安全从整体购买：安全产品购买指南

　　有必要再次强调，网络的安全程度符合木桶原理，木桶盛水的多少取决于最短的一根木条。如果一个安全方案的结果只是获取局部的强势，那用户买到的更多只是心理安慰。安全方案的部署应从整体考虑。

　　整体考虑包含多层含义。从位置上说，应该兼顾内网和边界。从层次上说，应该在以往网络级安全的基础上，引入应用层安全。从管理上说，应该将各种安全设备包括业务认证系统有机的结合起来，共享统一的企业安全策略。

　　问安全买到几何？

　　在安全问题已深入人心的今天，各种安全产品和解决方案都找到了自己的位置，防火墙、防毒墙、安全网关、IDS、IPS、VPN网关，还有传统网络设备厂商的崭新介入，他们提供安全交换机、提供IDS与策略服务器和交换机的联动。林林总总，几乎每种方案都存在着不同的问题，这些问题的存在不是说让用户回避它，而是用户应该站在问题的角度上精挑细选，并合理规划。

　　最为典型的一种误解就是以为买了防火墙就买到了安全。

　　可以从两方面来看待这个问题。首先，面对多数安全威胁已经来自企业网络内部而非Internet的事实，防火墙无能为力。即便是如今的防火墙可以提供更多的端口供内网使用，它所能解决的仍是重点网段间和网络的边界安全。

　　其次，目前市场上有相当部分的防火墙仍属于传统的状态检测防火墙，它们最多检测到传输层的包头，尽管其中的一些产品已经开始分析应用层的内容，但检测内容不能满足需要。为什么这么说呢？如今攻击的层次已经从网络层向应用层进发。表现为大量的攻击直指企业的Web和邮件系统，而这两种应用防火墙都是会允许通过的，但其中的内容传统防火墙却只能进行极为有限的检查。它们拿HTTP蠕虫没办法，对那些使用80端口的P2P通信也无法控制。

　　防火墙+IDS的组合也饱受争议。

　　问题的起源之一来自IDS的漏报和误报问题。尽管各个厂家都努力缓解此缺陷，但通过一些第三方的测试表明，IDS的漏报和误报是个客观事实。当误报产生，IDS与防火墙的联动就有可能会中断合法通信。从另外的角度来看，有些攻击，当被IDS检测到并与防火墙联动触发过滤规则时，攻击可能已经结束了。

　　防火墙+IPS或一体化安全网关的解决方案出现了，不过其中也有隐忧。

　　将传统防火墙和IPS串联起来的方案多了起来，这其中的焦点还是在IPS，IPS可以进行实时阻断，可以弥补传统防火墙在应用层防御上的缺陷，但它对攻击分析的准确性像IDS一样也是人们所担心的一个问题。IPS产品良莠不齐的另一个表现是它们在应用了众多过滤规则后的性能问题。作为一个穿越设备，IPS如果产生比较大的延迟的话，会直接影响到企业的VoIP等关键业务的服务质量。

　　传统的状态检测防火墙融入了防病毒和IPS/IDS功能，这类一体化的安全网关符合用户一次投资买到尽可能多的安全功能的想法。

　　这类产品和上面的问题类似，就是其IPS或防病毒功能全面启用后的性能问题。漏报和误报问题在这类产品中并不突出，毕竟，它们中的很多产品并不会把业已发现的所有病毒和攻击都添加到特征库中，它们更倾向于提供给用户目前常见的攻击防护，当然这部分也已经很庞大了。

　　网络厂商提出安全网络概念。在安全理念发生比较大变化的同时，不能忽视其中可能存在的问题。

　　网络设备厂商通过客户端软件、交换机和安全认证策略服务器对网络中每一个信息点进行控制，可以敦促每个用户及时为软件打补丁弥补漏洞，进行主动防御。它们提供抗DoS攻击的交换机，引入了IDS和IPS以及防火墙，从网络层到应用层进行全面防护。

　　在这类方案中，有几处值得关注。一个是客户端软件，该软件需要提供很强的对各种软件的识别能力。此外，针对多种不同的操作系统平台都应该进行控制。目前，多数这样的方案只能提供Windows客户端软件。另一个是整体方案中的安全产品的能力问题。毕竟，网络中IPS和防火墙还要履行它们一如既往的职责。而且，IDS等设备的能力直接影响着对客户端的策略控制结果。因此，在强调整体的同时，必须意识到具体的工作还是需要个体来实施，实施的效果一部分取决于管理员的应用水平，另一部分取决于产品的能力。

　　而且，这类方案对于一个全新的网络来说部署起来要更现实，因为某些遗留下来的交换机等设备未必能够和策略服务器及IDS进行联动。因此，这类整体解决方案的开放程度也影响着用户选择具体位置上的安全产品。另外，对于中低端用户来说，部署这类整体的安全网络方案是否切实可行也需要进行考察。

　　上面所述诸多问题并不是想给每一种安全产品或方案泼冷水，而是想提醒用户，当你进行了安全方面的投入后，应该清楚自己保护了哪些内容，还存在哪些隐患，以便进行改进。或者，在进行安全部署之前，结合自己的投资规模，更合理地设计一个尽可能安全的网络，选购尽可能优秀的产品或产品组合。

　　安全产品你来选

　　用户在购买安全产品时，必需考虑到目前的安全威胁模型。即：攻击向应用大举进范；攻击更多地发生在企业网络内部; 信任模型的变化，仅仅通过用户名/密码认证的客户端往往有意无意地充当着网络的攻击源。

