企業網絡解決方案
在網絡技術迅速發展的今天,信息化已成為國際性發展趨勢,作為國民經濟信息化的基礎,企業信息化建設受到國家和企業的廣泛重視。
企業信息化,企業網絡的建設是基礎,從計算機網絡技術和應用發展的現狀來看,Intranet是得到廣泛認同的企業網絡模式。Intranet並不完全是原來局域網的概念,通過與Internet的聯結,企業網絡的範圍可以是跨地區的,甚至跨國界的。
現在,Internet的發展已使世界成為電子信息的地球村,人們不在有地理空間上的交流限制。隨着網上商業活動的激增,Intranet也應運而生。企業都已感到企業信息化的重要性,陸續建立起了自己的企業網和Intranet並通過各種WAN線路與Internet相連。國際互聯網Internet在帶來巨大的資源和信息訪問的方便的同時,它也帶來了巨大的潛在的危險,至今仍有很多企業仍然沒有感到企業網安全的重要性。在我國網絡急劇發展還是近幾年的事,而在國外企業網領域出現的安全事故已經是數不勝數。我國網絡安全存在諸多問題:首先是防禦意識的落後。對網絡安全的防護,意識和觀念須先行。但現實中無論是網民還是從事電子商務的企業,網絡安全的維護意識薄弱得讓人痛心。據調查:在我國電腦應用單位80%未設立相應的安全管理組織,58%無嚴格的調存管理制度,59%無應急措施,48%無事故發生后的系統恢復方案。因此,我們應該在積極進行企業網建設的同時,就應借鑒國外企業網建設和管理的經驗,建設完善網絡安全體系,將企業網中可能出現的危險和漏洞降到最低。應該提供7*24小時的網絡安全及VPN網絡業務運營。
安全威脅的種類和破壞力在與時俱進,這是安全領域最令人不安的事實之一。與安全隱患作鬥爭不是一項簡單的任務。過去,企業IT團隊使用多種工具的組合解決各種安全問題。現在這種方法已因成本過高和無法擴展而變得不合實宜,而非集成工具的維護工作過於複雜正是造成上述缺陷的首要原因。因此,IT團隊開始將目光轉向具有高可靠性的集成安全解決方案。
安全管理的現狀促使越來越多的中小型企業(SME)轉而青睞統一威脅管理(Unified Threat Management/UTM)相關解決方案。在大型組織機構的數據中心及隔離區(DMZ)等數據集聚點,巨大數據流量的壓力和用戶對高速度的追求使專門的威脅管理解決方案成為必需。
就目前而言,無論是少林金鐘罩,還是武當鐵布衫,需要雙管齊下:將統一威脅管理解決方案運用於分支機構,同時將專門的高性能威脅管理設備運用於核心中樞部門,這種“兩手都要硬”的策略不失為分佈式企業的最佳選擇。
為統一威脅管理解決方案辯明真身
將高性能放在首位的客戶可能會選擇單一功能的安全產品;但是,多種專業設備的部署和管理將會耗費大量成本。除支付購買多種產品單元的初期投資外,IT團隊可能還要花費精力應對五花八門的用戶界面與管理工具,而統一威脅管理解決方案則能夠在大多數情況下為用戶提供性能、成本與可管理性之間的最佳結合點。不過我們應該注意的是,並不是出門去隨便購買一套統一威脅管理解決方案就萬事大吉。各家廠商生產的統一威脅管理解決方案大相徑庭,因此我們強烈建議客戶,在為基礎設施選定具體的安全解決方案之前,首先要仔細比較各種產品在性能和技術規範上的不同之處。
產品功能的質量是否統一
市場上出現的各種統一威脅管理解決方案設備可能並不具備統一的強大功能。廠商可能只是將來自不同開發者和第三方供應商的防病毒軟件、防火牆和網頁過濾功能集合在一起,作為整套統一威脅管理解決方案出售。受低成本或劣質產品設計的影響,具體的統一威脅管理解決方案產品可能會含有設計不合理的技術,進而導致最終產品的質量良莠不齊,使性能的可靠性受到損害。
