| 来源:http://bbs.netbuddy.org/ 60%的用户相信网关是防范病毒的有效位置。 70%的用户相信网关是阻止黑客攻击的有利位置。 90%以上的用户相信网关是过滤垃圾邮件的绝佳位置。 ...... 由此看来,多功能安全网关正被越来越多地委以防范重任。 某大学的网络里部署着各种各样的安全系统,仅在校园网与Internet的接口处,就部署着防火墙、防病毒、反垃圾邮件、VPN等独立的安全设备。负责管理这些设备的网管员每天都要花费大量时间去逐一审查这些安全设备的日志。不过,这所大学的校园网并没有因为安全系统的增多而更加安全,相反先后遭受过冲击波、震荡波等混合威胁的攻击,而且网络性能每况愈下。 在某航运公司的网络里,记者看到的是另外的情景。"All in One"的集成安全设备部署在公司总部和分支机构的网关位置,替代了防火墙、防病毒、VPN、IDS等多个独立安全系统,既简化了网络部署,又提高了管理效率。网管员通过统一的界面对这些设备进行管理,查看汇总的安全日志。最关键的是,这些安全设备能够拦截70%以上的混合威胁。 安全网关走向多功能 企业网络与Internet的接口处(也就是网关的位置)是安全威胁入侵企业网络的重要入口。有关资料表明,70%以上的病毒、入侵是通过网关进入企业内部的。"一夫当关,万夫莫开",如果在网关位置采取安全措施的话,就会收到事半功倍的效果。 安全网关大致经历了三个发展阶段。第一代的安全网关是软件形式的防火墙,例如Check Point公司的Firewall-1,它们通常装载在服务器上,部署在企业网与Internet的连接处。 由于软件防火墙在性能和稳定性方面不能较好地满足用户需求,于是出现了第二代以硬件平台为基础的网关产品,如各种防火墙/VPN、IDS、反病毒硬件产品等,诺基亚的IP安全平台、趋势科技的NVW硬件防病毒产品都属于这类设备。第二代安全网关正在朝着更高性能方向发展。对于需要实现多项功能的用户来说,就必须安装多个单一功能的安全设备,这无疑增加了安装和管理的复杂性,同时还会引发新的安全隐患。 随着越来越多的单一功能安全设备部署在网关位置,网络的整体性能就会受到严重影响,加上来自不同厂商的安全设备之间缺乏密切配合,各自拥有一套管理系统,很难起到综合防范作用。 第三代安全网关首先被赛门铁克、WatchGuard、SonicWall等公司开发出来,用于取代独立的多种安全设备。这种有着统一管理界面的多功能安全网关通常包含防病毒、防火墙、IDS、漏洞扫描、VPN等模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系,带给人们"一站式"的安全体验。IDC在不久前发布的报告中指出,这种多功能的整合式安全网关将会替代单一功能的中低端防火墙产品,而成为业界的主流。 回顾安全网关的发展历程,我们不难发现多功能网关正在成为中低端防火墙市场的新标准,并给国内安全厂商提供了发展机遇。目前,国内市场需求量最大的是百兆和百兆以下的安全设备。由于国内安全网关研发起步相对较晚,ASIC研发能力又相对较弱,所以多数安全设备都是基于PC硬件平台和Linux软件平台开发的,而这恰好与低端安全网关产品采用通用CPU加Linux体系的潮流相吻合。国内安全厂商在以Linux为基础的防火墙、IDS的研发方面,积累了丰富的经验,为开发多功能安全网关打下了基础。事实上,国内一些基于CPU加Linux平台的安全企业,如联想、天融信、东软等,借助通用硬件和开放软件平台灵活易变的优势,推出集成了防火墙、VPN与IDS的安全网关产品。这些产品只要能够改善吞吐量和稳定性,就能够以出色的性价比优势和技术支持服务,与国外公司的产品进行竞争。 不过,由于国内防病毒厂家与安全网关厂家合作不多,防垃圾邮件厂家还处在起步阶段,在安全集成方面有一定困难,面临挑战。相比之下,Symantec、WatchGuard、SonicWall、ServGate等厂商采用或是收购或是合作的方式,与防火墙、IDS、防病毒公司共同推出多功能安全网关。例如,ServGate与McAfee合作推出了集防火墙、VPN和防病毒、防垃圾等应用代理功能于一体的模块化集成安全网关。国内安全网关厂商需要加强与国内外防病毒、防垃圾邮件、XML过滤等应用层安全厂家的合作,在应用集成方面有所作为。 多功能网关的利与弊 在谈起使用多功能安全网关的体会时,航运公司的CIO小李最大的感触就是安全、方便和有效。他认为,多功能安全网关将多种安全功能集成到单一平台上,由一个硬件设备统一完成所有的安全防护工作,在提高安全等级和管理效率方面具有优势。