，它可提供多种代理，还包括一个TCP类和UDP类代理，允许进行其它附加代理的设置。另外，BorderManager提供一个CyperPatral的目标内容过滤器，它可以根据内容拒绝用户访问某些站点。

2）VPN

专用网（VPN）的核心技术是边界上的协议封装和因特网上的安全传输。信息的安全即保证信息的保密性和完整性，这可通过数据加密和签名实现。信息传输通过“隧道＂实现，目前有四种隧道协议：PPTP、L2TP、IP Sec和L2F。软件方式实现的VPN其协议封装和数据加解密由软件完成，特点是实现简单，无需额外硬件，其速度与处理器能力密切相关。

BorderManager采用纯软件的方法构筑VPN，隧道技术采用IPSec标准，其安全性更高。BorderManager的VPN接入形式有三种：站到站方式，即各站点服务器运行BorderManager，利用因特网实现两个以上的站点互联；客户机／服务器方式，在服务器上运行BorderManager，用户运行客户端软件，通过拨号或其它方式登录到服务器；外联网方式，企业通过因特网，将它的合作伙伴的网络连到一起。

3）网络缓存

由于出口带宽的限制，边界上的网络加速是用户接入网络最迫切的问题。一种理想的软件方案就是缓存服务，即在网络边界加装缓存服务器，保存用户访问过的网络资源。由于对缓存的保存和查找等策略不同，各种软件方案各有特点，速度也有较大差异。其中，BorderManager通过双向代理，保存了用户最近访问的网络资源，从而加快了网络访问速率。

BorderManager软件提供三种缓存设置：

●客户机加速：缓存服务器置于客户机和因特

此新闻共有2页 1 2