企業(yè)級安全網(wǎng)關(guān)的選型探討

企業(yè)級安全網(wǎng)關(guān)的選型探討

劉會軍鄧翠屏葉喬輝【摘要】企業(yè)內(nèi)外部網(wǎng)絡(luò)的交互需求越來越多樣，傳統(tǒng)的防火墻產(chǎn)品已無法滿足復(fù)雜網(wǎng)絡(luò)綜合性防御的需要，而集成多重安全功能的安全網(wǎng)關(guān)則能為企業(yè)信息安全構(gòu)建有力的保護(hù)屏障。本文描述了某企業(yè)在生產(chǎn)經(jīng)營中所面臨的網(wǎng)絡(luò)安全需求場景，通過對安全網(wǎng)關(guān)產(chǎn)品的介紹及分析對比總結(jié)了安全網(wǎng)關(guān)的選型思路及建議?！綤ey】安全網(wǎng)關(guān)；UTM；下一代防火墻1.引言隨著企業(yè)的快速發(fā)展，企業(yè)內(nèi)外部網(wǎng)絡(luò)的交互需求變得越來越復(fù)雜多樣，為抵御來自外部網(wǎng)絡(luò)的安全威脅，企業(yè)通常會選擇各種安全產(chǎn)品部署在網(wǎng)絡(luò)邊界。這類部署在企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)邊界的安全產(chǎn)品通常稱之為安全網(wǎng)關(guān)。安全網(wǎng)關(guān)的產(chǎn)品多種多樣，有通用型的防火墻、專用型VPN防火墻、入侵檢測/防御設(shè)備、防病毒網(wǎng)關(guān)、應(yīng)用控制防火墻、集成多種安全功能的UTM（統(tǒng)一安全威脅）和NGFW（下一代防火墻）等，如何選擇合適的安全產(chǎn)品構(gòu)建起企業(yè)內(nèi)網(wǎng)安全的銅墻鐵壁也是一項復(fù)雜的系統(tǒng)工程。以某企業(yè)的實際需求為例：該企業(yè)的內(nèi)外部網(wǎng)絡(luò)訪問需求場景如圖1所示。在圖1里場景一描述了員工要求在公網(wǎng)上通過WEB網(wǎng)頁訪問企業(yè)的辦公系統(tǒng)；場景二描述了分支機構(gòu)或辦事處要求通過專線獲得企業(yè)內(nèi)網(wǎng)的IP地址訪問各類服務(wù)器；場景三描述的是企業(yè)需要對員工訪問Internet的內(nèi)容進(jìn)行管控；場景四則描述的是企業(yè)與合作伙伴之間有互訪需求，但是為保障信息安全，雙方需隱藏真實的主機IP和路由信息，轉(zhuǎn)換成私網(wǎng)地址進(jìn)行通信。不同的需求場景對應(yīng)不同的網(wǎng)絡(luò)技術(shù)和安全產(chǎn)品，是購買不同的安全設(shè)備分別實現(xiàn)還是尋找一種安全產(chǎn)品一次解決所有需求？哪一種性價比更高、更利于管理和維護(hù)？讓我們先看看有哪些安全網(wǎng)關(guān)產(chǎn)品可以供我們選擇。2.主要安全網(wǎng)關(guān)產(chǎn)品介紹與分析縱觀安全網(wǎng)關(guān)的產(chǎn)品演變歷史，可以看出其發(fā)展趨勢是在功能與性能之間尋求最佳平衡點，從這個角度上說，安全網(wǎng)關(guān)大致可以分為如下三種類型（當(dāng)然，還有按架構(gòu)、功能等的分類方法，本文不討論）：2.1單一功能安全網(wǎng)關(guān)（1）防火墻：最早期的安全網(wǎng)關(guān)非防火墻莫屬了，防火墻是一種防御OSI模型四層以下攻擊的安全設(shè)備，傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標(biāo)地址有關(guān)的信息來檢測流量，實現(xiàn)IP地址、端口層面的安全防護(hù)。在網(wǎng)絡(luò)發(fā)展的初期，確實起到很大的作用，但隨著網(wǎng)絡(luò)攻擊技術(shù)的日新月異，OSI模型四層以上尤其是應(yīng)用層的攻擊逐漸成為主流，傳統(tǒng)的防火墻已經(jīng)無能為力，于是就催生了一批新型的安全網(wǎng)關(guān)。（2）VPN防火墻：VPN（虛擬專用網(wǎng)絡(luò)）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，該連接是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的加密隧道，常用的VPN防火墻技術(shù)有IPsecVPN和SSLVPN等。