|
|
破解三 分析“集成安全网关”
随着IPS的不断发展,一种融合了IPS、防火墙、VPN甚至是防病毒功能的产品逐渐流行,这就是所谓的集成安全网关,以Juniper ISG为例,将第四代安全ASIC和可插拔的安全模块结合在一起,而且每个模块都带有自己的处理容量和存储器,可以提供IDP(IDS+IPS)、防火墙和VPN功能。此外,像TippingPoint、Fortinet、Symantec也都有类似的产品。
Juniper大中华区新兴技术经理吴若松认为,此类产品对用户的诱惑很大,因为这种产品可以提供安全处理能力与网络分段特性,可以防止蠕虫、特洛伊木马、间谍软件和恶意软件等现有的和新出现的应用层威胁。同时,状态特征和协议异常检测等多种攻击检测机制,使IDP能够深入分析应用协议与上下文状态,以便有针对性地提供应用防护。
Radware资深工程师滕昕表示,一般集成化的产品网络性与易用性都非常优秀,大部分产品都考虑到了简化网络部署的需求,可以将IPS产品和操作系统无缝集成,并充分利用经过验证的互联网特性,如OSPF、BGP、RIPv2等动态路由,通过虚拟路由器实现多个路由域,以及实现NAT、路由、透明部署等功能项。
另外,此类产品一般都支持基于策略的管理,管理软件可以提供逐条规则的精细度与灵活性,企业的网络管理员可以根据各种规则和协议,部署串联或者监听模式。而基于角色的管理允许安全团队将管理权分配给适当人员,让一个团队负责管理IPS组件,而让其他团队负责管理防火墙、VPN等。一般这种管理采用图形化界面,可以快速地进行攻击和事故调查,以及审核与提交报告等工作。
从目前的使用上看,这种产品在新建企业和大型企业的分支机构使用较多,大多分为100Mbps或者1Gbps。
国内用户应当注意的是,选择此类产品一定要结合自身的应用。因为不同产品支持的特性不一样,以集成的防火墙功能为例,一些安全网关只是集成了精简版的防火墙,对于NAT或者动态端口功能并不支持。
因此,如果用户需要在防火墙上做NAT,或者希望采用VoIP实现语音传输,那么就不能选择此类产品。相反的,一些刚建立的企业机构,在内部应用不多的情况下,选用此种产品无疑是划算的。
根据IDC发布的案例,美国的一家财务公司,在全球有12个分支机构,原计划使用多台防火墙并搭配250个许可证的IDS。最终,该公司仅用了30个许可证的集成安全网管产品就实现了全球网络的入侵防护,而管理人员只需要3至4人,效率却提高了6倍以上。
|
|
