在應用安全網關產品的投標中,往往可以看到UTM,上網行爲管理,防病毒網關,Web安全網關這幾類的產品。一個企業的公開招標,可以看到有至少10家不同類型的廠商參與投標。用戶會產生很大的困惑,究竟什麼樣的產品纔是最符合需求呢?在下面的內容裏,將從網絡安全的發展角度、用戶的需求偏重點、功能、性能等幾個方面做具體的探討。
下面,將從網絡安全的發展角度分析這幾種網關產品的由來以及發展趨勢。
如果說路由器實現了企業內部網與Internet的互聯互通,那麼網絡層防火牆就是企業內部網與Internet互聯互通上的過濾崗哨,它根據數據包的性質(數據包的性質有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等。)進行包過濾,主要發揮在網絡層的訪問控制保障作用。
網絡層防火牆在20世紀90年代推向市場,設計策略遵循安全防範的基本原則是“除非明確允許,否則就禁止”。爲了實現企業內部網與Internet的互聯互通,以滿足企業基本Internet應用的需求,通常網絡層防火牆對外開放了80、443、25、110和21等http、https、smtp、 pop3和FTP這幾種協議常用的標準端口。
然而,如今隨着網絡技術的發展,80、443、25、110和21端口不再僅僅是常用的 http、https、smtp、pop3和FTP等應用協議使用的專利,越來越多的應用可以自動掃描防火牆的開放端口進行通信,例如IM、P2P、流媒體、網絡遊戲、網絡炒股等Internet應用,同時網絡威脅的散佈與***技術也不再限於網絡層,而上升到基於http、 https、smtp、pop3和FTP等應用協議的數據包中。這樣一來傳統網絡層防火牆基於數據包性質的過濾規則,就沒法檢測數據包的內容,也就無法分析檢測過濾出其中的網絡應用威脅。
於是爲了防禦網絡層防火牆通常所開放的這5個常用Internet應用協議所帶來的網絡威脅,像***、病毒、間諜軟件等,出現了防病毒網關(這是國內的叫法,國外叫Anti-malware網關)。同時出現的還有上網行爲管理產品,對IM,P2P,流媒體,網絡遊戲,網絡炒股、web2.0站點等加以管控,他的強項在於對於網絡應用的管理,而並非防禦網絡應用威脅。Web安全網關最早出現是在防病毒網關的基礎上增加了對 URL的分類過濾,主要實現對http、https、FTP、SMTP、POP3等應用協議的安全與web內容的過濾管控。
隨着 Internet應用技術的發展變化,爲了實現全面的Internet應用安全與管理,web安全網關在防病毒的基礎上又集成了應用控制、帶寬管理等上網行爲管理類產品的大部分功能。除了上面應用層的網關廠商,傳統的防火牆廠商也在拓展其功能。在傳統的網絡層訪問控制的基礎上增加了網絡應用的識別與管控,具有了應用控制、帶寬管理甚至URL過濾等功能,叫法也變成了應用防火牆。功能最全面的應用網關是UTM,它包括網絡層防火牆、垃圾郵件過濾、IPS、防病毒,URL過濾、應用控制和帶寬管理等一系列的功能。
但是,面對以上衆多功能有相互融合和***的產品,用戶該如何選購?
大企業的選擇——偏重於安全
金融,運營商等大型企業的辦公與業務系統對安全非常重視,因爲***,間諜軟件植入企業內部的主機或者終端會對企業造成無法彌補的危害和經濟損失,所以他們通常都有較完整的網絡安全防護架構,防火牆中啓用的訪問控制策略也比較多,在這種情況下用戶只需要增加對必須開放的端口以及應用協議進行防護。例如郵件與Web應用,郵件有專門的郵件安全網關,web需要web安全網關或者防病毒網關。雖然UTM設備裏面有郵件安全與web安全的組件,但是防護效果不一定滿足這類用戶的需求。
例如對於防病毒的功能,大企業用戶首要關心的是性能,其次是查殺防護效果,即識別率,最後還關心增強的功能,是否支持多種協議,是否具有多種部署方式等,當然功能上至少支持http,https,pop3,smtp,ftp這5種應用協議的掃描過濾。性能是否滿足,一上線就能體現,同樣對這類用戶性能滿足的同時,過濾防護效果也非常重要。因爲全球每年產生的malware數量會超過500萬個,設備中內置的特徵庫應該可以找到至少500萬個樣本,這樣才能保證識別1年內的所有威脅。
犧牲特徵數量,可以大幅提升性能,但卻不能做到有效的防護。通常UTM設備會放2萬個左右的特徵,最多找到100萬左右的樣本。這樣的樣本數量相當於專業病毒廠商4個月左右的樣本數量。所以大型企業用戶通常會選擇專業的防病毒網關或者web安全網關。 Web安全網關與防病毒網關實現的安全部分功能非常類似,但是web安全網關還增添了Internet應用接入的管控功能。對上網行爲會作相應管理與控制,這些都可以輔助加強企業的網絡安全。例如對IM進行控制,同樣可以阻斷病毒的一部分傳播渠道。
小企業的選擇——偏重於管理
小企業並不是不重視安全,只是爲了做到安全而採購防火牆,IPS,防病毒網關,郵件安全網關等一系列產品,投資與潛在風險危害不成比例,性價比不高。所以小企業更願意選擇管理類的上網行爲管理與綜合類的UTM。對於小企業的管理者或者網管人員,很容易看到上網行爲管理產品的效果。可以迅速提高生產力與實現帶寬的優化。同樣 UTM產品也是不錯的選擇,因爲企業可以得到更多的功能而只花很少的費用。而且通常小企業用戶數有限也不會碰到性能的瓶頸。當然也需要UTM廠商集成優秀廠商的病毒引擎,病毒庫,垃圾郵件引擎,URL引擎與數據庫,這樣可以給小企業用戶提供更完美的體驗。
上面是基於用戶需求所作的選擇分析,下面將對這幾類產品自身特點作簡單分析。
首先性能方面: 讓我們拋開產品的界限,以不同的應用功能來做其重點性能的分析:?
◆網絡層防火牆,性能體現在tcp連接與udp轉發,目前市面上最高端的性能已經高達10G,因爲在底層轉發使用了專有芯片或網絡處理器來加速。?
◆帶寬管理,性能瓶頸在於udp包轉發,在此基礎上要對協議進行識別,對於普通企業來說,1G的帶寬管理已經足夠。?
◆URL過濾,性能瓶頸在於http proxy的處理速度,經過優化之後最好的設備可達線速。?
◆網關防病毒的性能瓶頸在於基於特徵的掃描與 http的併發連接,通過硬件的掃描加速可以實現http 1G基於特徵的掃描和實際環境中4萬左右的http併發。
以上每個功能單獨做到極致都會沒有辦法處理其他功能,但市面上優秀的web安全網關,例如安啓華的web安全網關設備在千兆網絡環境中可以啓用多種功能,這對於大企業來說完全滿足需求。
其次從功能上判斷:
帶有安全功能的是UTM與防病毒網關、web安全網關。帶有管理功能的是 UTM、web安全網關與上網行爲管理網關。安全通常帶有全球的特性,所以國際廠商通常從安全入手,增加管理功能滿足用戶需求。管理帶有明顯區域特性,所以通常國內廠商會佔有更高的份額,因爲對區域性的應用能夠及時更新與控制。既做到全球性的安全,又做到區域性的管理功能是每個廠商追求的目標,只有市場纔可以真正檢驗。