企業(yè)如何修煉統(tǒng)一安全防御能力

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

安全威脅的種類(lèi)和破壞力在與時(shí)俱進(jìn)，這是安全領(lǐng)域最令人不安的事實(shí)之一。與安全隱患作斗爭(zhēng)不是一項(xiàng)簡(jiǎn)單的任務(wù)。過(guò)去，企業(yè)IT團(tuán)隊(duì)使用多種工具的組合解決各種安全問(wèn)題。現(xiàn)在這種方法已因成本過(guò)高和無(wú)法擴(kuò)展而變得不合實(shí)宜，而非集成工具的維護(hù)工作過(guò)于復(fù)雜正是造成上述缺陷的首要原因。因此，IT團(tuán)隊(duì)開(kāi)始將目光轉(zhuǎn)向具有高可靠性的集成安全解決方案。

安全管理的現(xiàn)狀促使越來(lái)越多的中小型企業(yè)(SME)轉(zhuǎn)而青睞統(tǒng)一威脅管理(Unified Threat Management/UTM)相關(guān)解決方案。在大型組織機(jī)構(gòu)的數(shù)據(jù)中心及隔離區(qū)(DMZ)等數(shù)據(jù)集聚點(diǎn)，巨大數(shù)據(jù)流量的壓力和用戶(hù)對(duì)高速度的追求使專(zhuān)門(mén)的威脅管理解決方案成為必需。

就目前而言，無(wú)論是少林金鐘罩，還是武當(dāng)鐵布衫，需要雙管齊下：將統(tǒng)一威脅管理解決方案運(yùn)用于分支機(jī)構(gòu)，同時(shí)將專(zhuān)門(mén)的高性能威脅管理設(shè)備運(yùn)用于核心中樞部門(mén)，這種"兩手都要硬"的策略不失為分布式企業(yè)的最佳選擇。

為統(tǒng)一威脅管理解決方案辯明真身

將高性能放在首位的客戶(hù)可能會(huì)選擇單一功能的安全產(chǎn)品;但是，多種專(zhuān)業(yè)設(shè)備的部署和管理將會(huì)耗費(fèi)大量成本。除支付購(gòu)買(mǎi)多種產(chǎn)品單元的初期投資外，IT團(tuán)隊(duì)可能還要花費(fèi)精力應(yīng)對(duì)五花八門(mén)的用戶(hù)界面與管理工具，而統(tǒng)一威脅管理解決方案則能夠在大多數(shù)情況下為用戶(hù)提供性能、成本與可管理性之間的最佳結(jié)合點(diǎn)。不過(guò)我們應(yīng)該注意的是，并不是出門(mén)去隨便購(gòu)買(mǎi)一套統(tǒng)一威脅管理解決方案就萬(wàn)事大吉。各家廠商生產(chǎn)的統(tǒng)一威脅管理解決方案大相徑庭，因此我們強(qiáng)烈建議客戶(hù)，在為基礎(chǔ)設(shè)施選定具體的安全解決方案之前，首先要仔細(xì)比較各種產(chǎn)品在性能和技術(shù)規(guī)范上的不同之處。

產(chǎn)品功能的質(zhì)量是否統(tǒng)一

市場(chǎng)上出現(xiàn)的各種統(tǒng)一威脅管理解決方案設(shè)備可能并不具備統(tǒng)一的強(qiáng)大功能。廠商可能只是將來(lái)自不同開(kāi)發(fā)者和第三方供應(yīng)商的防病毒軟件、防火墻和網(wǎng)頁(yè)過(guò)濾功能集合在一起，作為整套統(tǒng)一威脅管理解決方案出售。受低成本或劣質(zhì)產(chǎn)品設(shè)計(jì)的影響，具體的統(tǒng)一威脅管理解決方案產(chǎn)品可能會(huì)含有設(shè)計(jì)不合理的技術(shù)，進(jìn)而導(dǎo)致最終產(chǎn)品的質(zhì)量良莠不齊，使性能的可靠性受到損害。

