移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

利用安然网关 不合企业若何选择?

时间:2013-07-24 22:03来源:TuZhiJiaMi企业信息安全专家 点击:
在利用安然网关产品的投标中,常常可以看到UTM,上彀行动治理,防病毒网关,Web安然网关这几类的产品。一个企业的公开招标,可以看到有起码10家不合类型的厂商介入投标。用户会产生很大
Tags应用安全(1006)安全网关(68)防病毒(7)  

  在利用安然网关产品的投标中,常常可以看到UTM,上彀行动治理,防病毒网关,Web安然网关这几类的产品。一个企业的公开招标,可以看到有起码10家不合类型的厂商介入投标。用户会产生很大年夜的猜疑,事实甚么样的产品才是最合适需求呢?鄙人面的内容里,将从收集安然的成长角度、用户的需求侧重点、功能、机能等几个方面做具体的切磋。

  下面,将从收集安然的成长角度阐发这几种网关产品的由来和成长趋势。

  假定说路由器实现了企业内部网与Internet的互联互通,那么收集层防火墙就是企业内部网与Internet互联互通上的过滤岗哨,它按照数据包的性质(数据包的性质有目地和源IP地址、源和目标TCP/UDP端口、TCP包的ACK位、出站和进站收集接口等。)进行包过滤,首要阐扬在收集层的拜候节制保障感化。收集层防火墙在20世纪90年代推向市场,设策略略遵守安然防备的基来历根底则是“除非明白承诺,不然就避免”。

  为了实现企业内部网与 Internet的互联互通,以知足企业根基Internet利用的需求,凡是收集层防火墙对外开放了80、443、25、110和21等http、 https、smtp、pop3和FTP这几种和谈常常利用的尺度端口。但是,此刻跟着收集手艺的成长,80、443、25、110和21端口不再仅仅是常常利用的http、https、smtp、pop3和FTP等利用和谈利用的专利,愈来愈多的利用可以主动扫描防火墙的开放端口进行通信,例如IM、P2P、流媒体、收集游戏、收集炒股等Internet利用,同时收集威胁的漫衍与报复打击手艺也不再限于收集层,而上升到基于http、https、smtp、 pop3和FTP等利用和谈的数据包中。

  如许一来传统收集层防火墙基于数据包性质的过滤法则,就没法检测数据包的内容,也就没法阐发检测过滤出此中的收集利用威胁。因而为了防御收集层防火墙凡是所开放的这5个常常利用Internet利用和谈所带来的收集威胁,像木马、病毒、间谍软件等,呈现了防病毒网关(这是国内的叫法,国外叫Anti-malware网关)。

  同时呈现的还有上彀行动治理产品,对IM,P2P,流媒体,收集游戏,收集炒股、web2.0站点等加以管控,他的强项在于对收集利用的治理,而并不是防御收集利用威胁。Web安然网关最早呈现是在防病毒网关的根本上增加了对URL的分类过滤,首要实现对http、https、FTP、SMTP、POP3等利用和谈的安然与web内容的过滤管控。

  跟着Internet利用手艺的成长改变,为了实现周全的Internet利用安然与治理,web安然网关在防病毒的根本上又集成了利用节制、带宽治理等上彀行动治理类产品的大年夜部门功能。除上面利用层的网关厂商,传统的防火墙厂商也在拓展其功能。在传统的收集层拜候节制的根本上增加了收集利用的辨认与管控,具有了利用节制、带宽治理乃至URL过滤等功能,叫法也变成了利用防火墙。功能最周全的利用网关是UTM,它包含收集层防火墙、垃圾邮件过滤、IPS、防病毒,URL过滤、利用节制和带宽治理等一系列的功能。

  可是,面对以上浩繁功能有彼此畅通领悟和渗入的产品,用户该若何选购?

