如何選擇復(fù)合型的網(wǎng)絡(luò)防火墻

文章來源：泛普軟件

內(nèi)容的安全檢查技術(shù)（Content Inspection security technology）與反病毒和入侵監(jiān)測系統(tǒng)（intrusion detection systems ，IDS）在網(wǎng)絡(luò)防火墻中的應(yīng)用正在逐漸融合。研究表明，防火墻所支持的反病毒解決方案跨越了中小型企業(yè)（Small and Medium Businesses ，SMB）、大型企業(yè)、和服務(wù)供應(yīng)商。

長期以來，防火墻都以提供周邊安全和保證VPN連接著稱。Yankee Group的調(diào)查表明，在2002年，防火墻和反病毒解決方案占到了企業(yè)安全產(chǎn)品和服務(wù)支出的78%。

技術(shù)發(fā)展軌跡
Yankee Group預(yù)計(jì)在未來的五年內(nèi)，反病毒（AV）解決方案的首要任務(wù)將轉(zhuǎn)變成服務(wù)提供者網(wǎng)絡(luò)。我們預(yù)計(jì)在2003年底，將出現(xiàn)第一批為用戶提供反病毒服務(wù)的ISP，他們以此來增加收入。我們預(yù)計(jì)將會出現(xiàn)三個階段：

階段一：防火墻為AV產(chǎn)業(yè)鏈重新定向郵件通信。企業(yè)經(jīng)常會采用三家甚至更多供應(yīng)商的AV產(chǎn)品，并希望它們中的至少一個能夠捕獲一個病毒或者蠕蟲。這是市場上處于領(lǐng)導(dǎo)地位的防火墻供應(yīng)商為大型企業(yè)所提供的最受歡迎的解決方案，比如Check Point、Cisco、Netscreen、Nortel還有Symantec，這些廠商讓電子郵件通信通過Network Associates、Sophos、Symantec、Trend Micro反病毒網(wǎng)關(guān)。

階段二：防火墻。在允許通信之前，要檢查注冊表中關(guān)于終端的狀態(tài)，看其是否與AV更新的安全策略相沖突。這是對暴露在企業(yè)局域網(wǎng)（ISP來自家里或是在路上）之外的終端的流行解決方案。

階段三：在通信進(jìn)行之前就通過防火墻進(jìn)行AV操作。當(dāng)防火墻把信息包重新組合，ASIC在允許信息進(jìn)入網(wǎng)絡(luò)之前就把病毒清除了。這個產(chǎn)品為SMB節(jié)省了一個單獨(dú)的管理點(diǎn)，并為ISP提供了高效能。網(wǎng)絡(luò)通信安全性的增加是能夠掃描所有的病毒，而不僅僅是使電子郵件變得安全了。

技術(shù)能力
防火墻為濾除不必要的通信提供了唯一的入口。防火墻、VPN、還有AV等多個安全功能使用同一個管理界面。

對于高等級的安全防護(hù)來說防火墻是最佳的。供應(yīng)商通過為客戶定制ASIC來達(dá)到更高的性能等級，比如Fortinet公司的產(chǎn)品，或者在設(shè)備中使用更大的處理器，比如ServGate和Symantec的產(chǎn)品。

AV中額外增加的一層會減少企業(yè)的風(fēng)險性。當(dāng)簽名匹配時，AV產(chǎn)品是可以互通的，但是它們之間檢測新病毒和修復(fù)被病毒侵襲的文件的能力卻各有高低。

對于中小企業(yè)（SMB）和遠(yuǎn)程辦公/分支辦公室（ROBO）來說，整合了AV和VPN功能的防火墻是最理想的選擇，因?yàn)檫@符合它們只想要少量管理的要求。

