立体防护 智联控管
——Internet出口安全综合解决方案

　
　　摘要  2011年末CSDN“泄密门”事件，一石激起千层浪，引发了中国信息安全讨论和热议大潮，Internet被称为“信息高速公路”，是一个企业对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟，众多行业都相继推出了网上业务系统，Internet已经成为重要的业务处理方式之一，相应的，Internet出口也成为安全重灾区。

　　Internet出口安全是网管人员最头痛的安全区域之一，在与多位网管人员的交流中发现，各种攻击威胁、网速过慢、流量失控、如何合理利用多链路带宽以及网管软件复杂是网管人员提及最多的Internet出口面临的几个安全问题。

　　一、 Internet出口安全面临的挑战

　　1. 出口防火墙NAT性能瓶颈

　　Internet出口设备要支持NAT（地址转换）是已经形成共识的。一方面，园区网使用私有地址，访问Internet需要进行NAT；另一方面，即使园区网络通过电信或者网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT等于给出口设备增加了一项很重要的任务，其也成为了上网速度慢的一个重要原因。究其根本，设备的NAT转发性能是一个很大的原因。

　　2. Internet出口的日志审计影响防火墙的性能

　　公安部“82号令”规定对Internet出口的用户信息记录、用户上网记录、地址转换记录、设备状态记录等都有要求。但实际应用中（如图2所示），很多防火墙在开启日志功能以后，性能会急剧下降，从而成为出口瓶颈，直接影响Internet出口的网速。

　　 
　　3. 种类繁多的应用层威胁

　　Internet出口面临众多的应用层威胁，主要包括以下几类。

　　 木马、病毒。计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体，病毒有多种传播途径，可以通过网络、移动存储介质和上载、下载、拷贝文件等方式进行传播。木马指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。木马可造成多种危害，如让受害者成为傀儡机、记录键盘操作过程等，并发送给攻击者，还可能导致用户敏感信息泄露，如帐号、密码等。Internet网络上大量肆虐的木马、病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络（如图3所示）；网络一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。