  大年夜企业的选择——侧重于安然

  金融,运营商等大年夜型企业的办公与营业系统对安然很是正视,因为木马,间谍软件植进企业内部的主机或终端会对企业造成没法弥补的风险和经济损掉,所以他们凡是都有较完全的收集安然防护架构,防火墙中启用的拜候节制策略也比较多,在这类环境下用户只需要增加对必需开放的端口和利用和谈进行防护。例如邮件与Web利用,邮件有专门的邮件安然网关,web需要web安然网关或防病毒网关。当然UTM设备里面有邮件安然与web安然的组件,可是防护结果不必然知足这类用户的需求。

  例如对防病毒的功能,大年夜企业用户首要关心的是机能,其次是查杀防护结果,即辨认率,最后还关心加强的功能,是不是撑持多种和谈,是不是具有多种摆设编制等,当然功能上起码撑持http,https,pop3,smtp,ftp这5种利用和谈的扫描过滤。机能是不是知足,一上线就可以表现,一样对这类用户机能知足的同时,过滤防护结果也很是首要。因为全球每年产生的malware数量会超越500万个,设备中内置的特点库应当可以找到起码 500万个样本,如许才能包管辨认1年内的所有威胁。牺牲特点数量,可以大年夜幅晋升机能,但却不克不及做到有效的防护。凡是UTM设备会放2万个摆布的特点,最多找到100万摆布的样本。如许的样本数量相当于专业病毒厂商4个月摆布的样本数量。所以大年夜型企业用户凡是会选择专业的防病毒网关或web安然网关。

  Web安然网关与防病毒网关实现的安然部门功能很是近似,可是web安然网关还增加了Internet利用接进的管控功能。对上彀行动会作响应治理与节制,这些都可以辅助加强企业的收集安然。例如对IM进行节制,一样可以阻断病毒的一部门传播渠道。

  小企业的选择——侧重于治理

  小企业其实不是不正视安然,只是为了做到安但是采购防火墙,IPS,防病毒网关,邮件安然网关等一系列产品,投资与暗藏风险风险不成比例,性价比不高。所以小企业更愿意选择治理类的上彀行动治理与综合类的UTM。对小企业的治理者或网管人员,很等闲看到上彀行动治理产品的结果。可以敏捷进步出产力与实现带宽的优化。一样UTM产品也是不错的选择,因为企业可以获得更多的功能而只花很少的费用。并且凡是小企业用户数有限也不会碰着机能的瓶颈。当然也需要 UTM厂商集成优良厂商的病毒引擎,病毒库,垃圾邮件引擎,URL引擎与数据库,如许可以给小企业用户供给更完美的体验。

  上面是基于用户需求所作的选择阐发,下面将对这几类产品本身特点作简单阐发。

  起首机能方面:

  让我们抛开产品的边界,以不合的利用功能来做其重点机能的阐发:

  收集层防火墙,机能表此刻tcp连接与udp转发,今朝市道上最高端的机能已高达10G,因为在底层转发利用了专有芯片或收集措置器来加快。

  带宽治理,机能瓶颈在于udp包转发,在此根本上要对和谈进行辨认,对通俗企业来讲,1G的带宽治理已足够。

  URL过滤,机能瓶颈在于http proxy的措置速度,颠末优化以后最好的设备可达线速。

  网关防病毒的机能瓶颈在于基于特点的扫描与http的并发连接,经由过程硬件的扫描加快可以实现http 1G基于特点的扫描和实际环境中4万摆布的http并发。

  以上每个功能伶仃做到极致城市没有编制措置其他功能,但市道上优良的web安然网关,例如安启华的web安然网关设备在千兆收集环境中可以启用多种功能,这对大年夜企业来讲完全知足需求。

  其次从功能上鉴定:

  带有安然功能的是UTM与防病毒网关、web安然网关。带有治理功能的是UTM、web安然网关与上彀行动治理网关。安然凡是带有全球的特点,所以国际厂商凡是从安然进手,增加治理功能知足用户需求。治理带有较着区域特点,所以凡是国内厂商会据有更高的份额,因为对区域性的利用可以或许及时更新与节制。既做到全球性的安然,又做到区域性的治理功能是每个厂商寻求的方针,只有市场才可以真正查验。

  总结

  需求的多样性导致了产品的复杂性,没有原封不动的产品与厂商,站在IT产品成长的角度,当呈现诸侯割据的场合排场时,那申明一统全国的产操即将呈现。在每个范畴,市场只会记住几个首要的名字。对企业用户,抛开各个厂商的建议,起首要阐发本身的收集需求,安然仍是治理或是兼而有之。假定选择安然,若何量化安然的程度,参考同业业的选购或从实际环境的利用比较都是明智的选择。尽可能选择每个范畴最领先的产品,这是对投资最好的呵护。

------分隔线----------------------------

推荐内容