考慮到統一威脅管理解決方案在保護企業數據安全方面扮演的關鍵角色,我們建議IT經理人選擇頂級質量的統一威脅管理解決方案,以使企業享受到市場領先供應商提供的先進功能,從而確保針對安全威脅的有效防禦。
是否擁有全面的安全保護功能
選擇優秀的統一威脅管理解決方案,意味着客戶將坐擁整套安全保護功能,包括互為補充的主動反應機制與被動反應機制,以及具有可視性和可控制性特點的網絡層機制。
真正的統一威脅管理解決方案不僅能夠滿足上述全部要求,還要具備以下功能:虛擬專用網絡(VPN)、多層防火牆、多方位侵入監測與預防機制、多協議防病毒軟件、反間諜軟件(anti-spyware)、反網絡釣魚軟件(anti-phishing)、反垃圾郵件(anti-spam)以及網頁過濾等。
是否應用虛擬技術
虛擬功能是強大的統一威脅管理解決方案所應具備的重要特點之一。統一威脅管理解決方案採用的虛擬技術允許管理員將不同的“虛擬”統一威脅管理解決方案部署到不同的網絡分區或用戶組,從而利用統一界面對整個系統進行管理。這一重要功能幫助管理員應用不同種類的接入請求,根據不同的安全策略以簡易而安全的方式劃分用戶組和數據通信種類。虛擬技術的本質在於模擬網絡中擁有多部設備,而無需真正部署設備,從而節約了管理成本與部署成本所需的人力物力。
統一威脅管理解決方案採用的部分虛擬技術包括:
-安全區域(Security Zones),即分佈在邏輯區中的網絡邏輯分區。安全區域可分配給物理接口,也將整部設備分配給虛擬系統。在後一種設置中,多個安全區域共享同一個物理接口,從而增加接口密度,降低設備成本。
-虛擬系統,即分區附加層次,能夠創建多個獨立的虛擬環境。各個虛擬環境都擁有自己的用戶、防火牆、VPN、安全策略和管理接口。虛擬系統允許管理員迅速將網絡劃分為由單一設備管理的多個安全環境,從而幫助網絡操作員創建多用戶解決方案,同時減少防火牆數目,降低管理壓力。這種方法能夠有效地降低成本與運營開支。
-虛擬路由器。此功能幫助管理員對單一設備進行分區,使其起到多部物理路由器的作用。各個虛擬路由器可對各自的域提供支持,確保路由信息不與建立在其他虛擬路由器上的域進行交換,從而避免了通信混亂。
-虛擬局域網(VLAN)。即子網絡的邏輯(而非物理)分支,幫助管理員確認通信並對其進行細分。安全策略可以具體規定由各個虛擬局域網(VLAN)至安全區域、虛擬系統或物理接口的通信路由,從而幫助管理員確認並組織多個部門之間的通信,並確定哪些資源可被訪問。
是否具備網頁過濾方法的選擇
市場上的大多數統一威脅管理解決方案都具有網頁過濾功能。IT經理人必需對哪一種網頁過濾功能最適合企業需要有清醒的認識。
某些統一威脅管理解決方案擁有外部網頁過濾功能,能夠使通信流量由設備轉而流向專用的網頁過濾服務器,以執行網頁過濾策略。還有一些統一威脅管理解決方案具備集成式網頁過濾功能,能夠幫助企業建立自己的網頁訪問策略,通過一個不斷更新的數據庫有選擇地阻止對某些網站的訪問。
無論選擇哪一種過濾方法,統一威脅管理解決方案都應能夠使企業組織將所選方法迅速付諸實施。此外,統一威脅管理解決方案還應幫助IT經理人使用黑名單、白名單及其他各種預定義及用戶定義策略定製網頁過濾解決方案。
專門的威脅管理解決方案
許多擁有大型數據中心的大企業或公司需要部署額外的威脅管理工具,如防火牆、防病毒網關、防入侵系統等,以滿足對系統大容量和高性能的需要。
還有一些企業可能需要適用於具體應用或系統的專用威脅管理產品,以保護關鍵任務應用、特殊安全功能,或在更大的組織內區分所有者的權利和義務。此類產品包括電子郵件安全網關、網頁應用安全網關及遠程接入安全網關等。
企業網絡解決方案(三)