多功能安全网关通常采用专用、优化的操作系统,从根本上减少漏洞的发生。针对安全威胁,多功能网关设备可以进行全面分析,即使还没有发现此类威胁的特征码,管理员也可以通过统一的集中管理界面,及时发现异常流量或异常通信,并采取措施。由于安装、报告和更新都可以从一个控制台、通过一个升级软件包来完成,多功能安全网关简化了设备的管理过程,由多家安全厂商提供的响应服务也改由一家公司提供包括病毒定义码、防火墙规则以及入侵特征库在内的支持服务,使企业能够对突发安全事件迅速做出响应。 可以说,整合设备拥有出色的成本优势。在采购成本方面要远远低于分别采购各类安全设备,这一点对于分布式的企业网络显得格外突出。在部署、维护方面,整合的安全设备集硬件设备、操作系统和安全应用程序于一身,有一些产品还实现了即插即用,为用户节省了大量人力和物力。 当各种安全功能集成在一起时,新的问题也就接踵而至:如何保证这类新设备的性能,使它不会成为网络的新瓶颈。尤其是随着网络带宽的迅速增加和网络应用的日益丰富,用户需要功能更高更强、性能更快更稳的安全网关产品。 一方面,病毒、垃圾以及黑客攻击成为网络安全最为突出的问题,以隐匿于内容等方式出现的网络攻击模式也越来越复杂;另一方面,随着网络流量的增加和安全检查负荷的加重,安全网关始终是高速网络中的瓶颈,滞后于高端路由器、交换机的性能水平。 一位金融机构的网管员告诉记者,在打开安全网关的反病毒功能时,该类设备的性能几乎下降了一半以上。以赛门铁克SGS5460为例,当打开防病毒功能时性能同样将下降50%以上。赛门铁克的技术经理郭训平认为,赛门铁克已经预留了充分的性能空间,即使性能下降一半,也能部署在普通的千兆网络当中。郭训平建议用户在平时工作中,可以不必打开反病毒功能,这样该设备平时能很好地抵御漏洞型攻击,一旦网络上爆发新病毒,可以打开反病毒功能,做到及时查杀病毒,虽然此时效率有所下降,但能有效预防病毒进入网络。 为了避免防病毒功能对性能的影响,也有一些厂商没有将防病毒功能集成到安全网关当中。例如,联想的网域精五安全网关将防火墙、IDS等功能集成在一起。联想信息安全事业部总经理任增强告诉记者,防病毒和防火墙不宜整合在一起,几年前,联想曾经做过这种尝试,但是发现效果并不理想。 为了提高性能和功能需求,安全厂商不断在硬件和软件上尝试提高。很多厂商利用ASIC和NP技术来提升性能。但是ASIC和NP虽然可以实现高性能,却不支持多种功能,所以目前的多功能安全网关还是以PC架构为主,好在CPU的运行速度在近年来有了突飞猛进的提高,可以支持多功能安全网关的处理要求。 也有安全厂商尝试从技术和软件角度来提高多功能安全网关的性能。WatchGuard采用了一种被称为"智能分层安全引擎"的技术(Intelligent Layered Security,ILS),其设计目标是在不妨碍性能的同时,尽可能地提高安全保护力度。ILS核心引擎设计了7个层次的结构,通过协作式、多层防御,在每个层中都可以任意增加几个不同的安全功能,而不会影响整个系统的运行效率。在Juniper的安全网关中,我们同样可以发现这种设计思想。 多功能是把"双刃剑" 对于快速成长的企业来说,多种安全功能的整合是一把"双刃剑",既能满足这类用户全面的安全需求,同时也制约着这部分用户安全需求的扩展。 快速成长型企业不但需要一个能够有效控制成本的策略,而且需要能迅速实施和使用的方法,并且这种方法能够随着企业的不断成长而按需扩展。 包括赛门铁克、Juniper、Fortinet、ServGate等公司在内,均已经推出集成了防火墙、VPN、反病毒、内容过滤、反垃圾邮件等功能的产品,符合信息安全产品的发展趋势,也符合中小企业的安全需求。但是仅仅有集成还是不够的。 一方面中小型企业很难将这些功能完全用上,必然会造成初期投资的浪费,另一方面由于安全技术、产品更新速度迅速,需要随时更新技术和攻击数据库,当中小企业因企业规模扩大而开始使用某些原来闲置的功能时,却发现这些技术已经过时了。对于安全网关来说,如果只考虑功能集成,而不考虑无缝的扩展性,这些设备的用户仍然面临投资被浪费的可能性。 多功能安全网关必须解决可扩展性的问题。对于这一问题,许多厂商通过"许可证"来加以解决,允许用户有选择地购买相应的功能模块,在需要时购买并激活相应的功能。例如,许多厂商将安全网关的整合性与可扩展性结合在了一起,当需要增加一个新功能时,用户并不需要更换设备,也不需要增添新的软件,而只需一个软件许可证密钥,就能在同一台设备上激活大量的功能。 