劉會軍　鄧翠屏　葉喬輝

【摘 要】企業(yè)內(nèi)外部網(wǎng)絡的交互需求越來越多樣，傳統(tǒng)的防火墻產(chǎn)品已無法滿足復雜網(wǎng)絡綜合性防御的需要，而集成多重安全功能的安全網(wǎng)關則能為企業(yè)信息安全構建有力的保護屏障。本文描述了某企業(yè)在生產(chǎn)經(jīng)營中所面臨的網(wǎng)絡安全需求場景，通過對安全網(wǎng)關產(chǎn)品的介紹及分析對比總結了安全網(wǎng)關的選型思路及建議。

【關鍵詞】安全網(wǎng)關；UTM；下一代防火墻

1.引言

隨著企業(yè)的快速發(fā)展，企業(yè)內(nèi)外部網(wǎng)絡的交互需求變得越來越復雜多樣，為抵御來自外部網(wǎng)絡的安全威脅，企業(yè)通常會選擇各種安全產(chǎn)品部署在網(wǎng)絡邊界。這類部署在企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡邊界的安全產(chǎn)品通常稱之為安全網(wǎng)關。

安全網(wǎng)關的產(chǎn)品多種多樣，有通用型的防火墻、專用型VPN防火墻、入侵檢測/防御設備、防病毒網(wǎng)關、應用控制防火墻、集成多種安全功能的UTM（統(tǒng)一安全威脅）和NGFW（下一代防火墻）等，如何選擇合適的安全產(chǎn)品構建起企業(yè)內(nèi)網(wǎng)安全的銅墻鐵壁也是一項復雜的系統(tǒng)工程。

以某企業(yè)的實際需求為例：該企業(yè)的內(nèi)外部網(wǎng)絡訪問需求場景如圖1所示。

在圖1里場景一描述了員工要求在公網(wǎng)上通過WEB網(wǎng)頁訪問企業(yè)的辦公系統(tǒng)；場景二描述了分支機構或辦事處要求通過專線獲得企業(yè)內(nèi)網(wǎng)的IP地址訪問各類服務器；場景三描述的是企業(yè)需要對員工訪問Internet的內(nèi)容進行管控；場景四則描述的是企業(yè)與合作伙伴之間有互訪需求，但是為保障信息安全，雙方需隱藏真實的主機IP和路由信息，轉(zhuǎn)換成私網(wǎng)地址進行通信。

不同的需求場景對應不同的網(wǎng)絡技術和安全產(chǎn)品，是購買不同的安全設備分別實現(xiàn)還是尋找一種安全產(chǎn)品一次解決所有需求？哪一種性價比更高、更利于管理和維護？讓我們先看看有哪些安全網(wǎng)關產(chǎn)品可以供我們選擇。

2.主要安全網(wǎng)關產(chǎn)品介紹與分析

縱觀安全網(wǎng)關的產(chǎn)品演變歷史，可以看出其發(fā)展趨勢是在功能與性能之間尋求最佳平衡點，從這個角度上說，安全網(wǎng)關大致可以分為如下三種類型（當然，還有按架構、功能等的分類方法，本文不討論）：

2.1 單一功能安全網(wǎng)關

（1）防火墻：最早期的安全網(wǎng)關非防火墻莫屬了，防火墻是一種防御OSI 模型四層以下攻擊的安全設備，傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標地址有關的信息來檢測流量，實現(xiàn)IP 地址、端口層面的安全防護。在網(wǎng)絡發(fā)展的初期，確實起到很大的作用，但隨著網(wǎng)絡攻擊技術的日新月異，OSI 模型四層以上尤其是應用層的攻擊逐漸成為主流，傳統(tǒng)的防火墻已經(jīng)無能為力，于是就催生了一批新型的安全網(wǎng)關。

（2）VPN防火墻：VPN（虛擬專用網(wǎng)絡）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，該連接是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的加密隧道，常用的VPN防火墻技術有IPsec VPN和 SSL VPN等。