考慮到統(tǒng)一威脅管理解決方案在保護(hù)企業(yè)數(shù)據(jù)安全方面扮演的關(guān)鍵角色，我們建議IT經(jīng)理人選擇頂級(jí)質(zhì)量的統(tǒng)一威脅管理解決方案，以使企業(yè)享受到市場(chǎng)領(lǐng)先供應(yīng)商提供的先進(jìn)功能，從而確保針對(duì)安全威脅的有效防御。

是否擁有全面的安全保護(hù)功能

選擇優(yōu)秀的統(tǒng)一威脅管理解決方案，意味著客戶(hù)將坐擁整套安全保護(hù)功能，包括互為補(bǔ)充的主動(dòng)反應(yīng)機(jī)制與被動(dòng)反應(yīng)機(jī)制，以及具有可視性和可控制性特點(diǎn)的網(wǎng)絡(luò)層機(jī)制。

真正的統(tǒng)一威脅管理解決方案不僅能夠滿(mǎn)足上述全部要求，還要具備以下功能：虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)、多層防火墻、多方位侵入監(jiān)測(cè)與預(yù)防機(jī)制、多協(xié)議防病毒軟件、反間諜軟件(anti-spyware)、反網(wǎng)絡(luò)釣魚(yú)軟件(anti-phishing)、反垃圾郵件(anti-spam)以及網(wǎng)頁(yè)過(guò)濾等。

是否應(yīng)用虛擬技術(shù)

虛擬功能是強(qiáng)大的統(tǒng)一威脅管理解決方案所應(yīng)具備的重要特點(diǎn)之一。統(tǒng)一威脅管理解決方案采用的虛擬技術(shù)允許管理員將不同的"虛擬"統(tǒng)一威脅管理解決方案部署到不同的網(wǎng)絡(luò)分區(qū)或用戶(hù)組，從而利用統(tǒng)一界面對(duì)整個(gè)系統(tǒng)進(jìn)行管理。這一重要功能幫助管理員應(yīng)用不同種類(lèi)的接入請(qǐng)求，根據(jù)不同的安全策略以簡(jiǎn)易而安全的方式劃分用戶(hù)組和數(shù)據(jù)通信種類(lèi)。虛擬技術(shù)的本質(zhì)在于模擬網(wǎng)絡(luò)中擁有多部設(shè)備，而無(wú)需真正部署設(shè)備，從而節(jié)約了管理成本與部署成本所需的人力物力。

統(tǒng)一威脅管理解決方案采用的部分虛擬技術(shù)包括：

-安全區(qū)域(Security Zones)，即分布在邏輯區(qū)中的網(wǎng)絡(luò)邏輯分區(qū)。安全區(qū)域可分配給物理接口，也將整部設(shè)備分配給虛擬系統(tǒng)。在后一種設(shè)置中，多個(gè)安全區(qū)域共享同一個(gè)物理接口，從而增加接口密度，降低設(shè)備成本。

-虛擬系統(tǒng)，即分區(qū)附加層次，能夠創(chuàng)建多個(gè)獨(dú)立的虛擬環(huán)境。各個(gè)虛擬環(huán)境都擁有自己的用戶(hù)、防火墻、VPN、安全策略和管理接口。虛擬系統(tǒng)允許管理員迅速將網(wǎng)絡(luò)劃分為由單一設(shè)備管理的多個(gè)安全環(huán)境，從而幫助網(wǎng)絡(luò)操作員創(chuàng)建多用戶(hù)解決方案，同時(shí)減少防火墻數(shù)目，降低管理壓力。這種方法能夠有效地降低成本與運(yùn)營(yíng)開(kāi)支。

-虛擬路由器。此功能幫助管理員對(duì)單一設(shè)備進(jìn)行分區(qū)，使其起到多部物理路由器的作用。各個(gè)虛擬路由器可對(duì)各自的域提供支持，確保路由信息不與建立在其他虛擬路由器上的域進(jìn)行交換，從而避免了通信混亂。