多功能安全网关一览(以公司名称字母为序) 厂商 产品 关键特性 网址 Check Point Safe@office系列 提供无线接入、防火墙、反病毒、内容过滤等功能 www.checkpoint.com CipherTrust IronMail信息安全平台 具有反垃圾邮件、反病毒/蠕虫、防攻击功能 www.ciphertrust.com Fortinet FortiGate系列 基于网络的防病毒、Web内容过滤、防火墙、VPN和入侵检测 www.fortinet.com 冠群金辰 KILL过滤网关 实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤和蠕虫过滤 www.ca-jc.com 华为3Com Quidway SecPath 1000F防火墙 支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能 www.huawei3com.com.cn 安氏 LinkTrust Border Protector 集防火墙、防病毒、VPN、防DoS、内容过滤、流量整形、认证、审计、反垃圾邮件、IDS等技术于一身 www.is-one.net 联想 网御"精五"安全网关 提供防火墙、入侵检测、内容过滤等功能 www.lenovo.com.cn 瑞星 瑞星防毒墙 提供防病毒、反垃圾邮件、防火墙、VPN等功能 www.rising.com.cn SonicWall SOHO TZW 用于无线环境、集成了防火墙与VPN功能 www.sonicwall.com Symantec Gateway Security5400系列 集成了防火墙、VPN、入侵检测、防病毒和内容过滤功能 www.symantec.com 天融信 网络卫士过滤网关NGFG 保护服务器与工作站免受各类病毒、木马和垃圾邮件的干扰 www.topsec.com.cn WatchGuard WG FireBox X系列 集成了VPN、防病毒和防垃圾邮件功能 www.watchguard.com 选购要点 用户在选择多功能安全网关时,可以从以下几个方面加以考虑。 ● 单点故障 用户必须考虑多功能安全网关采取了哪些加固设计,如关键部件冗余、双机热备、失败恢复机制等,确保一种功能的崩溃不会造成整个系统的瘫痪。 ● 处理能力 了解设备是否采用了加速处理装置或加速算法,是否提供充分的性能来支撑众多安全应用。 ● 整合程度 如果多功能安全网关进行的整合不彻底的话,用户仍然没有摆脱繁重的维护和操作负担。 ● 功能扩展 对于成长型企业来说,应该选择可以扩展的设备,而不是固定的系统,以便能够不断升级和添加新的安全功能。 ● 升级能力 升级是否容易进行,是否影响其他功能,以及是否能够利用一个升级包升级所有的功能模块,都是用户需要考虑的现实问题。 性能与功能需要权衡 ■ 宋丽娜 对于安全网关的技术方向,业界存在很多争论,大家一直为下一代防火墙到底是应该更突出功能集成还是更强调性能突破而争论不休。 其实,性能和功能从来就是一对此消彼长的矛盾。例如,尽管当初应用代理防火墙的安全性很好,但是因为CPU处理能力跟不上,而几乎被放弃。在CPU处理能力迅速得到提高的今天,应用代理防火墙技术重新获得青睐,被越来越多的具有防病毒等功能的安全网关所采用。 发展到今天,CPU处理能力和多处理器结构已经完全可以承担百兆级多功能线速的负荷。当硬件或算法发展到相应阶段,第三代多功能安全网关就会成为中低端市场的主流。从目前来看,集成的趋势在中低端设备当中已相当明显,CPU的不断提速以及多CPU体系不断被应用到安全设备当中,为内容过滤、防病毒和防垃圾邮件等应用所需的处理能力提供了可行性。但是多功能和高性能始终不可调和,高端安全网关实现多功能集成,仍然依赖于系统和芯片技术的突破。 这里需要指出的是,多功能的安全网关与单一功能的安全网关将并存,这样一个"多功能"和"高性能"并存的产品分布与现有软硬件技术水平相适应,也与实际需要相吻合。 通常的情况是,分支机构的网络流量一般较小,但对应用层安全要求较高,这些领域可以考虑采用多功能的安全网关。反之,公共性越强的网络节点对性能要求越高,但并不一定要求防病毒、防垃圾邮件等应用层过滤功能。这些领域需要部署单一功能的高性能网关。当然,在高速节点上需要进行内容过滤的情况也有,但毕竟不是主流的市场需求。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 15:25 , Processed in 0.208977 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
