企业级安全网关选型探讨.docVIP

企业级安全网关选型探讨 　　【摘 要】企业内外部网络的交互需求越来越多样，传统的防火墙产品已无法满足复杂网络综合性防御的需要，而集成多重安全功能的安全网关则能为企业信息安全构建有力的保护屏障。本文描述了某企业在生产经营中所面临的网络安全需求场景，通过对安全网关产品的介绍及分析对比总结了安全网关的选型思路及建议。 　　【关键词】安全网关；UTM；下一代防火墙 　　1.引言 　　随着企业的快速发展，企业内外部网络的交互需求变得越来越复杂多样，为抵御来自外部网络的安全威胁，企业通常会选择各种安全产品部署在网络边界。这类部署在企业内网与外部网络边界的安全产品通常称之为安全网关。 　　安全网关的产品多种多样，有通用型的防火墙、专用型VPN防火墙、入侵检测/防御设备、防病毒网关、应用控制防火墙、集成多种安全功能的UTM（统一安全威胁）和NGFW（下一代防火墙）等，如何选择合适的安全产品构建起企业内网安全的铜墙铁壁也是一项复杂的系统工程。 　　以某企业的实际需求为例：该企业的内外部网络访问需求场景如图1所示。 　　在图1里场景一描述了员工要求在公网上通过WEB网页访问企业的办公系统；场景二描述了分支机构或办事处要求通过专线获得企业内网的IP地址访问各类服务器；场景三描述的是企业需要对员工访问Internet的内容进行管控；场景四则描述的是企业与合作伙伴之间有互访需求，但是为保障信息安全，双方需隐藏真实的主机IP和路由信息，转换成私网地址进行通信。 　　不同的需求场景对应不同的网络技术和安全产品，是购买不同的安全设备分别实现还是寻找一种安全产品一次解决所有需求？哪一种性价比更高、更利于管理和维护？让我们先看看有哪些安全网关产品可以供我们选择。 　　2.主要安全网关产品介绍与分析 　　纵观安全网关的产品演变历史，可以看出其发展趋势是在功能与性能之间寻求最佳平衡点，从这个角度上说，安全网关大致可以分为如下三种类型（当然，还有按架构、功能等的分类方法，本文不讨论）： 　　2.1 单一功能安全网关 　　（1）防火墙：最早期的安全网关非防火墙莫属了，防火墙是一种防御OSI 模型四层以下攻击的安全设备，传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量，实现IP 地址、端口层面的安全防护。在网络发展的初期，确实起到很大的作用，但随着网络攻击技术的日新月异，OSI 模型四层以上尤其是应用层的攻击逐渐成为主流，传统的防火墙已经无能为力，于是就催生了一批新型的安全网关。 　　（2）VPN防火墙：VPN（虚拟专用网络）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，该连接是一条穿过混乱的公用网络的安全、稳定的加密隧道，常用的VPN防火墙技术有IPsec VPN和 SSL VPN等。 　　（3）防病毒网关：是一种用以保护网络内（一般是局域网）进出数据安全的网络设备。主要体现在病毒查杀、关键字过滤（如色情、反动）、垃圾邮件阻止等功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。 　　（4）上网行为管理设备：通过硬件内置的应用识别规则库、网页地址库，结合深度内容检测、网页智能识别等技术，帮助企业管理和控制用户对互联网的使用，通常包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。 　　还有很多其它单一功能的安全网关，这里就不详述了。 　　2.2 UTM（统一威胁管理） 　　UTM（Unified Threat Management）即统一威胁管理，最早由IDC于2004年提出。根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。现在的UTM通常是用于全方位解决企业综合网络安全问题的产品，另外还集成了VPN、访问控制、垃圾邮件拦截、服务质量（QoS）、负载均衡和高可用性（HA）等功能。 　　2.3 NGFW（下一代防火墙） 　　虽然下一代防火墙产品还没有一个统一的标准，但业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。Gartner 认为，下一代防火墙是一种多功能集成式线速网络安全处理平台，包含所有标准功能，如常见的网络地址转换（NAT）、包过滤和深度包检测（DPI）等功能，而应用识别、控制和可视化是其重要的核心特性。 　　3.产品选型 　　针对企业的需求场景，并结合当前主流的安全技术，我们首先可以明确的是：该企业需要一台带SSL VPN功能和IPSec VPN功能的防火墙来分别实现远程办公和办事处电脑的接入；还需要一台能进行双向地址转换的高性能防火墙实现企业与合作商网络之间的大数据量快速转发；