【51CTO.com独家特稿】在IT投入还比较舍得的公司里面,除去功能强大(思科/华为/3COM一类)的路由器之外,大多都有UTM或IPS或Web安全网关之类的安全设备。当然,我们不能忘记一直辛苦工作的普通防火墙(非综合安全网关)。我们今天就来说说成长型企业与中大型企业对于网络防护方案所要考虑的问题。
为了让文章看起来像样一点,我这里先定义下本文所谓成长型企业和中大型企业的区别。
我们假设网络服务访问量较小的单位(比如人少,机器也不多)为成长型企业,网络服务需求较大的单位(人多,机器多,网络结构复杂)为中大型企业。
另外,为了让那些信奉有图有真相的技术人员和业内人士能看的舒服一点,我这里就以拓扑图为主了(画工不佳还请见谅)。
成长型企业的网络防护方案
我们先说成长型企业。很多成长型企业的服务器相对比较简单,他们大多在IDC里拥有一台独立的Web服务器,接入网络后向人们提供服务。在流量不大的情况下,
有两种方案可供选择:
1.建议用防火墙加单台WAF或IPS提供防护。如图所示。
特点:各个设备独立工作,发挥自身优势。针对性防护。无论单点还是集群,这个方案都无需改动。
防火墙方面,可以采用山石网科、联想网御等比较成熟的产品。
IPS/WAF方面,可以采用启明星辰、绿盟科技等公司的产品。
2.用一台UTM全部搞定。如图所示。
UTM是一款综合的边界网络防御设备,除了防火墙功能,还提供防病毒、入侵防御、内容过滤、 反垃圾邮件等安全功能。
特点:降低网络复杂度,低成本。无论单点还是集群,这个方案都无需改动。如果对安全性没有特别要求的情况下,这个基本上可满足成长型企业的使用。
可以采用联想网御、山石网科、启明星辰之类比较著名的国内产品,也可以选择WatchGuard这样比较著名的国外产品。
中大型企业的网络防护方案
再来说中大型企业。中大型企业的服务器部署相对比较复杂,他们大多在IDC中含有大量的服务器和交换机等等,不光需要承受大流量的压力,还需要严格的安全措施,更有业务分离的要求。
我们也有两种方案可以选择:
1. 和成长型企业类似,一个UTM全部搞定。如图所示。
不过这里用的UTM型号和吞吐量就不能用上面一个型号了,必须选择一款顶的住大流量的。
特点:同上。
选择方面,可以采用联想网御、山石网科、启明星辰这几家的高端产品。
2. 使用Web安全网关加入侵检测加防火墙
Web安全网关这个概念有点新,可能有一些读者不太清楚这是干嘛的,欢迎大家访问51CTO安全频道专题:如何选择合适的Web安全网关。如图所示。
看到这个图大家可能会觉得增加了很多东西,我们下面慢慢说。这种类型的方案是对安全性要求特别严格的网络准备的。
特点:各个设备独立工作,发挥自身优势。针对性防护。在高流量和高压力下,让防火墙或IPS入侵检测设备对流量检查之后,再用筛子一般的Web安全网关做最后的深度内容检测,防止漏网之鱼。最大限度保证网络不被攻击。
IPS和防火墙方面的选择,请参考本文前半部分。
Web安全网关方面,可以考虑稳捷网络Wedge 和 Websense。他们两家比较典型,其中稳捷网络Wedge擅长Transparent方式部署,Websense擅长Proxy Mode方式部署。大家需根据自身网络情况挑选。
关于中大型企业的2个网络防护方案,谁优谁劣
如果仔细看到这里的朋友,肯定会有这样的疑问,我们来听听Wedge Networks的CEO张鸿文博士怎么说的。
张鸿文认为:“UTM更适合成长型企业,因为在防病毒、防攻击效果全开的情况下,很多UTM的性能下降惊人。而Web安全网关加高性能IPS的模式,不光可以挡住攻击,还能做到深度过滤,因此更适合中大型企业。”
不过也有一些安全厂商对此表示怀疑,因为他们对自己UTM的处理能力非常自信。如果您对此想发表看法或希望提出建议,不妨联系我。当然,也欢迎您对这篇文章说点什么。
【编辑推荐】