1.3.7 Internet接入安全

鑒于不同企業(yè)計算機網(wǎng)絡(luò)主要應(yīng)用以及安全需求有所不同，規(guī)劃方案中提供3種常用的局域網(wǎng)共享接入Internet方式，接入設(shè)備分別是路由器、網(wǎng)絡(luò)防火墻和代理服務(wù)器。每一種接入方式支持的用戶并發(fā)訪問數(shù)量、安全性能有所不同，實現(xiàn)成本也有所不同，適用于不同企業(yè)靈活選擇與配置。

1. 路由器接入

“路由器+防火墻”的網(wǎng)絡(luò)出口部署方式是早期最常用的方案，路由器可以NAT地址轉(zhuǎn)換功能，充分確保內(nèi)網(wǎng)服務(wù)器的安全。用戶可以通過在路由器上部署訪問列表，嚴格控制內(nèi)網(wǎng)用戶與Internet之間的數(shù)據(jù)傳輸。在規(guī)模較大的網(wǎng)絡(luò)中，還可以通過在出口路由器上創(chuàng)建專用的網(wǎng)絡(luò)路由，降低用戶端的訪問延時，提高網(wǎng)絡(luò)利用率。

路由器畢竟不是專業(yè)的網(wǎng)絡(luò)安全設(shè)備，因此用戶還必須購置網(wǎng)絡(luò)防火墻，部署在路由器的局域網(wǎng)接口處。這種接入方案的主要特點就是：網(wǎng)絡(luò)架構(gòu)完整但耗資大，適用于大型企業(yè)網(wǎng)絡(luò)。

2. 網(wǎng)絡(luò)防火墻接入

防火墻本身就是專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以有效阻止網(wǎng)絡(luò)攻擊、過濾數(shù)據(jù)包和隔離網(wǎng)絡(luò)訪問。由于防火墻本身自帶多個以太網(wǎng)接口，可以同時連接多個網(wǎng)絡(luò)，并且防火墻本身的訪問規(guī)則設(shè)置即可對連接網(wǎng)絡(luò)之間的訪問進行控制，因此，完全可以在網(wǎng)絡(luò)出口處部署防火墻，用于局域網(wǎng)的共享接入。

目前，大多數(shù)網(wǎng)絡(luò)防火墻產(chǎn)品都提供混合模式的Internet接入方式，即一臺防火墻可同時工作在路由和透明模式下，便于接入各種復(fù)雜的網(wǎng)絡(luò)環(huán)境以滿足企業(yè)網(wǎng)絡(luò)多樣化的部署需求。

3. 代理服務(wù)器接入

代理防火墻方案顧名思義就是通過在網(wǎng)絡(luò)出口處的服務(wù)器上部署代理服務(wù)器軟件，達到局域網(wǎng)共享接入Internet的目的。本例中使用Microsoft公司著名的網(wǎng)絡(luò)邊緣安全產(chǎn)品（Forefront TMG）作為代理服務(wù)器軟件。Forefront TMG服務(wù)器，可以提供如下功能：

● 網(wǎng)絡(luò)防火墻。TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實際需要定制Internet訪問規(guī)則，例如限制特定用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。

● Web訪問緩存。TMG服務(wù)器既是網(wǎng)絡(luò)防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于存儲客戶端請求的Internet數(shù)據(jù)的空間，暫時緩存常用數(shù)據(jù)。當客戶端需要再次訪問這些Internet數(shù)據(jù)時，在局域網(wǎng)中即可完成，提高了客戶端訪問效率。

● 安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過TMG服務(wù)器進行通信時，數(shù)據(jù)封裝好后，將通過VPN隧道進行收發(fā)，充分確保通信過程的安全。