整合了額外性能的防火墻還能夠很好的適應(yīng)ISP。

技術(shù)挑戰(zhàn)
整合防火墻解決方案需要增強(qiáng)其能力，以保護(hù)連接到網(wǎng)絡(luò)的便攜式電腦。連接到其他網(wǎng)絡(luò)的遠(yuǎn)程用戶（比如在ISP那里的一個個人賬號）也需要基于主機(jī)的AV來保證其完整性。

整合防火墻解決方案為AV保護(hù)提供了多余的一層，這對于那些已經(jīng)使用Symantec，Trend Micro和McAfee交叉防護(hù)的大企業(yè)來說，并沒有什么太多的價值。

ISP不提供反病毒掃描作為其增加收入的基本的網(wǎng)絡(luò)服務(wù)。一旦這成為現(xiàn)實(shí)，終端將能夠獲得全面的AV防護(hù)，不用再考慮是企業(yè)還是公共網(wǎng)絡(luò)連接。

整合防火墻技術(shù)在反病毒中的定位在表1列出，實(shí)心圈表示優(yōu)點(diǎn)，空心圈表示缺點(diǎn)。

表1：整合防火墻和AV的各個階段
資料來源: the Yankee Group, 2003

	供應(yīng)商	SMB	企業(yè)	服務(wù)供應(yīng)商
階段一：防火墻重新定向AV通信	Check Point Cisco Nortel Netscreen	對于SMB市場來說太貴了。	在AV中各層都允許選擇最好的產(chǎn)品	在AV中各層都允許選擇最好的產(chǎn)品
階段二：防火墻管理終端AV	SonicWALL Watchguard Zone Labs	如果終端通信在網(wǎng)絡(luò)之外，TCO（成本）比較低。	對于大型公司的終端比較合適。	采用多AV廠商產(chǎn)品，價值不足。
階段三：防火墻與AV整合	Fortinet ServGate Symantec	如果終端在網(wǎng)絡(luò)內(nèi)，比較低的TCO。	多一層AV防護(hù)，多一項(xiàng)費(fèi)用。	性能支持AV定制收入服務(wù)。

供應(yīng)商的建議
擁有成本將仍然成為提供網(wǎng)絡(luò)設(shè)備日常內(nèi)容監(jiān)測服務(wù)的推動力量。通過背后無數(shù)分級分布（tiered-distribution）的合伙者，AV和防火墻供應(yīng)商巧妙的把程序安裝在客戶端，并通過訂閱服務(wù)來贏得市場。廠商將把AV引擎內(nèi)置到大型的防火墻中，來產(chǎn)生新的訂閱收入。

為擁有不到50人員工的SMB和家庭工作室提供簡單的解決方案。這個市場沒有IT管理，減少功能會增加管理復(fù)雜性。

安全服務(wù)供應(yīng)商提供整合了防火墻，VPN，反病毒的管理服務(wù)?？傮w擁有的費(fèi)用是個問題。

給企業(yè)的建議
任何企業(yè)都不應(yīng)該在沒有防火墻和反病毒保護(hù)的情況下訪問互聯(lián)網(wǎng)。企業(yè)應(yīng)該評估出能夠最有效節(jié)約費(fèi)用的防護(hù)方法。主要使用桌面電腦的中小型企業(yè)，比如遠(yuǎn)程辦事處/分支機(jī)構(gòu)市場應(yīng)該安裝價格比較低的整合型防火墻。Yankee Group推薦Fortinet、ServGate和Symantec的產(chǎn)品。

擁有連接外部網(wǎng)絡(luò)手提電腦的SMB和ROBO應(yīng)該安裝防火墻，并管理桌面電腦的AV簽名。Yankee Group在這里推薦SonicWALL和WatchGuard。

互聯(lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)該針對家庭用戶和SMB，尋找能夠產(chǎn)生更多收入的反病毒服務(wù)。使用高性能的客戶定制ASIC能夠讓防火墻在發(fā)送一封電子郵件之前就把病毒清除干凈，并能夠增加收入。

來源：zdnet

發(fā)布：2007-04-22 10:10 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：