近年來資安問題層出不窮,如何建立完善的資安防禦機制已是網路架構的首要考量。無論規模大小的企業,在規劃網路架構時都必須考量基礎安全防護、應用頻寬管理、進階網路部署三大方向。
隨著世代轉變,惡意程式只有型態演變而沒有消失,惡意程式及駭客以各種方式滲透企業資訊系統,一旦成功入侵,所有機密都成為駭客的囊中物。此外,時下熱門網站皆使用SSL加密技術傳輸以確保個資的安全,但反面來說加密技術也會成為駭客掩護惡意程式或釣魚網頁的變相漏洞,藉以規避防毒偵測,達到植入惡意程式的目的。
要解決這些新世代的資安威脅,早期的防毒軟體恐怕已經無法完全阻擋多變的惡意程式,建議企業用戶由源頭開始做為防護的第一線,使用支援深度數據封包並針對掃描多層級技術、多種協議、檢查端口和基於協議的防火牆,且最好能夠支援SSL加密偵測才是首選。管理者也必須定時更新特徵碼授權,讓任何檔案進入企業的同時也能夠與特徵碼資料庫中的惡意軟件特徵碼即時比對,達成最準確、零時差的網路防護。
企業架構通常會有許多的廣域網路與外界網路進行連線,若欠缺良好的廣域負載平衡機制(WAN Load Balance)或對內負載平衡機制(Inbound Load Balance),可能會造成部分線路流量負載過重,此外,使用者的上網行為也可能造成頻寬佔用,輕則拖累傳輸速度,重則影響企業交易運作。
該怎麼有效的管理頻寬,實為管理者一個重要的課題。建議企業用戶所採用的網路負載平衡必須可以依照需求設定不同的分流規則,將頻寬分散於各廣域網路,才能同時提升企業網路的品質,也加強網路運作的可靠性。至於用戶端的頻寬管理,則必須採取網頁過濾以及應用程式控管來保障網路流量的分配使用,促進工作效率並避免頻寬浪費。
相較於頻寬流量的管理,網路的斷線問題更是企業萬萬不得發生的,除了內部穩定度的問題,還必須因應分公司或是合作專案去建立VPN虛擬專屬網路,其穩定度也事關重大。
事前的預防工作便是管理者應當在網路佈置時所應當考量的重點。建議管理者採用主動-主動負載平衡或主動-被動故障切換多重網域,抑或是經由USB行動網卡與行動寬頻結合達到網域備援機制;而對外所建立的虛擬專屬網路,則建議採用IPSec VPN HA(負載平衡和故障切換回復)確保企業永不斷線的高穩定性網路服務。此外,遠端使用者也可以透過電腦或行動裝置使用安全的SSL、IPSec 或L2TP VPN與公司內部取得連線,提升企業用戶通信安全度。
(本文作者現任合勤科技網路事業總處資深協理)