【IT168 评论】继1994年首款硬件防火墙诞生以来,作为防火墙的“助手”,入侵检测/防御、防病毒网关等安全设备陆续面世;为了节约投入成本、统一管理威胁的UTM设备随之诞生;随着web2.0时代的到来,抵御web安全威胁的 WAF类产品也成为用户新宠;当人们意识到威胁已迁移至应用层,且不能割裂的防护时,下一代防火墙应运而生……
近几年安全事件频发,让IT管理者们越来越重视信息化的安全建设。然而面对众多的安全建设方案,管理者们反而更难找到清晰的思路,并做出恰当的选择。本期与读者分享的是互联网出口的安全建设方案评析。
■ 互联网出口——终端上网场景
互联网出口作为与外部网络连接的唯一出口,实现了对外业务发布系统和内网终端的互联网接入,安全性要求较高,如下图所示:
常见方案对比:
对比评析:
• 传统防火墙:功能太单薄,已无法满足用户的需求;
• 传统防火墙+IPS:是被广泛应用的过度方案,由于其局限性,防护效果仍得不到有效保障;
• FW+IPS+AV+WAF:该方案因高投资、管理成本以及多设备对用户体验产生的影响,使其在互联网出口应用极为罕见;
• UTM:是在传统防火墙上扩充入侵防御和防病毒等模块,减少部署成本; 其一体化、低成本的优势是目前此场景安全方案的不错选择; 其性能并不优于单机设备,无法胜任高精度、细粒度、更深层的安全检测,只适用于中小型企业;
• 下一代防火墙:无论在L2-L7的防护效果、投资成本、管理成本、用户体验,都有很好的表现; 在网络升级改造过程中,与之前部署的传统防火墙形成异构方案,也是广大用户最优的选择之一。
${PageNumber}■ 互联网出口——对外发布场景
随着web2.0时代的快速发展,使得对外发布业务成为了企业、政府最为重要的核心业务。暴露在公众面前的业务系统,一旦被入侵篡改或窃取数据,会给组织带来损坏形象,造成经济损失、负面的政治影响等问题。对于该业务场景的安全防护是安全建设的核心。场景如下图所示:
常见方案对比:
对比评析:
• FW+IPS方案:对web攻击防护效果较差,仅少数未意识到安全威胁发展的用户会考虑,应用范围较少;
• UTM方案:优势在于一体化防护带来的低成本价值。对web攻击防护效果较差,且在大流量的场景下严重影响用户体验。仅有极少预算少、业务量少、安全要求不高的用户考虑;
• FW+WAF方案:FW仅开放80端口配合WAF对web攻击的防护,可大大降低对外发布业务的web安全风险。缺点在于该方案并不能提供完整的应用安全防护能力,系统底层漏洞易给黑客可乘之机;
• FW+网页防篡改软件方案:该方案存在弊端,网页防篡改软件属于被动防护,若黑客通过漏洞攻击获取到服务器权限,软件也就无效了;
• FW+IPS+WAF+网页防篡改方案:是目前攻击防护最为完整的。但该方案极高的投资、维护成本并非普遍选择;并且多台设备+防篡改软件会降低用户体验。该方案对于安全要求极高、预算充足、人员专业的用户而言还是比较好的选择;
• 下一代防火墙方案:不仅具备FW+IPS+WAF+网页防篡改的所有防护功能,提供完整的安全防护能力,其模块间的智能联动可抵御APT攻击。此外其敏感信息防泄露的功能可有效防止“拖库”“暴库”的风险。该方案在软、硬件架构上均有革命性的改进,使得该方案在多功能模块开启时性能仍有优异的表现,真正从用户简化组网、简化运维、最优投资的角度出发实现安全防护价值的最大化,是用户的一种全新的最优选择。