-虛擬局域網(wǎng)(LAN)。即子網(wǎng)絡(luò)的邏輯(而非物理)分支，幫助管理員確認(rèn)通信并對(duì)其進(jìn)行細(xì)分。安全策略可以具體規(guī)定由各個(gè)虛擬局域網(wǎng)(VLAN)至安全區(qū)域、虛擬系統(tǒng)或物理接口的通信路由，從而幫助管理員確認(rèn)并組織多個(gè)部門(mén)之間的通信，并確定哪些資源可被訪問(wèn)。

是否具備網(wǎng)頁(yè)過(guò)濾方法的選擇

市場(chǎng)上的大多數(shù)統(tǒng)一威脅管理解決方案都具有網(wǎng)頁(yè)過(guò)濾功能。IT經(jīng)理人必需對(duì)哪一種網(wǎng)頁(yè)過(guò)濾功能最適合企業(yè)需要有清醒的認(rèn)識(shí)。

某些統(tǒng)一威脅管理解決方案擁有外部網(wǎng)頁(yè)過(guò)濾功能，能夠使通信流量由設(shè)備轉(zhuǎn)而流向?qū)Ｓ玫木W(wǎng)頁(yè)過(guò)濾服務(wù)器，以執(zhí)行網(wǎng)頁(yè)過(guò)濾策略。還有一些統(tǒng)一威脅管理解決方案具備集成式網(wǎng)頁(yè)過(guò)濾功能，能夠幫助企業(yè)建立自己的網(wǎng)頁(yè)訪問(wèn)策略，通過(guò)一個(gè)不斷更新的數(shù)據(jù)庫(kù)有選擇地阻止對(duì)某些網(wǎng)站的訪問(wèn)。

無(wú)論選擇哪一種過(guò)濾方法，統(tǒng)一威脅管理解決方案都應(yīng)能夠使企業(yè)組織將所選方法迅速付諸實(shí)施。此外，統(tǒng)一威脅管理解決方案還應(yīng)幫助IT經(jīng)理人使用黑名單、白名單及其他各種預(yù)定義及用戶(hù)定義策略定制網(wǎng)頁(yè)過(guò)濾解決方案。

專(zhuān)門(mén)的威脅管理解決方案

許多擁有大型數(shù)據(jù)中心的大企業(yè)或公司需要部署額外的威脅管理工具，如防火墻、防病毒網(wǎng)關(guān)、防入侵系統(tǒng)等，以滿(mǎn)足對(duì)系統(tǒng)大容量和高性能的需要。

還有一些企業(yè)可能需要適用于具體應(yīng)用或系統(tǒng)的專(zhuān)用威脅管理產(chǎn)品，以保護(hù)關(guān)鍵任務(wù)應(yīng)用、特殊安全功能，或在更大的組織內(nèi)區(qū)分所有者的權(quán)利和義務(wù)。此類(lèi)產(chǎn)品包括電子郵件安全網(wǎng)關(guān)、網(wǎng)頁(yè)應(yīng)用安全網(wǎng)關(guān)及遠(yuǎn)程接入安全網(wǎng)關(guān)等。

Juniper的統(tǒng)一威脅管理解決方案

Juniper網(wǎng)絡(luò)公司認(rèn)為，將少林金鐘罩和武當(dāng)鐵布衫合并修煉才能達(dá)到上乘境界，也即對(duì)統(tǒng)一威脅管理解決方案和專(zhuān)門(mén)的威脅管理產(chǎn)品的統(tǒng)一管理是提供集中式無(wú)縫安全管理的最佳途徑。

Juniper網(wǎng)絡(luò)公司的統(tǒng)一威脅管理解決方案擁有多種安全性能，在一種產(chǎn)品內(nèi)實(shí)現(xiàn)了狀態(tài)監(jiān)控防火墻(stateful firewall)、IPSec、VPN、IPS、防病毒、防間諜、防惡意軟件以及防網(wǎng)絡(luò)釣魚(yú)等多種功能。Juniper的UTM解決方案還得到了業(yè)內(nèi)一流合作伙伴的支持，包括賽門(mén)鐵克(Symantec)、卡巴斯基(Kaspersky)和SurfContral等公司。此外，Juniper的解決方案具有很高的成本效益，且能夠完成快速實(shí)施，對(duì)用戶(hù)帶來(lái)更大的便利。
(techtarget)