论文部分内容阅读
许多小型企业今天正面临着如何将Internet接进办公室而不超出预算的问题。传统的Internet专线连接意味着昂贵的硬件和专用电路投资,这是许多小型企业无法接受的。而为办公室的每台电脑增加Modem、电话线和Internet连接帐号也是很昂贵的。怎样在有限的预算中,使得小型企业整个网络上的所有计算机能共享一个Internet连接,并且能够提供相应的安全功能,这正是我们今天要讨论的问题。
作为一个发展中的中小型企业,拥有的PC数量一般不超过50台,由于规模的限制,他们不可能拥有一个专业的网络管理员,他可能由一位精通电脑知识的员工兼任,显然他没有太多的时间和精力来进行复杂的网络配置管理,而且缺乏这方面的经验。但是随着Internet的发展,越来越多的业务要在网络上进行,电子邮件、电子商务、网络电话、网络传真,随之而来网络安全问题层出不穷,公司提供了网络资源,但是却没有办法对其进行控制。
解决方案的选择
考虑到具体的情况,在中小企业中,操作系统的平台主要以Windows系列为主,对Internet的使用,主要是包括网页浏览和电子邮件等,主要目的是从Internet上获取信息。所以网络安全解决方案本着以下几个需求进行:
* 投入在一万元人民币以内;
* 管理员不需要专门的培训,就可以操作;
* 整个网络上的所有计算机能共享一个Internet连接;
* 一个安全防火墙保护内部网络不受来自Internet的侵犯;
* Web高速缓存(Cache)能力加强了Web浏览的性能;
* 支持多种常见的网络协议;
* 管理功能使你能够对您的职员在Internet的使用方面进行控制、统计和跟踪。
现在市面上已经提供的比较成熟的产品主要有三类,分别介绍如下:
1.硬件产品
Internet访问路由器:Cisco 1720,D-link,Eicon,上海贝尔等公司的产品,通过一个硬件的黑盒子来完成地址翻译(NAT)的工作。
2.代理服务器
此种方式是使用某些代理服务器软件,把局域网中的某台计算机设为一个Proxy Server,其余的机器则设为Client(客户端),所有客户端机器申请的数据都先存放到Proxy Server上,然后由服务器软件再作分配。和Internet没有直接的联接,提高了安全性,高速缓存(Cache)能力加强了Web浏览的性能。但是这种类型的软件的缺点也是很严重的,首先是设置比较复杂,每一种服务都需要代理才能工作,此外做服务器的那台机器的负担量非常大,要比较好的机器才行,否则速度会很慢,没有实用价值。属于代理服务器类的主要产品有:微软公司的MSproxy 2.0、Netscape公司的Proxy server Wingate等。
3.软件网关
此种方式是在一台计算机上设置一个软网关,利用软网关来完成上网数据的转换和中继的任务。而客户机通过这个网关上网。此种方式较上一种方式,设置比较简单,而且对主机的硬件要求也不高,很适合国内用户使用。属于软件网关类的主要的产品有:Sybergen公司的Sygate 4.0和Tinysoftware公司的WinRoute 4.0。
各种解决方案的性能比较如表1所示:
从以上比较可以看出,软件网关解决方案最适合我们的需求。
我们选择WinRoute作为我们选用的软件。因为它是唯一通过ICSA防火墙认证的产品,虽然它是万元以下的防火墙产品,但是它的功能一点都不逊色。
安装和设置
假设有两台计算机,通过网卡相连,一台有调制解调器,且有关Internet的所有网络配置均已经设好,在本地局域网上的网址为192.168.1.1,在此我们称为主机,另一台无“猫”的机器,在本地局域网上的网址为192.168.1.2。我们可在主机上安装WinRoute。然后打开客户机的控制面板->网络,在TCP/IP协议的属性中添加网关,并指定地址为192.168.0.1,此外在DNS服务器选项卡上也要添加一个DNS服务器地址,同样为192.168.0.1。而主机的网络什么都不用加,因为WinRoute将主机定义为网关,而客户机通过主机这个网关上网。当使用时,主机运行如下:开始->程序->WinRoute Lite 4.1,在其General选项卡上按下Start Engine,使 WinRoute 服务器运行,如此只要主机联上了Internet,客户机就可一样上网完成WWW浏览、邮件收发等多种互联网功能了。
安全设置
基于NAT的高级包过滤设置介绍。
WinRoute在网络地址翻译的基础上,能对底层的包进行过滤,所以,通过设置,可以抵挡住许多的IP欺骗,不合法的数据报,保证公司内部网络的安全。具体设置如图1所示。
1.网络安全日志
为了对通过防火墙的包进行跟踪和统计,WinRoute总共有六种格式的日志记录方式,包括包是否通过防火墙,以及用户的动作,NAT的情况,时间等,六种日志的列表如表2。
2.对用户访问的WWW地址进行过滤
