Juniper 防火牆概述
最近幾年,防火牆技術的發展變化趨勢看上去是非常有趣的。它已經從使用基本軟件和簡單規則的系統,進化成為可以對大量威脅進行有效處理和策略配置的融合安全工具。
現在,我們已經很難找到單獨的防火牆了。實際上,大多數路由器都包含了這一基本功能,甚至在網絡交換機中,我們也發現了可以執行端對端操作的功能。
兩三年前,安全廠商也開始嘗試推出第一代和第二代融合的安全設備了。而如今,這些設備已經是完整的套裝了,不再僅僅是很久以前意義上的防火牆了。現在,它們通常被稱為安全設備或采用統一威脅管理(UTM)設備這樣華而不實的名稱。UTM設備涵蓋從防火牆(狀態和深度包檢測)到垃圾郵件、病毒、反間諜軟件、內容過濾等在內的各個領域。
在這一領域,最新的發展趨勢是供應商正積極推動將傳統的網絡路由和交換功能之類的技術進一步融合進日益一體化的網絡和安全設備。這並不意味著減少網絡地址是正確的方向,供應商這麼做的原因是希望解決網絡服務質量(QoS)、數據包整形和帶寬管理之類大型網絡存在的固有問題。對於很多公司來說,首席信息官都在這方面花費了大量的時間和精力。
從管理角度來看,融合在一起的功能越多的解決方案意味著操作起來可能更簡單,特別是在管理一家覆蓋範圍很廣的大型公司時。如果你正在考慮單一解決方案的話,這些設備能夠單槍匹馬地滿足安全和網絡方面很大一部分的需求。它們可以幫助降低成本、復雜性、集成和管理方面存在的問題。但這個問題的反面是,所有的雞蛋都在一個籃子裡。如果不法之徒找到了一種正確方法的話,後果就不堪設想了。因此,這還是一個魚和熊掌不可得兼的問題。
對你的安全環境進行規劃
在考慮網絡安全環境的規劃 (除了了解已經老化了的系統以及實際需要進行的更換) 時,確保你已經充分了解了當前的情況和面臨的風險。隨著時間的流逝,面臨的威脅和風險也會不斷發生變化,因此需要定期進行監測。為了確保目前的保護等級對於信息安全來說是足夠的,還需要進行定期審核。關注現有的安全措施,確保不會產生浪費,它們應該用於更關鍵的位置,保護更重要更寶貴的數據。大多數公司都會低估信息資產的價值和安全。當然,我們也沒有理由花費價值五萬美元的安全解決方案來保護價值一萬美元的信息。安全保護必須和數據的實際價值以及受到攻擊的可能性相關聯。
下面要做的就是需要確保你對需要得到保護的網絡和系統有足夠的了解。安全解決方案是不能夠幫助公司了解通訊基礎設備中存在的弱點的。最重要的是,你需要對系統外部連接點有著充分的了解。這裡說的不僅僅是因特網和廣域網 (WAN) 連接。人們通過高速網絡連接同步他們的個人數字助理;USB設備在網絡上頻繁出現;無線網絡遍布各處。審核、審核、再審核,這就是你要做的工作。建立分布圖,確定風險的位置,進行檢查和重新檢查。
一旦價值、風險和環境情況都得到了確認,就可以准備開始設備采購了。盡管我們喜歡讀者選購我們推薦的任何產品,但對於特定的環境來說,你還是需要進行自己的分析和研究的。環境往往是相似的,但不論是在技術、培訓、預算等任意方面,任何兩個網絡的特征都不會是完全相同的。對於信息安全來說,是永遠不能掉以輕心的。
完成了風險評估後,你就可以忽略安全顧問和供應商的恐懼、不安和懷疑(FUD),專注於找到保護環境的解決方案。
找出符合要求的產品
對於很多客戶來說,安全產品評測是在Enex實驗室中定期進行的常規項目。
你應該根據自己對環境和風險的要求創建一個清單。然後,再了解廠商提供產品的功能,並建立一個必備要求的清單,與前面的清單進行比較。關注產品的功能,但不要僅僅考慮這一點,了解廠商對於你認為必備功能的觀點。
有兩個關鍵因素經常被忽視,它們是控制/管理功能和互操作性。請務必重視管理功能,如果沒有合適的設備的話,在四十家分支機構進行部署的時間,如果供應商出現一個錯誤,後果就不堪設想了(是的,發生過這樣的情況)。更不用說,如果你的網絡工程師不能有效地配置和管理它時,會出現什麼樣的問題。互操作性也是經常被忽視的一個因素。如果你還有需要繼續工作的老設備,這時應該怎麼處理?創建一個此類產品和應用的清單,確保關鍵協議會得到充分支持。
一旦完成了整個清單,就可以開始聯絡供應商,詢問他們對你的特殊要求的答復了。在進行示範和真實的實際模擬測試的時間應該確保是按照你的設想和要求進行的。測試方法和測試時的標准做法以及安全系統的評價標准是一個值得單獨進行討論的問題。對於解決方案和環境來說,有很多問題需要注意。
在進行測試的時間,有兩個因素往往會被忽視,性能和主機故障恢復/冗余。
評價解決方案性能的時間,需要從確保流量的及時處理,不會出現瓶頸的角度來考慮,在這裡特別需要注意的是,確保所有需要用到的功能都包含進去了。
主機故障恢復/冗余應該從兩個方面進行測試。首先,產品不可能是萬無一失的。一旦系統崩潰,是會開放所有數據,還是會直接鎖定。盡管鎖定所有數據為處理工作帶來了極大的不便,但比起開放來,它的安全性好得多。
其次,冗余:是否選擇和如何使用高可用性配置的設備?這包括了從是否選擇多個風扇和電源到建立備用設備的方方面面。如何順利地進行過渡?它們將如何安裝並連接到網絡的其它部分上的?對於主從設備的更新處理應該如何配置?在什麼情況下進行設備切換,備用設備是要隨時待機麼?問題的數量是龐大的!