（3）防病毒網(wǎng)關(guān)：是一種用以保護(hù)網(wǎng)絡(luò)內(nèi)（一般是局域網(wǎng)）進(jìn)出數(shù)據(jù)安全的網(wǎng)絡(luò)設(shè)備。主要體現(xiàn)在病毒查殺、關(guān)鍵字過濾（如色情、反動）、垃圾郵件阻止等功能，同時部分設(shè)備也具有一定防火墻（劃分Vlan）的功能。（4）上網(wǎng)行為管理設(shè)備：通過硬件內(nèi)置的應(yīng)用識別規(guī)則庫、網(wǎng)頁地址庫，結(jié)合深度內(nèi)容檢測、網(wǎng)頁智能識別等技術(shù)，幫助企業(yè)管理和控制用戶對互聯(lián)網(wǎng)的使用，通常包括網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等功能。還有很多其它單一功能的安全網(wǎng)關(guān)，這里就不詳述了。2.2UTM（統(tǒng)一威脅管理）UTM（UnifiedThreatManagement）即統(tǒng)一威脅管理，最早由IDC于2004年提出。根據(jù)IDC的定義，UTM是指能夠提供廣泛的網(wǎng)絡(luò)保護(hù)的設(shè)備，它在一個單一的硬件平臺下提供了以下的一些技術(shù)特征：防火墻、防病毒、入侵檢測和防護(hù)功能?，F(xiàn)在的UTM通常是用于全方位解決企業(yè)綜合網(wǎng)絡(luò)安全問題的產(chǎn)品，另外還集成了VPN、訪問控制、垃圾郵件攔截、服務(wù)質(zhì)量（QoS）、負(fù)載均衡和高可用性（HA）等功能。2.3NGFW（下一代防火墻）雖然下一代防火墻產(chǎn)品還沒有一個統(tǒng)一的標(biāo)準(zhǔn)，但業(yè)內(nèi)普遍認(rèn)同的關(guān)于NGFW的定義，則來自Gartner于2009年發(fā)布的一份名為《DefiningtheNext-GenerationFirewall》的文檔。Gartner認(rèn)為，下一代防火墻是一種多功能集成式線速網(wǎng)絡(luò)安全處理平臺，包含所有標(biāo)準(zhǔn)功能，如常見的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、包過濾和深度包檢測（DPI）等功能，而應(yīng)用識別、控制和可視化是其重要的核心特性。3.產(chǎn)品選型針對企業(yè)的需求場景，并結(jié)合當(dāng)前主流的安全技術(shù)，我們首先可以明確的是：該企業(yè)需要一臺帶SSLVPN功能和IPSecVPN功能的防火墻來分別實現(xiàn)遠(yuǎn)程辦公和辦事處電腦的接入；還需要一臺能進(jìn)行雙向地址轉(zhuǎn)換的高性能防火墻實現(xiàn)企業(yè)與合作商網(wǎng)絡(luò)之間的大數(shù)據(jù)量快速轉(zhuǎn)發(fā)；另外該企業(yè)還需要一臺類似上網(wǎng)行為管理設(shè)備的應(yīng)用防火墻?？v觀上面介紹的各類產(chǎn)品，我們可以看到，針對每一個需求場景都有相對應(yīng)的獨立設(shè)備來實現(xiàn)，同時也有集成多種功能的設(shè)備一次解決所有需求。那么在進(jìn)行產(chǎn)品選型的時候我們應(yīng)該如何做呢？很明顯如果企業(yè)部署多種單一功能的網(wǎng)關(guān)時，必然會碰到一系列的問題，例如：可用性問題：安全設(shè)備增多，則故障節(jié)點增多，故障排查難度增大；可管理性問題：安全設(shè)備增多，則加大管理人員的工作量，增加管理的難度，人為操作失誤的概率也增加。兼容性問題：由于多種安全設(shè)備很可能出自不同廠商，因此兼容性會打折扣，直接影響網(wǎng)絡(luò)安全體系的整體效能。成本問題：配備多個安全設(shè)備會導(dǎo)致成本的增加。因此，通常情況下在選型的時候應(yīng)盡量選擇能一次解決多種需求的設(shè)備。而滿足該企業(yè)需求的多功能安全網(wǎng)關(guān)有UTM和NGFW二大類，在選型的時候建議同時考慮國內(nèi)與國外知名廠商的安全產(chǎn)品，并進(jìn)行充分的對比和測試。