www.Azblink.com 2007/12/03 | 第002期
 
 
     
1. 新品上市:鴻奇科技最新推出「Azblink Border Control Proxy」多區域規則設定,安全彈性兼具!邊界控制路由、路由、應用代理
                        三合一,保護企業零缺失!

2. 版本更新:各位親愛的經銷伙伴,Q&A ( 常見問題 ) 更新囉!請上網進入「產品支援服務」的「線上說明」之
       「常見問題」,補充一下新知吧!

3. 促銷活動:Azblink Mail Proxy +IBM x3250 1U 伺服器特惠價$45,000(未稅),特惠期間11/26~12/31止,
         再送160G SATA硬碟,送完為止,請把握良機!

4. 得獎訊息:第八屆國家品質保證金像獎得獎,我們已經獲得證書了,讓大家嘗鮮一下 >>觀看證書,關於授獎單位有興趣
      請參考以下網址:http://www.icet.org.tw/award_3.htm,有詳盡介紹喔!期待明年初的正式授獎!

 
     
1. Webmail新增Samba功能
2. Mobile mail 手機收發郵件
3. 支援產業(如Google, Yahoo) 最新的eMail郵件認證標準如 DKIM, DK Signature, SPF, Send ID等,
 確保郵件主機的真實合法性,以使郵件收送流暢。

 
     
經過數年的努力,李先生擁有一家頗具規模的玩具生産公司。公司初創時期,幾台電腦,幾條網路線,甚至都沒裝掃毒軟體和邊界控制路由。公司發展到一定階段,管理人員逐漸增多,添置了更多電腦。李先生意識到網絡架構和安全的重要性,也知道光憑掃毒軟體是遠遠不够的,於是聘請了專職的MIS人員。MIS到職之後,著手架設邊界控制路由,陸續將web伺服器、郵件伺服器和FTP伺服器等建立起來。李先生對此很滿意,認爲從此可以高枕無憂。

一個工作日的下午,各部門突然發現電腦運作速度减慢,莫名其妙的當機,有些重要文件或丟失、或被修改得面目全非,某些員工甚至無法用滑鼠控制游標。繁忙的作業嘎然中斷,MIS人員拔除網路線開始緊急處理。拜訪客戶回來的李先生剛踏進門即看到這一情形,又被告知因駭客襲擊丟失了很多重要資料,頓時又急又氣。資料丟失事小,核心商業機密若洩漏給競爭對手,造成的損失不可估量!李先生開始擔憂邊界控制路由的有效性,駭客一攻即破,公司機密要如何保護?

於是,李先生指示MIS儘快拿出有效的解决方案,切實保障公司資訊安全。MIS經過數天的學習與向之前公司同事和大學同學們請教後,得到一個普遍的答案:要爲公司網絡建置一個DMZ分隔區,將那些對外提供服務的主機置於該區域,這樣既不影響正常通訊,又能爲企業內部網絡增加一道有力屏障,就算駭客入侵也只能癱瘓DMZ區,將傷害減到最低。只是在價格上含有DMZ功能的硬體邊界控制路由皆所費不貲;若是選用軟體邊界控制路由,在原本的網路架構與設定上也需大動干戈,重要的是沒有把握架得起來,壓力頗大…

以目前駭客在網際網路猖獗的情形,這個案例,可說是許多任職於中小型企業MIS人員心中的痛,
我們將問題大致歸納如下:
1. 含有DMZ功能的硬體邊界控制路由在價格上都相當昂貴,對一般中小型企業來說絕大部分是望之卻步。
2. 若使用軟體邊界控制路由或至LINUX OPEN SOURCE網站,下載免費的軟體邊界控制路由來架設,雖然降低了成本,
 但卻沒有十足把握架設得起來,日後的維護以及修正更新又是一個惱人的問題。

Azblink爲您療傷解痛,從此不再煩憂DMZ:
1. 只要準備一台PIII以上的PC電腦(建議至少256MB記憶體,10GB硬碟),加3個網路Port,輕鬆安裝Azblink Border Control
 軟體,15分鐘立即擁有一台內建3個網路Port的DMZ硬體邊界控制路由。
2. Azblink Border Control軟體擁有Border Control Proxy、Port forwarding、NAT、DNS、DHCP…等功能,有效提供跨網域溝通並
 絕對兼顧資訊安全問題。
3. 鴻奇科技軟體三年保固,並可支援遠端連線維護,及時為您解決問題。
4. 鴻奇科技Web site提供豐富的線上操作說明與使用者說明文件,24小時全年無修。
5. 鴻奇科技絕對讓您物超所值的享受五星級高品質軟體服務。