最後的一點,盡管很多人剛開始就詢問了,就是解決方案的價格。選擇三到四個產品以便進行競爭,這樣的做法是明智的。當合同談判開始(不論是與供應商還是和你的老板)時,你就有選擇的余地了。
目前的產品
關於這一內容,Enex測試實驗室的最新測試是2005年8月做的。但到現在,這一測試仍然是廣受歡迎的,所以我們更新了這一專題。
我們邀請了包括包括思科、邁克菲、網件、瞻博、北電、賽門鐵克、Fortinet、Check Point、WatchGuard、國際商業機器公司和SonicWALL在內的供應商參加。包括思科在內的一些廠商,決定不參與測試。其它一些廠商由於退出市場而不再更新設備。到目前為止,五家廠商已經提交了產品,它們是瞻博、SonicWALL、Astaro、WatchGuard和國際商業機器公司。如果其它廠商再送來設備,我們會將其列在後面。我們對提交的設備從設計、功能、互操作性、可擴展性、升級功能、安裝、配置、行政、管理、易用性、質量和工藝等角度進行了評估。
Astaro 525安全網關是ASG產品線中最高端的型號。在該產品線中,共包含了六種型號,最小的是針對十名用戶的,依次類推,最大的就是525安全網關。由於該設備包含了軟件解決方案和虛擬應用工具,所以它的兼容性很廣。
525安全網關以及其同類產品可以提供標准的和VPN功能,支持進行內容過濾、垃圾郵件過濾、病毒掃描、入侵檢測和帶寬管理等操作。比較有趣的是,它還可以支持處理電子郵件加密,在當前企業級領域,這是一種正在迅速普及的審核方式。
525安全網關安裝在一個全長的2RU機箱中。前端提供了十個以太網(10/100/1000)端口、以及額外的以太網管理端口、兩個串口和兩個USB接口。一個小型的液晶顯示器(LCD) 用來顯示狀態信息,四個按鈕用來查看狀態信息。兩對狀態指示燈用來提醒電源和硬盤驅動器(HDD)的使用情況。每個以太網端口都采用了兩個LED指示燈來表明連接和活動的狀態。
在機箱的底部兩側是通風良好的格柵。後端是兩個鎖定的移動硬盤;三台抽氣扇和一個VGA端口(這些設備都是基於標准的個人計算機架構上的)。後端還包含了電源開關、重啟開關、另一個電源指示燈和兩台電源,每台都是使用單獨的供電線路獨立工作的。每台電源都有兩台抽氣扇。
Astaro聲稱它不同於大多數其他的統一威脅管理 (UTM) 設備廠商,因為它不僅可以提供硬件產品還可以提供軟件光盤映像。據此,該公司認為,客戶不僅可以根據不受限制的許可證模式選擇適合自己的設備 (這時,只有客戶硬件設備的限制才是整個解決方案的極限,直到網絡發展到需要更大更好設備的時間),還可以選擇基於Astaro提供的基於光盤映像的IP分層保護模式的軟件解決方案。
Astaro的軟件可以像硬件設備一樣提供相同的功能,並且,它容許最終用戶使用自己的基於x86的硬件設備。因此,客戶可以將調整的服務器作為Astaro統一威脅管理設備使用,直到網絡發展到需要更大更好設備的時間。該光盤映像軟件也可以在虛擬環境下運行,從而進一步降低硬件的費用。Astaro認為ASG設備的目的是為公司、個人和系統管理員解決問題。它將重點放在最終用戶上,經常傾聽他們的意見。這些產品超過百分之七十特性和功能的改進,都是來自用戶的意見。Astaro的用戶將看到產品越來越適合他們的需要。
總的來說,設備的安裝和初始配置操作是比較簡單。和大多數UTM設備一樣,Astaro提供了一些管理選項,並且包含了一個非常出色令人驚嘆不已的功能。Astaro將它們以符合邏輯方便使用的方式結合到一起。
查看更多關於Juniper 的資訊,請訪問其官方網頁 www.juniper.net
|