（3）防病毒網(wǎng)關：是一種用以保護網(wǎng)絡內(nèi)（一般是局域網(wǎng)）進出數(shù)據(jù)安全的網(wǎng)絡設備。主要體現(xiàn)在病毒查殺、關鍵字過濾（如色情、反動）、垃圾郵件阻止等功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能。

（4）上網(wǎng)行為管理設備：通過硬件內(nèi)置的應用識別規(guī)則庫、網(wǎng)頁地址庫，結合深度內(nèi)容檢測、網(wǎng)頁智能識別等技術，幫助企業(yè)管理和控制用戶對互聯(lián)網(wǎng)的使用，通常包括網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等功能。

還有很多其它單一功能的安全網(wǎng)關，這里就不詳述了。

2.2 UTM（統(tǒng)一威脅管理）

UTM（Unified Threat Management）即統(tǒng)一威脅管理，最早由IDC于2004年提出。根據(jù)IDC的定義，UTM是指能夠提供廣泛的網(wǎng)絡保護的設備，它在一個單一的硬件平臺下提供了以下的一些技術特征：防火墻、防病毒、入侵檢測和防護功能?，F(xiàn)在的UTM通常是用于全方位解決企業(yè)綜合網(wǎng)絡安全問題的產(chǎn)品，另外還集成了VPN、訪問控制、垃圾郵件攔截、服務質(zhì)量（QoS）、負載均衡和高可用性（HA）等功能。

2.3 NGFW（下一代防火墻）

雖然下一代防火墻產(chǎn)品還沒有一個統(tǒng)一的標準，但業(yè)內(nèi)普遍認同的關于NGFW的定義，則來自Gartner于2009年發(fā)布的一份名為《Defining the Next-Generation Firewall》的文檔。Gartner 認為，下一代防火墻是一種多功能集成式線速網(wǎng)絡安全處理平臺，包含所有標準功能，如常見的網(wǎng)絡地址轉(zhuǎn)換（NAT）、包過濾和深度包檢測（DPI）等功能，而應用識別、控制和可視化是其重要的核心特性。

3.產(chǎn)品選型

針對企業(yè)的需求場景，并結合當前主流的安全技術，我們首先可以明確的是：該企業(yè)需要一臺帶SSL VPN功能和IPSec VPN功能的防火墻來分別實現(xiàn)遠程辦公和辦事處電腦的接入；還需要一臺能進行雙向地址轉(zhuǎn)換的高性能防火墻實現(xiàn)企業(yè)與合作商網(wǎng)絡之間的大數(shù)據(jù)量快速轉(zhuǎn)發(fā)；另外該企業(yè)還需要一臺類似上網(wǎng)行為管理設備的應用防火墻。

縱觀上面介紹的各類產(chǎn)品，我們可以看到，針對每一個需求場景都有相對應的獨立設備來實現(xiàn)，同時也有集成多種功能的設備一次解決所有需求。那么在進行產(chǎn)品選型的時候我們應該如何做呢？很明顯如果企業(yè)部署多種單一功能的網(wǎng)關時，必然會碰到一系列的問題，例如：

可用性問題：安全設備增多，則故障節(jié)點增多，故障排查難度增大；

可管理性問題：安全設備增多，則加大管理人員的工作量，增加管理的難度，人為操作失誤的概率也增加。

兼容性問題：由于多種安全設備很可能出自不同廠商，因此兼容性會打折扣，直接影響網(wǎng)絡安全體系的整體效能。

成本問題：配備多個安全設備會導致成本的增加。

因此，通常情況下在選型的時候應盡量選擇能一次解決多種需求的設備。

而滿足該企業(yè)需求的多功能安全網(wǎng)關有UTM和NGFW二大類，在選型的時候建議同時考慮國內(nèi)與國外知名廠商的安全產(chǎn)品，并進行充分的對比和測試。

該企業(yè)經(jīng)過多方查閱資料，最終選定了三家廠商的二大類設備：國內(nèi)廠商一的NGFW設備和國外廠商二和廠商三的UTM設備。按照魔力象限分析，廠商一在國內(nèi)NGFW領域處于領導者地位，廠商二和廠商三在全球UTM領域分別處于領導者和挑戰(zhàn)者的地位。

