寻找可靠的防毒助手——中小企业安全策略ACL、NAT大比拼
中小企业
很多中小企业往往没有额外的经费购买中高端防火墙和入侵检测系统,对于这些企业的网管来说,防范病毒与黑客攻击非常困难。于是,很多网管想到了通过其他手段来尽可能地完善企业安全系统。
在众多防范措施中,ACL(访问控制列表)与NAT(网络地址转换)是最常用的技术,在路由/交换设备上使用这两种技术的网管不在少数。那么它们的工作原理存在哪些区别呢?究竟哪种技术更适合中小企业的实际情况呢?
中小企业的抉择
1.需求分析
中小企业既没有条件高薪聘请专门的高级网管负责企业网络的维护,也没有足够的经费购买可靠性高、安全性好的入侵检测系统、硬件防火墙。因此中小企业的网络安全防范工作一直是网管比较头疼的问题。
实际上我们并不一定要抱着防火墙这一根稻草不放,真正行之有效的网络安全防范手段有很多,其中有些是融入到网络设备中不需要支付额外费用的。我们应该尽可能地挖掘这些手段和技术,通过缜密的网络规划、设计,加大现有设备的利用率,让它们发挥100%的能力参与到中小企业的内部网络安全防范工作中,这样可以大大提高效率、节省资金,从而省力、省钱、高效地完成“安防”工作。
2.为什么关注ACL和NAT
根据笔者的经验,对于经费紧张无法购买防火墙等安全设备的企业来说,最常见的防范病毒与黑客入侵的免费技术就是ACL(访问控制列表)和NAT(网络地址转换)了。
通过ACL可以对网络数据包的进出/转发进行规则性的过滤,从而禁止病毒或黑客攻击数据包的通过;通过NAT一方面可节约公网地址,另一方面可有效地保护企业内部的计算机,将内网放到路由器的保护伞下,将病毒与黑客入侵阻挡在企业网络大门之外。
总体上讲这两种手段作为辅助防范手段的表现还是非常不错的。那么这两种技术究竟适合什么场合?哪个技术更好呢?下面我们就从多个角度多个方面来比较。
能力大比拼
在这一部分,ACL(访问控制列表)和NAT(网络地址转换)会上演一场能力大对决,通过它们在对决中的表现,作为中小企业网管的你可以从中了解它们在安全防范方面的工作能力,从而选择适合自己的“安全助手”。
第一回合:工作原理比拼
总体上讲不管是访问控制列表还是网络地址转换,它们都不可能百分之百的使企业网络免受病毒和黑客的攻击,但只要合理运用这些技术来搭建安全防护体系,就可以大大提高企业的网络安全。
●访问控制列表
所谓访问控制列表(ACL),就是指通过在路由/交换设备上添加一条访问控制指令来封锁某个端口,并限制某地址对外/对内访问的功能,它能提高企业网络防病毒和黑客攻击的能力。
一般一条ACL指令包括源地址、源端口、目的地址、目的端口、时间队列等信息,网管可在数据包通过路由/交换设备时对数据包内容进行检测,然后和访问控制列表中的条件进行对比,满足条件的将容许通过,不符合要求的数据包(即病毒或攻击型数据包)将被丢弃。
在防范病毒和黑客攻击方面,访问控制列表做得非常灵活,可以按照实际需要进行设置,添加ACL命令。不过,由于访问控制列表的防范形式是被动式的,需要提前知道病毒所使用的端口,对未知病毒的防范能力较低。
●网络地址转换
网络地址转换(NAT)则是通过NAT技术将企业内部网络和外部网络进行隔离,所有数据在通过路由/交换设备时都需要进行NAT转换,说白了就是内部地址通过NAT转换为另一个地址,即使黑客对转换后的地址发动攻击,所有入侵手段也会被路由/交换设备阻止。正因如此,通过NAT转换后,内部计算机得到了保护,外界的病毒和黑客将无法直接攻击内部计算机,企业内网变得更加安全。
网络地址转换的优点是功能和防火墙相似,使内部计算机得到保护,可以防范病毒(包括未知病毒)和黑客的直接攻击。缺点是对于能够穿越内网的病毒没有任何防范作用,而且对于发自内部网络的连接请求没有防范作用。当攻击的起点在内网时,各种攻击和病毒会利用NAT传播到内部计算机。
本环节结论:从工作原理来看对于未知病毒的防范,网络地址转换要好于访问控制列表,而安全防范功能也是NAT占优。本环节NAT获胜。