心動不如馬上行動,您有DMZ的需求嗎? 趕快來電詢問(02)2975-9288 #203 黃先生,
或上網了解更多相關資訊 www.azblink.com

 
     
DMZ (Demilitarized zone)
在資訊安全領域中,DMZ可稱之爲劃分區域邊界網絡,它是一個自然的或合乎邏輯的子網路,包含一個組織對於網外較大的或未知的網路(通常是網際網路)的通訊服務。DMZ的目的是爲了組織的本地網路(LAN)增加一個額外的安全防護。

基本原理:
在一個網絡中,最易遭受攻擊的是那些面向LAN以外(網外)提供服務的主機,如e-mail、web和DNS伺服器。基於這些主機面臨資安問題的可能性逐漸增加,為了預防駭客在首次非法侵入並破壞這些主機之後,仍能保護該網域中的其他主機或電腦,因此將面向LAN以外(網外)提供服務的主機,放在自有的子網域(DMZ)中。儘管網內的主機與DMZ中的主機,對網外的通訊是被允許的,但DMZ中的主機不應與網內的其他主機建立直接聯繫。當網內受到保護時,DMZ中的主機可以同時對網內和網外提供服務。

屬於DMZ 的兩個服務:
通常,任何向網外用戶提供服務的主機,都應被放在DMZ。這些服務中,最常見的即是web伺服器、郵件伺服器和DNS伺服器。在某些情形下,我們需要提供額外的設置來增加資訊安全。

Web Servers 網站伺服器
  Web伺服器可能需要與一個網內的資料庫進行交流,才可提供某些特定服務。由於資料庫伺服器包含敏感資訊,
  是不能被公開搜尋瀏覽的,因此它不應被放在DMZ中。一般而言,允許web伺服器直接與網內資料庫伺服器進行
  直接交流並不是一個好主意。我們可以在web伺服器和資料庫伺服器之間設置一台應用伺服器,以此作爲兩者的
  交流媒介。這種方式也許複雜一些,但它可以提供更安全的保障。

E-mail Servers 郵件伺服器
  基於e-mail需要保密的特性,將信件存放於DMZ是不太恰當的。事實上,e-mail應被存放在網內的郵件伺服器
  裡。DMZ中的郵件伺服器,其功能是將網外的郵件轉送到網內的郵件伺服器上,而網內伺服器將需要外發的郵
  件,先送到DMZ中的郵件伺服器再轉送出去。理論上所有交流都應由網內伺服器為源頭來啟始。

架構體系:
設計一個擁有DMZ的網路有很多種不同的方法。其中有兩種最基本的方法:一是設置單一邊界控制路由,也被稱之爲三角模式;另一種則是採用雙重邊界控制路由。這兩種架構可以視網路需求而擴展,用來創建較複雜的網路體系。

Diagram of a typical network employing DMZ using a three-legged firewall











Diagram of a typical network employing DMZ using dual firewalls

單一邊界控制路由
一個單一邊界控制路由,至少擁有3張網路卡,可以用來建置包含DMZ的網路架構。網外是從ISP至邊界控制路由的區域,網內是由第二張網卡產生的DMZ及由第三張網卡所創建的另一個區域。邊界控制路由就成爲此網路的唯一關卡,它必須要處理所有指向DMZ和網內的資訊。



雙重邊界控制路由
更安全的途徑是使用兩道邊界控制路由去建置DMZ。第一道邊界控制路由必須設定爲准許指向DMZ和網內的資訊通過。第二道邊界控制路由則要做不同的設定,它只允許指向網內且非源於DMZ的資訊通過(透過Border Control Proxy 或Port forwarding 的特別功能,還是可以讓DMZ中的主機與網內主機做溝通,但不會因此而降低對網內主機的安全防護,詳情請洽鴻奇科技)。第一道邊界控制路由一定要能比第二道邊界控制路由更能處理大量的資訊。雖然該架構較昂貴,但它增强保護能力的價值確足以超越其成本。


DMZ主機:
一些家用路由器也提到DMZ主機。家用路由器的DMZ主機是一台位於網內的主機,除了以不同方式轉寄端口流,它所有的端口都是完全暴露的。確切的說,它不是一個真正的DMZ,因爲它在此主機和網內之間並不能提供什麽安全防護。意思是這台DMZ主機能連接到網內的主機,但如果是真實DMZ中的主機,邊界控制路由應會禁止這種行爲。

 
鴻竒科技 新北市241三重區中正南路82號7樓 TEL:+886-2-2975-9288 客服信箱:Service@Azblink.com