經(jīng)過近三個月的技術交流和產(chǎn)品試用，針對該企業(yè)的四大需求場景，三家廠商給出的解決方案中的產(chǎn)品對比測試結果如下：

三家廠商的設備都具有防火墻、VPN、防病毒、IPS、內(nèi)容過濾、流量管理等功能模塊；

廠商一的應用控制功能做的非常好，廠商三的UTM設備不具備應用控制功能；

廠商一的NGFW設備不具備雙向地址轉(zhuǎn)換功能，但通過其它途徑可間接實現(xiàn)，且該NGFW設備只集成了IPSec VPN功能，SSL VPN的功能需搭配另外一臺設備實現(xiàn)；

廠商二的UTM設備缺少短信網(wǎng)關發(fā)送功能；

廠商二的UTM設備在進行大文件拷貝的時候比廠商一的NGAF設備稍快；

雖然三家廠商的設備各有優(yōu)缺點，但最終該企業(yè)從最為關注的VPN和數(shù)據(jù)轉(zhuǎn)發(fā)功能出發(fā)，給廠商二的UTM設備評了技術分的相對高分。當然最后中選的是哪家廠商的設備還需要綜合考慮價格、售后服務等因素，本文就不深究了。

4.結束語

和多數(shù)安全網(wǎng)關產(chǎn)品一樣，NGFW和UTM在出現(xiàn)的時候都存在概念過度炒作的嫌疑，用戶在選購安全網(wǎng)關產(chǎn)品時一定要保持清醒的認識，UTM和NGFW短期內(nèi)不存在取代關系，經(jīng)過包裝的產(chǎn)品在功能上會越來越相似。面對眾多安全功能相互融合和滲透的產(chǎn)品，建議用戶可以從以下幾個方面綜合考慮：

（1）明確企業(yè)所需的關鍵功能：不是功能越多越好，適合自己的才是最好的。要明確自己的需求，根據(jù)企業(yè)的網(wǎng)絡規(guī)模和具體應用，選擇合適的產(chǎn)品。

（2）對性能進行測試和評估：傳統(tǒng)防火墻產(chǎn)品主要考慮的是吞吐量、并發(fā)連接數(shù)等指標。而多功能的安全產(chǎn)品的性能則體現(xiàn)在打開防病毒、內(nèi)容過濾、應用控制等功能后所能承載的流量，目前尚無準確的量化指標。在選購的時候，除了衡量硬件平臺的架構和處理能力外，更重要的是進行多角度的測試。

（3）友好的管理界面：產(chǎn)品要有一個能控制各個模塊的圖形化管理控制臺。策略的管理與擴展能力，用戶、日志和告警管理是否能和組織已有的安全體系相適應，也是選型時要特別關注的。

（4）充分考量售后服務：雖然廠商的產(chǎn)品各有特色，但在售后服務方面卻千差萬別。例如有些能提供對安卓、蘋果平臺的支持，有些則需另行購買支持模塊。另外安全設備的策略部署和配置能否根據(jù)企業(yè)的網(wǎng)絡結構、規(guī)章制度變更獲得同步支撐，也是售后服務的重要內(nèi)容。

總之，安全網(wǎng)關產(chǎn)品選型的每一個環(huán)節(jié)都應該重視，同時安全產(chǎn)品的產(chǎn)生與發(fā)展完全取決于網(wǎng)絡安全威脅的發(fā)展演變。因此，密切跟蹤網(wǎng)絡安全的最新動態(tài)以及網(wǎng)絡安全知名廠商的產(chǎn)品路線圖對于理解和選購安全網(wǎng)關是很有幫助的。

參考文獻：

[1]白君芬. UTM 信息安全技術研究. 現(xiàn)代計算機，2009年第8期.

[2]蔣巍. UTM采購的若干誤區(qū). 信息安全與技術，2010年第12期.

[3]綠盟科技. 綠盟安全網(wǎng)關產(chǎn)品白皮書，2009.

[4]深信服科技公司. 深信服下一代防火墻NGAF技術白皮書，2011年8月.

[5]競速下一代防火墻. 計算機世界，2011年第24 期.