第二回合:配置方式灵活性比拼
像ACL、NAT这样普遍应用于路由/交换设备的技术,要想非常容易的上手,主要看它的配置方式。那么访问控制列表和网络地址转换两种技术该如何在路由/交换设备上设置呢?下面简单比较一下它们在配置方式方面的表现。
●访问控制列表
首先要设置访问控制列表名称和序号。然后添加访问控制列表规则,一般一条规则对应一组源地址、源端口、目的地址、目的端口的过滤。在规则设置中,操作比较复杂,需要提前规划好,否则一旦某一条规则输入错误就很难修改。接下来,进入某端口通过应用命令在该端口上开启访问控制列表过滤功能。
由此可见,在配置方面,访问控制列表的优点是设置起来比较灵活,头脑清晰、技术高超的网管可以依次添加几十条甚至上百条的访问控制策略来有效管理网络数据包的入和出。它的缺点是对技术水平要求比较高,需要提前规划好。
●网络地址转换
在路由/交换设备上开启网络地址转换功能非常简单。首先设置一个地址池用于地址转换。然后添加一个访问控制列表,一条基本ACL命令即可设置容许通过NAT转换的地址信息。接下来在数据入方向的接口上执行NAT IN命令,在数据出方向的接口上执行NAT OUT命令。如果有部分主机(例如服务器)要求直接“宣告”(即容许外界直接访问该IP地址而不需要通过NAT转换),则需要输入服务器“宣告”命令。
网络地址转换设置简单,几条命令即可,规划也不复杂。除了要知道“宣告”服务器的地址外,其他信息基本可以忽视。不过,它的缺点也非常明显,一条指令没有输入或输入错误就会造成整个NAT地址转换失效。
本环节结论:在设置方面,访问控制列表更加复杂,而NAT要简单不少。不过日后需要改动和维护的话,访问控制列表管理起来更加灵活,可以按照实际需要去配置,而NAT的灵活性要差一点。本环节两者打平。
第三回合:扩展功能比拼
很多时候,某些技术提供的常规应用之外的扩展功能非常有用,那么NAT和ACL在扩展功能方面哪个更强呢?
●访问控制列表
访问控制列表体系除了常用的基于地址和端口的ACL外,还可以设置基于时间的ACL,可以设置上班时间如何操作、下班时间如何管理数据包;还可以通过反向ACL的命令实现对病毒与黑客攻击的主动防范。
●网络地址转换
网络地址转换的扩展功能比较有限,只有上面提到过的“宣告”服务器。而网络地址转换中的多对一、一对一、多地址对多端口等扩展设置,对于防范病毒攻击没有任何作用。
本环节结论:访问控制列表利用多个扩展功能可以提供更多的防范措施,因此在这个环节上访问控制列表获胜。
第四回合:资源负载大小比拼
对企业的路由/交换设备来说,它们的性能是由自身的CPU占用和内存占用情况决定的,任何指令和命令要想在路由/交换设备上生效都需要占用一定的资源,如果资源占用过高就会严重影响路由/交换设备的运行效果。那么访问控制列表ACL和网络地址转换NAT的资源占用情况又如何呢?
●访问控制列表
国内某大型路由/交换设备生产厂家的技术人员曾经告诉笔者,在进行测试时,如果在路由器上添加2000条访问控制列表,那么会有32MB的内存资源被占用,添加10000条访问控制列表后会占用64MB内存资源,添加30000条访问控制列表后会占用128MB内存资源。因此对于大多数路由/交换设备来说都可以灵活应对1000条以上的访问控制列表过滤规则。
●网络地址转换
同样是来自某大型路由/交换设备生产厂家的数据,在测试时,如果路由器上开启NAT,那么当网内有1700条连接请求时,将占用32MB内存资源;当网内有8000条连接请求时,将占用64MB内存资源;当有20000条连接请求时,会占用高达128MB的内存资源。
注意,这里所说的连接请求并不是一台计算机对应一个连接,要知道一台计算机可以产生上百个连接请求,例如很多人常用的BT等软件就会产生多个连接请求。
本环节结论:访问控制列表大获全胜。
总结:经过多个方面的比较,访问控制列表的优势更加明显,通过访问控制列表可以最大限度的提高内网安全性,减小企业网络被病毒与黑客攻击的几率。