浅谈统一的多重威胁安全解决方案方法

　　越来越复杂的安全威胁、持续提高的规章制度要求以及不断开发的新型应用程序，给企业网络安全带来了更多新问题。由于管理问题，增加更多的单点式解决方案并不总是最理想的方案。Fortinet公司亚太区副总裁Jens Andreassen先生考虑的问题是：企业如何才能进行一种实用的安全差距分析，以及选择合适的厂商来提高网络安全，同时不会增加管理的复杂性。

　　每天都在努力维护网络安全的IT管理者们面临越来越复杂的挑战，因为他们面对的威胁越来越复杂，合规负担不断增加，且新的应用和技术也带来了更多漏洞。

　　黑客们目前更多关注的是获取经济利益而不是扬名立万，而有组织的犯罪在网络安全斗争中开始占据越来越大的比重。此外，由于网络层要求保持持续的警惕并且已经开发出了各种防火墙和入侵防御系统(IPS)，因此，安全问题不仅局限在网络层，进而包括内容(数据)层。

　　信息安全、防病毒、反垃圾邮件、网页过滤、反间谍软件…这个技术需求清单还在不断地加长，小型企业很难跟上这个发展速度。

　　合规与保障应用的指导原则给IT管理者们带来了更重的责任。他们不仅必须采用最新的技术来应对潜在的威胁，而且必须证明已竭尽全力来保护敏感的数据和网络。

　　各种流量和活动都必须记入日志，以便于审查并证明其合规，另外也是为了方便取证。这一点对于查明并迅速修补网络安全制度方面的漏洞至关重要。这些更加重了他们的负担。

　　因此，为了全力提高经营效率和获得竞争优势及业务成功，IT管理者们辛勤工作，努力提供更好的用户移动性、互联互通性和第三方网络接入能力。

　　通过增加新的或升级现有的应用来实现对各种新技术的最基本改善，或许可以提高业务绩效，但不幸的是，这也增加了新的攻击漏洞。

　　实用的网络安全

　　IT安全一般只是总体IT预算的一部分，而总体IT预算又只是总体业务预算的一小部分。我们不仅需要按照各种威胁对业务的潜在影响程度对它们进行分级，而且还需要平衡IT预算中与之相关的技术和产品等。所有这一切都必须按照规则进行，以降低与资本支出相关的运营费用。

　　这就解释了大家对整合网络安全功能越来越感兴趣的原因，因为它能够降低实施和管理安全设施的复杂性和成本。

　　但它同时也为关注统一性的IT管理者提供了一种特别实用的方法，该方法可总结为如下三点：

　　(1)安全更多地被视为网络和应用可用性的一个重要部分，这种可用性使得用户能够完成其主业。在实践中，安全技术和产品的选择是由它们如何服务于这一目标而决定的。这种方法的好处就是能够按照总体IT目标和业务核心轻松地做出安全决策。

　　(2)许多公司认为厂商整合是“要么全做，要么全不做”，而另一些公司则仍然坚持购买完全不同的最佳单功能产品。但实际情况是：即使整合两、三项功能也能带来莫大的好处，如减少管理的复杂性、降低对环境的影响(因为设备更少)并带来更高的投资回报。这些因素将有助于降低网络防护风险，从而应对由采用不同厂商设备导致的不断演变的安全“威胁境遇”。

　　(3)无论采用什么方案，都必须对现有的安全投资进行补充。这个几乎是显而易见而毋庸赘述的，但太多的厂商好像认为他们的解决方案胜过IT管理者多年的谨慎投资、实施、培训和经验。管理的复杂性永远不可能完全避免，但却可以通过选择合适的产品来降低。

　　发现并填补网络安全缺陷

　　制定小规模网络整合计划和从统一威胁管理中受益的一个方法是：将IT基础设施划分为功能性网络分区，这些分区可以是物理的(例如：数据中心或核心网)或者是逻辑的(例如：访客接入或电子邮件通信)。通过这个计划，就能够弄清楚存在什么样的安全缺陷，以及使IT管理员最终确定适当的解决方案。

　　周边

　　数据中心

　　核心网

　　ROBO/SOHO

　　安全的电子邮件通信

　　终点

　　周边

　　网络周边是第一道防线，是各种外部威胁的焦点，特别是网络和内容层上有犯罪目的的外部威胁。潜在的缺陷常见于VPN(IPSEC或SSL)、防火墙、入侵防御系统(IPS)以及各种防病毒解决方案——吞吐量、可用性、最新的威胁程序等等。

　　数据中心

　　数据中心有着各种服务器和应用程序，帮助企业用户开展工作。这里的最大挑战是吞吐量和实时操作，特别是与重要应用程序防病毒和内容扫描有关的吞吐量和实时操作。如果安全解决方案跟不上，某些东西就会溜进来，对众多用户造成影响，即便不是全部用户。

　　核心网

　　核心网上的挑战包括高带宽和大量的并发会话，以及存在小数据包实时应用程序的，如IP语音(VoIP)。

　　许多解决方案声称能够实现对512字节封包的高吞吐量。但实际上，处理较小封包时性能通常会明显下降。尽管核心网主要与防火墙、VPN及IPS运营有关，但是选择的解决方案必须提供可扩展的容量、性能、高可用性和冗余性。这属于加速网络和内容层保护能力的ATCA硬件和专用ASIC处理器的范畴。

　　远程办公/分支机构办公(ROBO)和小型办公/家庭办公

　　远程办公/分支机构办公(ROBO)和小型办公/家庭办公(SOHO)带来了许多同样的问题，同时还增加了无线网络和各种接入设备(如：DSL调制解调器)的漫游用户和攻击漏洞，以及语音和其它实时应用程序的存在。对任意方案提供的小封包吞吐量的检查是非常重要的。

　　安全的电子邮件通信

　　电子邮件是病毒感染的重要途径，是导致数据不安全的主要源头，法律争议的主要传播介质。在合规性方面，先进的存档功能是一项重要的功能，而外发内容过滤能够保护重要的机密信息。

　　终端

　　深度防护要求密切关注网络上的各个终端：台式电脑、笔记本电脑以及越来越多的PDA等。这方面的安全缺陷可能损害网络和应用的完整性，而能够符合企业安全标准是关键。防范间谍软件和病毒的能力尤其重要。个人防火墙和可靠的VPN客户端可以再增加一道防护。

　　全面整合

　　衡量统一威胁管理(UTM)解决方案时，无论对于整个网络安全功能还是其中的一部分，重要的是选择的厂商不仅要提供各种安全技术，而且还要提供统一的管理、报告及威胁分析。否则，各种完全不同的终端产品还是会产生同样的管理负担，对运营成本造成更大的影响。

　　统一管理、报告及分析

　　安全基础设施的管理主要涉及安全策略的制定、发布和实施，以及网络各部分多种安全设备配置的管理。UTM解决方案应能提供一种单一的管理控制平台，具备统一的安全功能、策略提供及配置修改控制，从而实现精细的管理控制。

　　策略管理要求强大的报告功能，这些功能能够将各种设备和技术的活动整合起来，同时提供网络容量并利用各种数据来实现良好的网络管理。预定及按需提供的报告，加上大量的标准报告，意味着在需要的时候能够轻松地进行定制。这些功能包括事件相互关系、取证分析及漏洞扫描等，在与管理控制平台更密切地整合后，都变得非常重要。

　　统一威胁研究

　　任何UTM解决方案都依赖于适时更新的概要、特征、URL和其它威胁信息的，以便跟进迅速演变的威胁。自动更新就能够做到这一点，而按小时而不是按日计算的更新服务等级协议能够为网络提供最好的保护。