隨著各行業信息化進程的深入,網絡邊界安全正在進入一個全新的發展階段。“網絡邊界”可以從兩個方面進行理解:一個是“人網邊界”,也就是我們經常提出的桌面安全,這是人與網絡的分界處;另一個是“網網邊界”,直白理解就是網絡與網絡的交界,由于局域網或園區網規模已經發展到一定規模,采用“安全域邊界”這個詞來理解會更加貼切一些。各種威脅的對象正在由主機資源轉變為網絡資源,與此相對應,安全域邊界也就成為網絡建設者最為關注的方面,安全網關作為域邊界的主要防護設備也在不斷優化以適應新的安全發展需要。
一、 網關安全之惑——復雜
安全網關有很多種,包括防火墻、VPN網關、防病毒(Anti-Virus)網關、入侵防御(IPS)網關、反垃圾郵件(Anti-Spam)網關等等,這使得用戶在安全域邊界部署安全網關時,時常感覺到比較復雜,無從選擇。
威脅愈加復雜
在各類網絡中,安全威脅越來越復雜多變,在任何時刻都會使網絡面臨日益增長的安全危險。以往威脅大多只是企圖利用創新而具破壞性的攻擊手法來提高知名度,如今卻轉而以謀利為目的。除去威脅程度日益增加的病毒和蠕蟲,用戶還必須面對更加復雜的攻擊型態,如木馬程序、僵尸網絡、間諜程序、垃圾郵件、網絡釣魚、網站嫁接等多種攻擊。在威脅種類變得復雜的同時,利用漏洞的病毒、蠕蟲的“Zero Day”攻擊能夠趕在補丁程序安裝之前出現在網絡中,這在時間坐標上使威脅變得復雜。
選擇部署復雜
豐富的安全網關類型給用戶帶來方便靈活的選擇方式,用戶可以根據自身的投入和安全程度需求選擇不同的網關組合,但隨著多數用戶要求的安全程度越來越高,對于選擇和部署安全網關也有了困惑。選用單一的安全網關能夠節省投入、方便管理,但只能起到部分的安全防范作用,例如防火墻主要針對四層以下的威脅進行防范,反垃圾郵件網關主要針對于垃圾郵件進行防范;選用多個安全網關進行組合在功能上比較全面,但隨之而來的是投入高、整體性能下降、管理分散等問題,這使得用戶在安全網關的部署選擇上存在一定困惑。
策略實施復雜
安全策略是用戶根據自身情況量身定制的,在總體安全策略的規范下,落實到網關上的安全策略具備一致性,也就是具體的安全策略之間是相互配合、相互聯系的。當存在多個網關實體時,需要分別實施安全策略,這增加了安全策略實施的難度。與此同時,多個安全網關可能來自于不同的廠商,相互配合會存在比較大的問題,在此情況下想要保證安全策略實施的一致性是非常復雜的。
管理維護復雜
在安全網關日常維護過程中,安全管理粒度越來越細,一個人員的變化、一個座位的調整都可能要求對網關做相應的配置修改。對單臺設備進行配置修改、信息監控相對簡單,但對多臺具備不同功能的安全網關進行相應維護就比較復雜,尤其當存在多級網關設備時。對于網絡流量與業務的實時監控是網管員判斷網絡安全的重要依據,單一功能安全網關提供的信息不全面,多個安全網關提供的信息關聯性差,需要較多的分析工作,這也加大了管理維護工作的復雜度。
二、 網關安全之道——簡單
復雜的威脅、復雜的部署、復雜的策略和復雜的維護,這讓用戶對安全有“剪不斷、理還亂”的感覺。沒有病毒侵擾,沒有郵件投訴,一首歌,一杯茶,這該是安全的理想境界,于是,“簡單”成為解決之道。
啟明星辰認為,欲成就“簡單”,需要從“一體化”入手,做到設備一體化、設計一體化、管理一體化。
設備一體化
