有必要再次强调,网络的安全程度符合木桶原理,木桶盛水的多少取决于最短的一根木条。如果一个安全方案的结果只是获取局部的强势,那用户买到的更多只是心理安慰。安全方案的部署应从整体考虑。

  整体考虑包含多层含义。从位置上说,应该兼顾内网和边界。从层次上说,应该在以往网络级安全的基础上,引入应用层安全。从管理上说,应该将各种安全设备包括业务认证系统有机的结合起来,共享统一的企业安全策略。

问安全买到几何?

  在安全问题已深入人心的今天,各种安全产品和解决方案都找到了自己的位置,防火墙、防毒墙、安全网关、IDS、IPS、VPN网关,还有传统网络设备厂商的崭新介入,他们提供安全交换机、提供IDS与策略服务器和交换机的联动。林林总总,几乎每种方案都存在着不同的问题,这些问题的存在不是说让用户回避它,而是用户应该站在问题的角度上精挑细选,并合理规划。

  最为典型的一种误解就是以为买了防火墙就买到了安全。

  可以从两方面来看待这个问题。首先,面对多数安全威胁已经来自企业网络内部而非Internet的事实,防火墙无能为力。即便是如今的防火墙可以提供更多的端口供内网使用,它所能解决的仍是重点网段间和网络的边界安全。

  其次,目前市场上有相当部分的防火墙仍属于传统的状态检测防火墙,它们最多检测到传输层的包头,尽管其中的一些产品已经开始分析应用层的内容,但检测内容不能满足需要。为什么这么说呢?如今攻击的层次已经从网络层向应用层进发。表现为大量的攻击直指企业的Web和邮件系统,而这两种应用防火墙都是会允许通过的,但其中的内容传统防火墙却只能进行极为有限的检查。它们拿HTTP蠕虫没办法,对那些使用80端口的P2P通信也无法控制。

  防火墙+IDS的组合也饱受争议。

  问题的起源之一来自IDS的漏报和误报问题。尽管各个厂家都努力缓解此缺陷,但通过一些第三方的测试表明,IDS的漏报和误报是个客观事实。当误报产生,IDS与防火墙的联动就有可能会中断合法通信。从另外的角度来看,有些攻击,当被IDS检测到并与防火墙联动触发过滤规则时,攻击可能已经结束了。

  防火墙+IPS或一体化安全网关的解决方案出现了,不过其中也有隐忧。

  将传统防火墙和IPS串联起来的方案多了起来,这其中的焦点还是在IPS,IPS可以进行实时阻断,可以弥补传统防火墙在应用层防御上的缺陷,但它对攻击分析的准确性像IDS一样也是人们所担心的一个问题。IPS产品良莠不齐的另一个表现是它们在应用了众多过滤规则后的性能问题。作为一个穿越设备,IPS如果产生比较大的延迟的话,会直接影响到企业的VoIP等关键业务的服务质量。

  传统的状态检测防火墙融入了防病毒和IPS/IDS功能,这类一体化的安全网关符合用户一次投资买到尽可能多的安全功能的想法。

  这类产品和上面的问题类似,就是其IPS或防病毒功能全面启用后的性能问题。漏报和误报问题在这类产品中并不突出,毕竟,它们中的很多产品并不会把业已发现的所有病毒和攻击都添加到特征库中,它们更倾向于提供给用户目前常见的攻击防护,当然这部分也已经很庞大了。

  网络厂商提出安全网络概念。在安全理念发生比较大变化的同时,不能忽视其中可能存在的问题。

  网络设备厂商通过客户端软件、交换机和安全认证策略服务器对网络中每一个信息点进行控制,可以敦促每个用户及时为软件打补丁弥补漏洞,进行主动防御。它们提供抗DoS攻击的交换机,引入了IDS和IPS以及防火墙,从网络层到应用层进行全面防护。

  在这类方案中,有几处值得关注。一个是客户端软件,该软件需要提供很强的对各种软件的识别能力。此外,针对多种不同的操作系统平台都应该进行控制。目前,多数这样的方案只能提供Windows客户端软件。另一个是整体方案中的安全产品的能力问题。毕竟,网络中IPS和防火墙还要履行它们一如既往的职责。而且,IDS等设备的能力直接影响着对客户端的策略控制结果。因此,在强调整体的同时,必须意识到具体的工作还是需要个体来实施,实施的效果一部分取决于管理员的应用水平,另一部分取决于产品的能力。

  而且,这类方案对于一个全新的网络来说部署起来要更现实,因为某些遗留下来的交换机等设备未必能够和策略服务器及IDS进行联动。因此,这类整体解决方案的开放程度也影响着用户选择具体位置上的安全产品。另外,对于中低端用户来说,部署这类整体的安全网络方案是否切实可行也需要进行考察。

  上面所述诸多问题并不是想给每一种安全产品或方案泼冷水,而是想提醒用户,当你进行了安全方面的投入后,应该清楚自己保护了哪些内容,还存在哪些隐患,以便进行改进。或者,在进行安全部署之前,结合自己的投资规模,更合理地设计一个尽可能安全的网络,选购尽可能优秀的产品或产品组合。