該企業(yè)經(jīng)過多方查閱資料，最終選定了三家廠商的二大類設(shè)備：國內(nèi)廠商一的NGFW設(shè)備和國外廠商二和廠商三的UTM設(shè)備。按照魔力象限分析，廠商一在國內(nèi)NGFW領(lǐng)域處于領(lǐng)導(dǎo)者地位，廠商二和廠商三在全球UTM領(lǐng)域分別處于領(lǐng)導(dǎo)者和挑戰(zhàn)者的地位。經(jīng)過近三個月的技術(shù)交流和產(chǎn)品試用，針對該企業(yè)的四大需求場景，三家廠商給出的解決方案中的產(chǎn)品對比測試結(jié)果如下：三家廠商的設(shè)備都具有防火墻、VPN、防病毒、IPS、內(nèi)容過濾、流量管理等功能模塊；廠商一的應(yīng)用控制功能做的非常好，廠商三的UTM設(shè)備不具備應(yīng)用控制功能；廠商一的NGFW設(shè)備不具備雙向地址轉(zhuǎn)換功能，但通過其它途徑可間接實現(xiàn)，且該NGFW設(shè)備只集成了IPSecVPN功能，SSLVPN的功能需搭配另外一臺設(shè)備實現(xiàn)；廠商二的UTM設(shè)備缺少短信網(wǎng)關(guān)發(fā)送功能；廠商二的UTM設(shè)備在進(jìn)行大文件拷貝的時候比廠商一的NGAF設(shè)備稍快；雖然三家廠商的設(shè)備各有優(yōu)缺點，但最終該企業(yè)從最為關(guān)注的VPN和數(shù)據(jù)轉(zhuǎn)發(fā)功能出發(fā)，給廠商二的UTM設(shè)備評了技術(shù)分的相對高分。當(dāng)然最后中選的是哪家廠商的設(shè)備還需要綜合考慮價格、售后服務(wù)等因素，本文就不深究了。4.結(jié)束語和多數(shù)安全網(wǎng)關(guān)產(chǎn)品一樣，NGFW和UTM在出現(xiàn)的時候都存在概念過度炒作的嫌疑，用戶在選購安全網(wǎng)關(guān)產(chǎn)品時一定要保持清醒的認(rèn)識，UTM和NGFW短期內(nèi)不存在取代關(guān)系，經(jīng)過包裝的產(chǎn)品在功能上會越來越相似。面對眾多安全功能相互融合和滲透的產(chǎn)品，建議用戶可以從以下幾個方面綜合考慮：（1）明確企業(yè)所需的關(guān)鍵功能：不是功能越多越好，適合自己的才是最好的。要明確自己的需求，根據(jù)企業(yè)的網(wǎng)絡(luò)規(guī)模和具體應(yīng)用，選擇合適的產(chǎn)品。（2）對性能進(jìn)行測試和評估：傳統(tǒng)防火墻產(chǎn)品主要考慮的是吞吐量、并發(fā)連接數(shù)等指標(biāo)。而多功能的安全產(chǎn)品的性能則體現(xiàn)在打開防病毒、內(nèi)容過濾、應(yīng)用控制等功能后所能承載的流量，目前尚無準(zhǔn)確的量化指標(biāo)。在選購的時候，除了衡量硬件平臺的架構(gòu)和處理能力外，更重要的是進(jìn)行多角度的測試。（3）友好的管理界面：產(chǎn)品要有一個能控制各個模塊的圖形化管理控制臺。策略的管理與擴展能力，用戶、日志和告警管理是否能和組織已有的安全體系相適應(yīng)，也是選型時要特別關(guān)注的。（4）充分考量售后服務(wù)：雖然廠商的產(chǎn)品各有特色，但在售后服務(wù)方面卻千差萬別。例如有些能提供對安卓、蘋果平臺的支持，有些則需另行購買支持模塊。另外安全設(shè)備的策略部署和配置能否根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)章制度變更獲得同步支撐，也是售后服務(wù)的重要內(nèi)容?？傊?，安全網(wǎng)關(guān)產(chǎn)品選型的每一個環(huán)節(jié)都應(yīng)該重視，同時安全產(chǎn)品的產(chǎn)生與發(fā)展完全取決于網(wǎng)絡(luò)安全威脅的發(fā)展演變。因此，密切跟蹤網(wǎng)絡(luò)安全的最新動態(tài)以及網(wǎng)絡(luò)安全知名廠商的產(chǎn)品路線圖對于理解和選購安全網(wǎng)關(guān)是很有幫助的。Reference：[1]白君芬.UTM信息安全技術(shù)研究.現(xiàn)代計算機，2009年第8期.[2]蔣巍.UTM采購的若干誤區(qū).信息安全與技術(shù)，2010年第12期.[3]綠盟科技.綠盟安全網(wǎng)關(guān)產(chǎn)品白皮書，2009.[4]深信服科技公司.深信服下一