“多則惑,少則明”,在同一硬件平臺上融合多種安全功能,做到設備一體化是實現簡單的基礎,是解決部署復雜的良藥。統一威脅管理設備(UTM)的本質就是設備一體化,這已經成為業界的共識。
設計一體化
在設備一體化的前提下,繼而需要解決的是針對復雜威脅的防御能力,這體現在功能和性能兩個方面。也就是既要完全發揮每個功能模塊的作用,相互實現配合,又能夠保障性能。這就要求在軟件體系設計上進行創新,實現一體化設計,這可以解決復雜的威脅和復雜的策略實施。
管理一體化
管理一體化是站在用戶角度對“簡單”的有效詮釋。啟明星辰認為,當管理對象為單臺設備時,“一體化”體現在多個功能間;當管理對象為多臺多級設備時,“一體化”更體現在統一部署的網關設備和安全策略間。當然,對于界面、邏輯方面的“易理解、易學習、易記憶”的維護要求也是“管理一體化”的重要組成部分。這將從根本上解決復雜的策略實施和復雜的管理兩大問題。
三、 網關安全之髓-創新
“簡單”是安全的外在表現形式,而技術上的創新是成就“簡單”的基石,是“簡單”的內涵。作為國內信息安全市場的領航者,啟明星辰憑借多年的技術積累和強大的研發實力,通過多項專利和創新技術,將“簡單”的理念發揮到極致,并在天清漢馬USG一體化安全網關中得到了完美體現。
設備部署變得簡單
作為網關技術集大成者,天清漢馬USG涵蓋了防火墻、防病毒(AV)、入侵防御(IPS)、抗拒絕服務(Anti-DOS)、反垃圾郵件(Anti-Spam)、內容過濾等多種功能。啟明星辰充分考慮了多功能開啟導致性能下降的問題,在天清漢馬中采用了“基于標簽的融合式綜合匹配技術”和“綜合分析引擎技術”,結合經過優化的匹配算法,極大提高了設備效率,確保性能可以滿足需要。這樣用戶不再為如何選擇為難,只需要一個硬件平臺即可實現簡單部署。
防御威脅變得簡單
治病講究“對癥下藥”,確定病因是關鍵。防范威脅也是同樣的道理,準確、全面地識別威脅是關鍵,之后才能進行相應控制。對于統一威脅管理設備來說,“重點在于控制,難點在于檢測”。天清漢馬USG中使用“基于插件的協議識別技術”、“自適應多模式匹配算法”、“可追查性檢查”、“基于知識庫的非法連接請求動態抽樣與分析技術”等專利技術,大大提升了防御威脅的全面性和準確度,使對于威脅的防御變得簡單。
策略實施變得簡單
為了使各個軟件功能模塊無縫融合,天清漢馬USG在設計之初就采用了一體化的軟件體系架構設計,并采用了綜合分析引擎技術,使各模塊之間的耦合度達到最佳,各功能模塊的協調性達到了前所未有的默契,這讓安全策略實施過程變得簡單。另外,安全策略模版的使用,通過集中管理與控制技術實現對多臺設備的同時安全策略部署,都更加簡化了安全策略的實施過程。
管理維護變得簡單
天清漢馬USG創新采用“先界面、后功能”的研發模式,通過加強集中管理與控制技術,建設“四化”,使管理維護變得簡單。
• 界面定位快捷化,配置界面三鍵到位率達90%以上。
• 配置操作簡單化,任一配置在兩個界面內完成。
• 安全策略模板化,所有安全服務配置在一個模版上完成。
• 關鍵業務自動化,自動升級、自動報警、自動報表。
繁到終處自成簡,面對網關安全的復雜之惑,天清漢馬USG通過“一體化”的思路,采用專利和創新的技術,實現了“簡單”的解決之道。安全從簡單開始,這就是安全網關發展的真諦。