用户可以根据自己的具体需求,建立自己的访问规则,对于不希望本公司员工访问到的网站或内容进行有效的限制,访问过滤规则可以是网址也可以是关键字,具体设置方式如图2所示。
结 论
通过上面的设置,小型企业既解决了上网问题,又可以保障安全的基本需求,不失为一种良好选择。
作为一个发展中的中小型企业,拥有的PC数量一般不超过50台,由于规模的限制,他们不可能拥有一个专业的网络管理员,他可能由一位精通电脑知识的员工兼任,显然他没有太多的时间和精力来进行复杂的网络配置管理,而且缺乏这方面的经验。但是随着Internet的发展,越来越多的业务要在网络上进行,电子邮件、电子商务、网络电话、网络传真,随之而来网络安全问题层出不穷,公司提供了网络资源,但是却没有办法对其进行控制。
解决方案的选择
考虑到具体的情况,在中小企业中,操作系统的平台主要以Windows系列为主,对Internet的使用,主要是包括网页浏览和电子邮件等,主要目的是从Internet上获取信息。所以网络安全解决方案本着以下几个需求进行:
* 投入在一万元人民币以内;
* 管理员不需要专门的培训,就可以操作;
* 整个网络上的所有计算机能共享一个Internet连接;
* 一个安全防火墙保护内部网络不受来自Internet的侵犯;
* Web高速缓存(Cache)能力加强了Web浏览的性能;
* 支持多种常见的网络协议;
* 管理功能使你能够对您的职员在Internet的使用方面进行控制、统计和跟踪。
现在市面上已经提供的比较成熟的产品主要有三类,分别介绍如下:
1.硬件产品
Internet访问路由器:Cisco 1720,D-link,Eicon,上海贝尔等公司的产品,通过一个硬件的黑盒子来完成地址翻译(NAT)的工作。
2.代理服务器
此种方式是使用某些代理服务器软件,把局域网中的某台计算机设为一个Proxy Server,其余的机器则设为Client(客户端),所有客户端机器申请的数据都先存放到Proxy Server上,然后由服务器软件再作分配。和Internet没有直接的联接,提高了安全性,高速缓存(Cache)能力加强了Web浏览的性能。但是这种类型的软件的缺点也是很严重的,首先是设置比较复杂,每一种服务都需要代理才能工作,此外做服务器的那台机器的负担量非常大,要比较好的机器才行,否则速度会很慢,没有实用价值。属于代理服务器类的主要产品有:微软公司的MSproxy 2.0、Netscape公司的Proxy server Wingate等。
3.软件网关
此种方式是在一台计算机上设置一个软网关,利用软网关来完成上网数据的转换和中继的任务。而客户机通过这个网关上网。此种方式较上一种方式,设置比较简单,而且对主机的硬件要求也不高,很适合国内用户使用。属于软件网关类的主要的产品有:Sybergen公司的Sygate 4.0和Tinysoftware公司的WinRoute 4.0。
各种解决方案的性能比较如表1所示:
从以上比较可以看出,软件网关解决方案最适合我们的需求。
我们选择WinRoute作为我们选用的软件。因为它是唯一通过ICSA防火墙认证的产品,虽然它是万元以下的防火墙产品,但是它的功能一点都不逊色。
安装和设置
假设有两台计算机,通过网卡相连,一台有调制解调器,且有关Internet的所有网络配置均已经设好,在本地局域网上的网址为192.168.1.1,在此我们称为主机,另一台无“猫”的机器,在本地局域网上的网址为192.168.1.2。我们可在主机上安装WinRoute。然后打开客户机的控制面板->网络,在TCP/IP协议的属性中添加网关,并指定地址为192.168.0.1,此外在DNS服务器选项卡上也要添加一个DNS服务器地址,同样为192.168.0.1。而主机的网络什么都不用加,因为WinRoute将主机定义为网关,而客户机通过主机这个网关上网。当使用时,主机运行如下:开始->程序->WinRoute Lite 4.1,在其General选项卡上按下Start Engine,使 WinRoute 服务器运行,如此只要主机联上了Internet,客户机就可一样上网完成WWW浏览、邮件收发等多种互联网功能了。
安全设置
基于NAT的高级包过滤设置介绍。
WinRoute在网络地址翻译的基础上,能对底层的包进行过滤,所以,通过设置,可以抵挡住许多的IP欺骗,不合法的数据报,保证公司内部网络的安全。具体设置如图1所示。
1.网络安全日志
为了对通过防火墙的包进行跟踪和统计,WinRoute总共有六种格式的日志记录方式,包括包是否通过防火墙,以及用户的动作,NAT的情况,时间等,六种日志的列表如表2。
2.对用户访问的WWW地址进行过滤
用户可以根据自己的具体需求,建立自己的访问规则,对于不希望本公司员工访问到的网站或内容进行有效的限制,访问过滤规则可以是网址也可以是关键字,具体设置方式如图2所示。
结 论
通过上面的设置,小型企业既解决了上网问题,又可以保障安全的基本需求,不失为一种良好选择。