【IT168 应用】需求的多样性导致了产品的复杂性,没有一成不变的产品与厂商,对于企业用户,抛开各个厂商的建议,首先要分析自己的网络需求,安全还是管理或者是兼而有之。如果选择安全,如何量化安全的程度,参考同行业的选购或者从实际环境的使用比较都是明智的选择。尽量选择每个领域最领先的产品,这是对投资最好的保护。
分析企业自身网络实情即安全需求
1.建网的目的是什么?
兴建网络是为了满足内部通信还是企业间的通信,即所建网络是Intranet还是Extranet。要达到这样的建网目的,对网络的总体安全性有哪些要求?需要采取什么样的安全措施?
2.网络的用户是谁?
一个网络的用户越多,或网络用户的成分越复杂,则网络面临的安全威胁就越大。不同的用户群对网络的安全性有不同的要求。应按用户分类,针对不同的用户群采取不同的组网方式,并制定不同的安全策略。比如金融用户和一般的拨号用户对网络安全性的要求是不一样的,相应采取的安全措施也有明显区别。
3.网络将要提供哪些服务?
这是需要回答的最为重要的问题。因为网络中运行的每一个服务都潜在着被攻击的可能。设想根本就不需要任何服务,则关闭包括基本的网络协议在内的所有网络服务。故仅仅启用绝对需要的基本协议和服务是这个问题的非常好的答案。当确定启动的服务后,必须考虑每个服务带来的风险有多大。如某个服务因有太多的安全缺陷而不能使用时,就应找一个更安全的服务来代替它。可行的方案有:选择其他制造商的产品,选择资源开放式产品代替专用产品或选择能提供有与不安全产品同样安全特性的更安全的技术。比如:可用开放资源的Apache Web服务器替代IIS,用具有安全外壳技术(SSH)的SFTP或SCP代替FTP。
4.网络的规模有多大?
网络中有多少台主机、服务器、路由器,线路的情况以及能同时为多少用户提供服务。网络的规模越大,它的安全隐患越多。
5.网络使用哪些网络设施?
由于不同的网络设施,其安全性是不同的,应根据对网络的安全性要求来选择相应的网络设施。
6.网络有哪些安全漏洞以及安全威胁的类型有哪些?
在进行网络的安全分析时,这是必须回答的问题。由于网络的安全漏洞多种多样,使得攻击者可采用多种攻击手段 。在进行安全设计时,应尽可能对各种安全漏洞作出仔细的分析,对各种攻击手段都要采取相应的防范措施。
在实际进行网络安全需求分析时,一般可以着重从以下两个角度进行分析: 网络提供的不同业务类型和不同用户群。其中最关键的是应针对不同的业务类型进行相应的安全需求分析。分析时可参考如下的分析流程:
大企业的选择--偏重于安全
金融,运营商等大型企业的办公与业务系统对安全非常重视,因为木马,间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损失,所以他们通常都有较完整的网络安全防护架构,防火墙中启用的访问控制策略也比较多,在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用,邮件有专门的邮件安全网关,web需要web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件,但是防护效果不一定满足这类用户的需求。例如对于防病毒的功能,大企业用户首要关心的是性能,其次是查杀防护效果,即识别率,最后还关心增强的功能,是否支持多种协议,是否具有多种部署方式等,当然功能上至少支持http,https,pop3,smtp,ftp这5种应用协议的扫描过滤。性能是否满足,一上线就能体现,同样对这类用户性能满足的同时,过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个,设备中内置的特征库应该可以找到至少500万个样本,这样才能保证识别1年内的所有威胁。牺牲特征数量,可以大幅提升性能,但却不能做到有效的防护。通常UTM设备会放2万个左右的特征,最多找到100万左右的样本。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全网关。
Web安全网关与防病毒网关实现的安全部分功能非常类似,但是web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制,这些都可以辅助加强企业的网络安全。例如对IM进行控制,同样可以阻断病毒的一部分传播渠道。
小企业的选择--偏重于管理
小企业并不是不重视安全,只是为了做到安全而采购防火墙,IPS,防病毒网关,邮件安全网关等一系列产品,投资与潜在风险危害不成比例,性价比不高。所以小企业更愿意选择管理类的上网行为管理与综合类的UTM。对于小企业的管理者或者网管人员,很容易看到上网行为管理产品的效果。可以迅速提高生产力与实现带宽的优化。同样UTM产品也是不错的选择,因为企业可以得到更多的功能而只花很少的费用。而且通常小企业用户数有限也不会碰到性能的瓶颈。当然也需要UTM厂商集成优秀厂商的病毒引擎,病毒库,垃圾邮件引擎,URL引擎与数据库,这样可以给小企业用户提供更完美的体验。
上面是基于用户需求所作的选择分析,下面将对这几类产品自身特点作简单分析。
首先性能方面:
让我们抛开产品的界限,以不同的应用功能来做其重点性能的分析:
网络层防火墙,性能体现在tcp连接与udp转发,目前市面上最高端的性能已经高达10G,因为在底层转发使用了专有芯片或网络处理器来加速。
带宽管理,性能瓶颈在于udp包转发,在此基础上要对协议进行识别,对于普通企业来说,1G的带宽管理已经足够。
URL过滤,性能瓶颈在于http proxy的处理速度,经过优化之后最好的设备可达线速。
网关防病毒的性能瓶颈在于基于特征的扫描与http的并发连接,通过硬件的扫描加速可以实现http 1G基于特征的扫描和实际环境中4万左右的http并发。
以上每个功能单独做到极致都会没有办法处理其他功能,但市面上优秀的web安全网关,例如安启华的web安全网关设备在千兆网络环境中可以启用多种功能,这对于大企业来说完全满足需求。
其次从功能上判断:
带有安全功能的是UTM与防病毒网关、web安全网关。带有管理功能的是UTM、web安全网关与上网行为管理网关。安全通常带有全球的特性,所以国际厂商通常从安全入手,增加管理功能满足用户需求。管理带有明显区域特性,所以通常国内厂商会占有更高的份额,因为对区域性的应用能够及时更新与控制。既做到全球性的安全,又做到区域性的管理功能是每个厂商追求的目标,只有市场才可以真正检验。