随着各行业信息化进程的深入,网络边界安全正在进入一个全新的发展阶段。"网络边界"可以从两个方面进行理解:一个是"人网边界",也就是我们经常提出的桌面安全,这是人与网络的分界处。
另一个是"网网边界",直白理解就是网络与网络的交界,由于局域网或园区网规模已经发展到一定规模,采用"安全域边界"这个词来理解会更加贴切一些。
各种威胁的对象正在由主机资源转变为网络资源,与此相对应,安全域边界也就成为网络建设者最为关注的方面,安全网关作为域边界的主要防护设备也在不断优化以适应新的安全发展需要。
一、网关安全之惑--复杂
安全网关有很多种,包括防火墙、VPN网关、防病毒(Anti-Virus)网关、入侵防御(IPS)网关、反垃圾邮件(Anti-Spam)网关等等,这使得用户在安全域边界部署安全网关时,时常感觉到比较复杂,无从选择。
威胁愈加复杂
在各类网络中,安全威胁越来越复杂多变,在任何时刻都会使网络面临日益增长的安全危险。以往威胁大多只是企图利用创新而具破坏性的攻击手法来提高知名度,如今却转而以谋利为目的。
除去威胁程度日益增加的病毒和蠕虫,用户还必须面对更加复杂的攻击型态,如木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼、网站嫁接等多种攻击。在威胁种类变得复杂的同时,利用漏洞的病毒、蠕虫的"Zero Day"攻击能够赶在补丁程序安装之前出现在网络中,这在时间坐标上使威胁变得复杂。
选择部署复杂
丰富的安全网关类型给用户带来方便灵活的选择方式,用户可以根据自身的投入和安全程度需求选择不同的网关组合,但随着多数用户要求的安全程度越来越高,对于选择和部署安全网关也有了困惑。
选用单一的安全网关能够节省投入、方便管理,但只能起到部分的安全防范作用,例如防火墙主要针对四层以下的威胁进行防范,反垃圾邮件网关主要针对于垃圾邮件进行防范;选用多个安全网关进行组合在功能上比较全面,但随之而来的是投入高、整体性能下降、管理分散等问题,这使得用户在安全网关的部署选择上存在一定困惑。
策略实施复杂
安全策略是用户根据自身情况量身定制的,在总体安全策略的规范下,落实到网关上的安全策略具备一致性,也就是具体的安全策略之间是相互配合、相互联系的。
当存在多个网关实体时,需要分别实施安全策略,这增加了安全策略实施的难度。与此同时,多个安全网关可能来自于不同的厂商,相互配合会存在比较大的问题,在此情况下想要保证安全策略实施的一致性是非常复杂的。
管理维护复杂
在安全网关日常维护过程中,安全管理粒度越来越细,一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单,但对多台具备不同功能的安全网关进行相应维护就比较复杂,尤其当存在多级网关设备时。
对于网络流量与业务的实时监控是网管员判断网络安全的重要依据,单一功能安全网关提供的信息不全面,多个安全网关提供的信息关联性差,需要较多的分析工作,这也加大了管理维护工作的复杂度。
二、网关安全之道--简单
复杂的威胁、复杂的部署、复杂的策略和复杂的维护,这让用户对安全有"剪不断、理还乱"的感觉。没有病毒侵扰,没有邮件投诉,一首歌,一杯茶,这该是安全的理想境界,于是,"简单"成为解决之道。
启明星辰认为,欲成就"简单",需要从"一体化"入手,做到设备一体化、设计一体化、管理一体化。
设备一体化
"多则惑,少则明",在同一硬件平台上融合多种安全功能,做到设备一体化是实现简单的基础,是解决部署复杂的良药。统一威胁管理设备(UTM)的本质就是设备一体化,这已经成为业界的共识。
设计一体化
在设备一体化的前提下,继而需要解决的是针对复杂威胁的防御能力,这体现在功能和性能两个方面。也就是既要完全发挥每个功能模块的作用,相互实现配合,又能够保障性能。这就要求在软件体系设计上进行创新,实现一体化设计,这可以解决复杂的威胁和复杂的策略实施。
管理一体化
管理一体化是站在用户角度对"简单"的有效诠释。启明星辰认为,当管理对象为单台设备时,"一体化"体现在多个功能间;当管理对象为多台多级设备时,"一体化"更体现在统一部署的网关设备和安全策略间。
当然,对于界面、逻辑方面的"易理解、易学习、易记忆"的维护要求也是"管理一体化"的重要组成部分。这将从根本上解决复杂的策略实施和复杂的管理两大问题。
三、网关安全之髓-创新
"简单"是安全的外在表现形式,而技术上的创新是成就"简单"的基石,是"简单"的内涵。作为国内信息安全市场的领航者,启明星辰凭借多年的技术积累和强大的研发实力,通过多项专利和创新技术,将"简单"的理念发挥到极致,并在天清汉马USG一体化安全网关中得到了完美体现。
设备部署变得简单
作为网关技术集大成者,天清汉马USG涵盖了防火墙、防病毒(AV)、入侵防御(IPS)、抗拒绝服务(Anti-DOS)、反垃圾邮件(Anti-Spam)、内容过滤等多种功能。启明星辰充分考虑了多功能开启导致性能下降的问题,在天清汉马中采用了"基于标签的融合式综合匹配技术"和"综合分析引擎技术",结合经过优化的匹配算法,极大提高了设备效率,确保性能可以满足需要。这样用户不再为如何选择为难,只需要一个硬件平台即可实现简单部署。
防御威胁变得简单
治病讲究"对症下药",确定病因是关键。防范威胁也是同样的道理,准确、全面地识别威胁是关键,之后才能进行相应控制。对于统一威胁管理设备来说,"重点在于控制,难点在于检测"。
天清汉马USG中使用"基于插件的协议识别技术"、"自适应多模式匹配算法"、"可追查性检查"、"基于知识库的非法连接请求动态抽样与分析技术"等专利技术,大大提升了防御威胁的全面性和准确度,使对于威胁的防御变得简单。
策略实施变得简单
为了使各个软件功能模块无缝融合,天清汉马USG在设计之初就采用了一体化的软件体系架构设计,并采用了综合分析引擎技术,使各模块之间的耦合度达到最佳,各功能模块的协调性达到了前所未有的默契,这让安全策略实施过程变得简单。另外,安全策略模版的使用,通过集中管理与控制技术实现对多台设备的同时安全策略部署,都更加简化了安全策略的实施过程。
管理维护变得简单
天清汉马USG创新采用"先界面、后功能"的研发模式,通过加强集中管理与控制技术,建设"四化",使管理维护变得简单。
·界面定位快捷化,配置界面三键到位率达90%以上。
·配置操作简单化,任一配置在两个界面内完成。
·安全策略模板化,所有安全服务配置在一个模版上完成。
·关键业务自动化,自动升级、自动报警、自动报表。
繁到终处自成简,面对网关安全的复杂之惑,天清汉马USG通过"一体化"的思路,采用专利和创新的技术,实现了"简单"的解决之道。安全从简单开始,这就是安全网关发展的真谛。