企業如何考慮自己的網絡防護設備
原創【51CTO.com獨家特稿】在IT投入還比較舍得的公司里面,除去功能強大(思科/華為/3COM一類)的路由器之外,大多都有UTM或IPS或Web安全網關之類的安全設備。當然,我們不能忘記一直辛苦工作的普通防火墻(非綜合安全網關)。我們今天就來說說成長型企業與中大型企業對于網絡防護方案所要考慮的問題。
為了讓文章看起來像樣一點,我這里先定義下本文所謂成長型企業和中大型企業的區別。
我們假設網絡服務訪問量較小的單位(比如人少,機器也不多)為成長型企業,網絡服務需求較大的單位(人多,機器多,網絡結構復雜)為中大型企業。
另外,為了讓那些信奉有圖有真相的技術人員和業內人士能看的舒服一點,我這里就以拓撲圖為主了(畫工不佳還請見諒)。
成長型企業的網絡防護方案
我們先說成長型企業。很多成長型企業的服務器相對比較簡單,他們大多在IDC里擁有一臺獨立的Web服務器,接入網絡后向人們提供服務。在流量不大的情況下,
有兩種方案可供選擇:
1.建議用防火墻加單臺WAF或IPS提供防護。如圖所示。
特點:各個設備獨立工作,發揮自身優勢。針對性防護。無論單點還是集群,這個方案都無需改動。
防火墻方面,可以采用山石網科、聯想網御等比較成熟的產品。
IPS/WAF方面,可以采用啟明星辰、綠盟科技等公司的產品。
2.用一臺UTM全部搞定。如圖所示。
UTM是一款綜合的邊界網絡防御設備,除了防火墻功能,還提供防病毒、入侵防御、內容過濾、 反垃圾郵件等安全功能。
特點:降低網絡復雜度,低成本。無論單點還是集群,這個方案都無需改動。如果對安全性沒有特別要求的情況下,這個基本上可滿足成長型企業的使用。
可以采用聯想網御、山石網科、啟明星辰之類比較著名的國內產品,也可以選擇WatchGuard這樣比較著名的國外產品。
中大型企業的網絡防護方案
再來說中大型企業。中大型企業的服務器部署相對比較復雜,他們大多在IDC中含有大量的服務器和交換機等等,不光需要承受大流量的壓力,還需要嚴格的安全措施,更有業務分離的要求。
我們也有兩種方案可以選擇:
1. 和成長型企業類似,一個UTM全部搞定。如圖所示。
不過這里用的UTM型號和吞吐量就不能用上面一個型號了,必須選擇一款頂的住大流量的。
特點:同上。
選擇方面,可以采用聯想網御、山石網科、啟明星辰這幾家的高端產品。
2. 使用Web安全網關加入侵檢測加防火墻
Web安全網關這個概念有點新,可能有一些讀者不太清楚這是干嘛的,歡迎大家訪問51CTO安全頻道專題:如何選擇合適的Web安全網關。如圖所示。
看到這個圖大家可能會覺得增加了很多東西,我們下面慢慢說。這種類型的方案是對安全性要求特別嚴格的網絡準備的。
特點:各個設備獨立工作,發揮自身優勢。針對性防護。在高流量和高壓力下,讓防火墻或IPS入侵檢測設備對流量檢查之后,再用篩子一般的Web安全網關做最后的深度內容檢測,防止漏網之魚。最大限度保證網絡不被攻擊。
IPS和防火墻方面的選擇,請參考本文前半部分。
Web安全網關方面,可以考慮穩捷網絡Wedge 和 Websense。他們兩家比較典型,其中穩捷網絡Wedge擅長Transparent方式部署,Websense擅長Proxy Mode方式部署。大家需根據自身網絡情況挑選。
關于中大型企業的2個網絡防護方案,誰優誰劣
如果仔細看到這里的朋友,肯定會有這樣的疑問,我們來聽聽Wedge Networks的CEO張鴻文博士怎么說的。
張鴻文認為:“UTM更適合成長型企業,因為在防病毒、防攻擊效果全開的情況下,很多UTM的性能下降驚人。而Web安全網關加高性能IPS的模式,不光可以擋住攻擊,還能做到深度過濾,因此更適合中大型企業。”
不過也有一些安全廠商對此表示懷疑,因為他們對自己UTM的處理能力非常自信。如果您對此想發表看法或希望提出建議,不妨聯系我。當然,也歡迎您對這篇文章說點什么。
【編輯推薦】
