堡垒最易从内部攻破

企业网络所传输的数据中，有不少是以纯文本的形式传输。普通的Web网页大多是文本文件，还可能包含电子邮件消息，记账信息或由浏览器观看的商业报告。

从Web或企业的internet 服务器发出的信息流，有些对企业至关重要。这些信息也大都是以纯文本的形式在企业局域网上进行传输的。不仅如此，对于企业的局域网、输人的电子邮件通常是不加密的，待发出的邮件也是如此，更严重的是，在缺省模式中、电子邮件客户端用来与电子邮件服务器进行核查的口令也是以纯文本形式发出的。如果这些口令被截获。那么企业很容易受到伤害。甚至在网络设备和网络管理人员的控制台之间发送的某些电子消息也是纯文本，它们都非常容易被截获或假冒。

或许有人会有疑问。企业局城网上的信息有被截获或被假冒的可能，但是有那么容易吗?答案是肯定的:只需使用常见的软件，如协议分析软件、甚至从Internet下载的免费工具。任何PC都可以截获来自网卡的消息，在共享型局城网中，所有的PC通过一台以太网集线器联网。这样每台 PC都可以看到和截获每一个数据包。而交换型以太局城问看起来似乎不大容易受到伤害。因为每个最终用户站点只能看到发给自己的信息流。但是，对于居心叵测的人，如企业间谍或心怀不满的员工来说，他们可能在流过大量信息流的一些关键地点，如路由器与广城网访问点之间放置一台PC、从而复制信息，更精的是，如果路由器或其他网络基础设备的管理访问代码被窃取。便可以把数据包转送到其他地方去。

端到端的加密

针对这一问题，解决办法就是确保即使网络信息流被截获，它们对于黑客也是完全无价值的。要做到这一点，就应该实现对所有网络信息进行端到端的加密。

目前，有几种广泛采用的标准用于对网络信息流进行加密，而且许多Internet服务器和浏览器都可以执行这些标准，其中最重要的标准是IPSec，即IP Security标准。该标准确保发送双方的网络设备采用同样的加密算法对负载进行加密和解密，从而保证了信息传送的安全。Internet广泛采用IPSec标准，几乎所有的Web服务器和Web浏览器都支持IPSec协议，它还被集成到Microsoft公司新发布的操作系统Windows 2000中。

虽然IPSec被用来保证安全会话中的双方采用相同的加密算法，但IPSec标准并没有对加密算法做出规定，而是允许使用发送双方PC都拥有的任何加密算法，当前最广泛使用的加密方法称为DES（Data Encryption Standard），目前最常用的DES版本采用40位或56位的二进制作为密钥。

网卡加密 两全其美

虽然IPSec被用于确保信息流的安全，但是它也带来新的问题，对每个网络数据包进行加密和解密，需要大量处理工作。如果对每个数据包进行40位或56位的DES加密，所需要的大量数字运算会使PC的性能明显下降，事务处理变得慢慢吞吞，PC做其他工作（如文字处理或图形处理）的能力也大大削弱了。这种影响在服务器上更加严重，因为服务器可能正在同时与各种不同的PC和其他服务器进行数十个或数百个对话。

当然，你可以命令操作系统如Windows 2000参与局域网和广域网上的所有端对端的IP加密，但这只有在性能和可用性上付出很高的代价后才行得通。网络被用的越多，性能就越差，有关网络公司的研究表面，这样的加密会使台式PC机的处理能力减少77%。当频繁地使用加密会话时，基于600MHz Pentium III处理器的PC性能会降低到仅相当于一台133MHz Pentium处理器的PC。

解决上述问题的办法是寻找外援，即把IPSec和DES加密“承包”出去，也就是由专门设计的专用微处理器去做加密和解密等极为繁重的计算工作，使计算机的主处理器不受任何影响。目前已经有不少公司推出含有这种专用微处理器的网卡，这种解决方案可以做到两全其美，即实现了端对端的IP加密，又可以充分发挥PC或服务器的全部性能。

日前，国内最大的专业服务器网卡厂商，光润通科技通过在服务器产品上反复测试和验证，推出新一代安全网卡，让安全从服务器与外部开始沟通时就能实现。这种网卡通过在硬件上集成网络加密协处理器，在保持较高的网络传输性能的同时，为基于标准安全规范的局域网(LAN)的敏感数据传输提供了保护，使服务器的处理器资源从加密解密的繁忙运算中解脱出来，能更多的用于关键性业务。

光润通安全网卡优势体现

安全网卡使用前需要身份认证，杜绝了恶意接入。

通信数据是加密的，并且只能在光润通安全网卡间通信。

全硬件封闭实现，证书 和秘钥存储在芯片内部。

无须软件支持，即插即用。隔绝了软件带来的所有不安全因素。

实施成本相对软件完全可控，不改变企业现有网络拓扑结构，用户维护零成本。

将身份认证和加密通信捆绑在一起。解决了以往先认证再通信带来的中间环节的安全漏洞。

与传统Vpn-IpSec网关相比较

不改变现有网络的拓扑结构，即插即用，零实施成本。

不需要vpn网关软件服务来做认证支持。

不需要经过复杂的IpSec封包转换。

所有认证过程、秘钥协商过程、数据加密过程全部在硬件中实现。

不需要终端或者服务端上层软件的干预，安全隔离性高。

网络传输和加密认证功能集成在一块卡上来实现，最大限度的降低了硬件成本，摆脱了对硬件密码卡的功能依赖。

前不久，第3方的专业测评机构对这两款网卡进行了测试，结果表明：通过采用专用加密处理器，在启动端对端的IPSec和DES之后，服务器和工作站上的网络流量基本不受影响，Tcp/Udp 加密传输可达942Mb/ S，换句话说，加密的局域网传输增加了安全性，这对于最终用户和应用来说，都是完全透明的。

因特网的迅速普及和信息技术的飞速发展，使得信息网络安全问题越来越受到全社会的瞩目。保护企业的信息资源免遭可能的危害，对企业的生产、管理和经营是至关重要的。防火墙、口令和防止非法访问企业网络的其他保护措施已经开始就位。但是，也不应该忽视网络内部的安全措施。请记住，80%的数据犯罪来自防火墙以内，我们必须实现端到端的网络信息安全。为此，需要从网卡开始。