如何选择复合型的网络防火墙
内容的安全检查技术(Content Inspection security technology)与反病毒和入侵监测系统(intrusion detection systems ,IDS)在网络防火墙中的应用正在逐渐融合。研究表明,防火墙所支持的反病毒解决方案跨越了中小型企业(Small and Medium Businesses ,SMB)、大型企业、和服务供应商。
长期以来,防火墙都以提供周边安全和保证VPN连接著称。Yankee Group的调查表明,在2002年,防火墙和反病毒解决方案占到了企业安全产品和服务支出的78%。
技术发展轨迹
Yankee Group预计在未来的五年内,反病毒(AV)解决方案的首要任务将转变成服务提供者网络。我们预计在2003年底,将出现第一批为用户提供反病毒服务的ISP,他们以此来增加收入。我们预计将会出现三个阶段:
阶段一:防火墙为AV产业链重新定向邮件通信。企业经常会采用三家甚至更多供应商的AV产品,并希望它们中的至少一个能够捕获一个病毒或者蠕虫。这是市场上处于领导地位的防火墙供应商为大型企业所提供的最受欢迎的解决方案,比如Check Point、Cisco、Netscreen、Nortel还有Symantec,这些厂商让电子邮件通信通过Network Associates、Sophos、Symantec、Trend Micro反病毒网关。
阶段二:防火墙。在允许通信之前,要检查注册表中关于终端的状态,看其是否与AV更新的安全策略相冲突。这是对暴露在企业局域网(ISP来自家里或是在路上)之外的终端的流行解决方案。
阶段三:在通信进行之前就通过防火墙进行AV操作。当防火墙把信息包重新组合,ASIC在允许信息进入网络之前就把病毒清除了。这个产品为SMB节省了一个单独的管理点,并为ISP提供了高效能。网络通信安全性的增加是能够扫描所有的病毒,而不仅仅是使电子邮件变得安全了。
技术能力
防火墙为滤除不必要的通信提供了唯一的入口。防火墙、VPN、还有AV等多个安全功能使用同一个管理界面。
对于高等级的安全防护来说防火墙是最佳的。供应商通过为客户定制ASIC来达到更高的性能等级,比如Fortinet公司的产品,或者在设备中使用更大的处理器,比如ServGate和Symantec的产品。
AV中额外增加的一层会减少企业的风险性。当签名匹配时,AV产品是可以互通的,但是它们之间检测新病毒和修复被病毒侵袭的文件的能力却各有高低。
对于中小企业(SMB)和远程办公/分支办公室(ROBO)来说,整合了AV和VPN功能的防火墙是最理想的选择,因为这符合它们只想要少量管理的要求。
整合了额外性能的防火墙还能够很好的适应ISP。
技术挑战
整合防火墙解决方案需要增强其能力,以保护连接到网络的便携式电脑。连接到其他网络的远程用户(比如在ISP那里的一个个人账号)也需要基于主机的AV来保证其完整性。
整合防火墙解决方案为AV保护提供了多余的一层,这对于那些已经使用Symantec,Trend Micro和McAfee交叉防护的大企业来说,并没有什么太多的价值。
ISP不提供反病毒扫描作为其增加收入的基本的网络服务。一旦这成为现实,终端将能够获得全面的AV防护,不用再考虑是企业还是公共网络连接。
整合防火墙技术在反病毒中的定位在表1列出,实心圈表示优点,空心圈表示缺点。
表1:整合防火墙和AV的各个阶段
资料来源: the Yankee Group, 2003
| 供应商 | SMB | 企业 | 服务供应商 | |
| 阶段一:防火墙重新定向AV通信 | Check Point Cisco Nortel Netscreen |
对于SMB市场来说太贵了。 | 在AV中各层都允许选择最好的产品 | 在AV中各层都允许选择最好的产品 |
| 阶段二:防火墙管理终端AV | SonicWALL Watchguard Zone Labs |
如果终端通信在网络之外,TCO(成本)比较低。 | 对于大型公司的终端比较合适。 | 采用多AV厂商产品,价值不足。 |
| 阶段三:防火墙与AV整合 | Fortinet ServGate Symantec |
如果终端在网络内,比较低的TCO。 | 多一层AV防护,多一项费用。 | 性能支持AV定制收入服务。 |
供应商的建议
拥有成本将仍然成为提供网络设备日常内容监测服务的推动力量。通过背后无数分级分布(tiered-distribution)的合伙者,AV和防火墙供应商巧妙的把程序安装在客户端,并通过订阅服务来赢得市场。厂商将把AV引擎内置到大型的防火墙中,来产生新的订阅收入。
为拥有不到50人员工的SMB和家庭工作室提供简单的解决方案。这个市场没有IT管理,减少功能会增加管理复杂性。
安全服务供应商提供整合了防火墙,VPN,反病毒的管理服务。总体拥有的费用是个问题。
给企业的建议
任何企业都不应该在没有防火墙和反病毒保护的情况下访问互联网。企业应该评估出能够最有效节约费用的防护方法。主要使用桌面电脑的中小型企业,比如远程办事处/分支机构市场应该安装价格比较低的整合型防火墙。Yankee Group推荐Fortinet、ServGate和Symantec的产品。
拥有连接外部网络手提电脑的SMB和ROBO应该安装防火墙,并管理桌面电脑的AV签名。Yankee Group在这里推荐SonicWALL和WatchGuard。
互联网服务供应商应该针对家庭用户和SMB,寻找能够产生更多收入的反病毒服务。使用高性能的客户定制ASIC能够让防火墙在发送一封电子邮件之前就把病毒清除干净,并能够增加收入。
来源:zdnet
- 1虚拟存储 实在收益
- 2各种Linux版本简析
- 3存储加密应对数据失窃
- 4信息化技术:当前各类存储技术优缺点
- 5了解思科访问控制列表其他方法
- 6如何构建小企业有线、无线混合组网
- 7STEP BY STEP WLAN方案设计实战
- 8沈阳哪个公司做中小企业的OA办公管理系统?售后服务好的!
- 9如何让VoIP变得安全可靠
- 10先进制造技术的发展趋势
- 11软件能力成熟度模型评估CMM的误区
- 12IT安全魔与道的反复较量
- 13沈阳OA软件的个人办公的优势是什么?
- 14小资料:网络能做到的30件事
- 15龙盛集团对信息系统的安全性应用可见一斑
- 16万兆以太网在行业中的应用
- 17协作区在泛普OA软件的应用
- 18网络安全:企业“终端坏死症”的七个迹象
- 19人力资源管理软件开发的技术架构及其优缺点(上)
- 20预测未来的五种攻击手段
- 21软件开发人员年度调查
- 22IT架构的第三条道路
- 23貌“小儿科儿”的建议使企业远离安全梦魇
- 24谈项目管理和软件测试过程(二)
- 25虚拟企业集成模型的形式化方法
- 26政府及行政事业单位OA办公系统传统办公与协同办公软件
- 27网络容量规划仍在寂寞沙洲?
- 28什么技术正在走红?
- 29如何选择复合型的网络防火墙
- 30细说WMF漏洞
