企業如何考慮自己的網路防護裝置
在IT投入還比較捨得的公司裡面,除去功能強大(思科/華為/3COM一類)的路由器之外,大多都有UTM或 IPS或Web安全網關之類的安全裝置。當然,我們不能忘記一直辛苦工作的普通防火牆(非綜合安全網關)。我們今天就來說說成長型企業與中大型企業對於網路防護方案所要考慮的問題。
文/圖 王文文為了讓文章看起來像樣一點,我這裡先定義下本文所謂成長型企業和中大型企業的區別。我們假設網路服務訪問量較小的單位(比如人少,機器也不多)為成長型企業,網路服務需求較大的單位(人多,機器多,網路結構複雜)為中大型企業。另外,為了讓那些信奉有圖有真相的技術人員和業內人士能看的舒服一點,我這裡就以拓撲圖為主了(畫工不佳還請見諒)。
成長型企業的網路防護方案 我們先說成長型企業。很多成長型企業的伺服器相對比較簡單,他們大多在IDC裡擁有一台獨立的Web伺服器,接入網路後向人們提供服務。在流量不大的情況下,有兩種方案可供選擇:
1.建議用防火牆加單台WAF或IPS提供防護。。特點:各個裝置獨立工作,發揮自身優勢。針對性防護。無論單點還是叢集,這個方案都無需改動。防火牆方面,可以採用山石網科、聯想網禦等比較成熟的產品。IPS/WAF方面,可以採用啟明星辰、綠盟科技等公司的產品。2.用一台UTM全部搞定。。
UTM是一款綜合的邊界網路防禦裝置,除了防火牆功能,還提供防病毒、入侵防禦、內容過濾、 反垃圾郵件等安全功能。特點:降低網路複雜度,低成本。無論單點還是叢集,這個方案都無需改動。如果對安全性沒有特別要求的情況下,這個基本上可滿足成長型企業的使用。可以採用聯想網禦、山石網科、啟明星辰之類比較著名的國內產品,也可以選擇WatchGuard這樣比較著名的國外產品。
中大型企業的網路防護方案 再來說中大型企業。中大型企業的伺服器部署相對比較複雜,他們大多在IDC中含有大量的伺服器和交換器等等,不光需要承受大流量的壓力,還需要嚴格的安全措施,更有業務分離的要求。我們也有兩種方案可以選擇:1. 和成長型企業類似,一個UTM全部搞定。。
不過這裡用的UTM型號和輸送量就不能用上面一個型號了,必須選擇一款頂的住大流量的。特點:同上。選擇方面,可以採用聯想網禦、山石網科、啟明星辰這幾家的高端產品。2. 使用Web安全網關加入侵檢測加防火牆Web安全網關這個概念有點新,可能有一些讀者不太清楚這是幹嘛的,歡迎大家訪問51CTO安全頻道專題:如何選擇合適的Web安全網關
。。
看到這個圖大家可能會覺得增加了很多東西,我們下面慢慢說。這種類型的方案是對安全性要求特別嚴格的網路準備的。特點:各個裝置獨立工作,發揮自身優勢。針對性防護。在高流量和高壓力下,讓防火牆或IPS入侵檢測裝置對流量檢查之後,再用篩子一般的Web安全網關做最後的深度內容檢測,防止漏網之魚。最大限度保證網路不被攻擊。IPS和防火牆方面的選擇,請參考本文前半部分。Web安全網關方面,可以考慮穩捷網路Wedge 和 Websense。為何推薦這兩款產品,原因是他們兩家比較典型,其中穩捷網路Wedge擅長Transparent方式部署,Websense擅長 Proxy Mode方式部署。大家需根據自身網路情況挑選。
關於中大型企業的2個網路防護方案,誰優誰劣 如果仔細看到這裡的朋友,肯定會有這樣的疑問,我們來聽聽Wedge Networks的CEO張鴻文博士怎麼說的。張鴻文認為:“UTM更適合成長型企業,因為在防病毒、防攻擊效果全開的情況下,很多UTM的效能下降驚人。而 Web安全網關加高效能IPS的模式,更適合中大型企業。”不過也有一些安全廠商對此表示懷疑,因為他們對自己UTM的處理能力非常自信。如果您對此想發表看法或希望提出建議,不妨聯絡我。當然,也歡迎您對這篇文章說點什麼。