　　因此，最好本着全面部署的思路去购买安全产品。包括客户端准入及内网安全、边界安全等方面。安全层次涉及网络层、传输层到应用层。并且，通过客户端准入策略的部署，尽可能地消除每一台上网主机的安全隐患，实现主动防御。

　　内网安全

　　应该说，目前有几个因素提升了内网的安全性。

　　边界产品向内网延伸，体现在目前的防火墙产品上。

　　从端口密度来看，现在的防火墙已经摆脱了传统的Internal、DMZ和External三端口模式，提供近10个或更多的端口，用户可以将更多的内网子网用防火墙隔离开。而且，从防护的层次来看，有些防火墙也已经能够对Windows网络共享等应用进行安全过滤，这类特性的加入很大程度上是为内网的安全所考虑的。

　　专用内网安全产品的出现。

　　这种产品与传统防火墙单纯增加端口数目有很大的不同。它在应用层防御上增添了很多内容，比如针对HTTP蠕虫的防御。部署方式也比较灵活，可以将其放在核心交换机与工作组交换机之间。这样，就可提供对每个物理网段间的访问控制，而且包括针对应用层的深度防御，这是三层交换机所不能的。当然，在内网的骨干链路上添加了这样的设备，它应该在处理延迟上和交换机处于同样的级别，不能因为安全性的提高而使用户的千兆网络的性能发生明显变化。

　　另外，为保护内网重点网段或主机，还可以采用IPS。实际上，专用内网安全产品与IPS的防御功能有很多相似之处。

　　客户端准入系统采取的是主动防御的理念。

　　那些没有进行软件升级或病毒库更新的主机将受限通过网络资源。准入系统可以提醒用户并自动实现客户端主机的软件升级或病毒库更新，然后客户端主机才能完全接入网络。当用户进行端口扫描时，IDS会检测到该行为并联合策略服务器，指挥交换机做出反应，触发访问控制条目。监测异常行为并隔离的工作方式客观上大大提高了内网的安全性。

　　当然，这类系统应该是开放的，网络设备供应商和防病毒与IDS厂商技术很好的融合会使用户更从容地购买。

　　边界安全

　　边界安全产品是企业内网与Internet之间的安全屏障。它的代表是防火墙，带有防火墙功能的安全网关自然也位列其中，IPS则是边界安全的新生力量。

　　虽然有数据表明，网络攻击行为中的70%是发生在内网。但这不意味着边界安全的重要性要逊色于内网安全。正是由于人们以往更重视边界安全而拦截了大部分的来自外网的攻击。随着Internet的普及，人们的网络技能提高了，安全的威胁也就更大。即使企业可以通过主动防御来提高内网的抗攻击能力，为了减小遭受攻击的可能性，企业网也仍需要一个非常强大的网关产品，过滤掉大部分非法流量，对应用层安全进行检察，并能随时加入特征过滤掉新的攻击。

　　防火墙

　　架构：有的用户在选购防火墙时把产品的架构因素放在首位，即选用X86、ASIC、NP架构或是它们的某种组合。应该说，产品的架构决定了该产品的潜力，但并不代表该产品的能力。X86平台的防火墙不是低性能的代名词， ASIC +NP架构也不代表着防火墙有强大的性能和丰富的功能。好的产品是厂商在硬件平台的基础上进行卓越的开发才形成的。用户要明白自己买的是产品未来的能力还是现在的能力或者是兼顾。

　　性能：针对防火墙的性能，一直都有个误区。即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。这项数据对用户到底有多少指导意义呢？试想，用户哪里有纯粹的64字节的UDP流量？现实一些，看看防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能怎样，混合不同包长和协议后的延迟怎样，在实施DoS攻击情况下，防火墙启动攻击防御，看看此时穿越防火墙的VoIP的服务质量怎么样,这些恐怕更有实际意义。

　　安全性：早在两三年前，状态检测防火墙就可以做到基于IP地址和端口的访问控制，可以识别某些动态协议。目前的安全威胁的形势逼迫防火墙必须作出改进，最为突出的一点就是应用层安全。

　　也许有人会说应用层安全是IPS应该做的，防火墙的安全功能主要是在访问控制。但目前的事实是，有的防火墙已经在应用层过滤方面迈出了一大步。试想，如果用户的资金有限而无力购买IPS+传统防火墙的组合，那这种实现了诸多IPS功能的防火墙将更容易得到用户的青睐。而且，这些防火墙可以由用户加入某种攻击或安全隐患的特征，无需等到软件升级就可实现对某种应用的控制。比如全球每天都在诞生新的P2P软件，而且很多软件使用80或443端口。通过加入它的应用层特征而非TCP或UDP端口号就可对其进行控制。

　　动态协议：支持那些使用动态端口的协议也是防火墙要面对的问题。最为典型的是VoIP应用。打算部署VoIP的用户需要清楚自己将使用哪种VoIP设备，是基于H.323、SIP或是其他协议，有些防火墙只支持H.323而不支持SIP。有的防火墙不仅能够支持多种VoIP协议并支持各种拓扑，而且还能对针对H.323的攻击进行防御。

　　虚拟防火墙：作为新加入的一项防火墙功能，虚拟防火墙给用户提供了更多的灵活度，不同的用户可以享用不同的策略，就好像一台防火墙被分成了若干独立的防火墙一样。对于主机托管环境，每个用户面前都可以呈现出一台虚拟防火墙。现在，越来越多的防火墙支持此项功能。

　　VPN：随着大家广泛接受用VPN组网，有的防火墙已经把它作为基本组件，并保证良好的兼容性。有的防火墙还能实现VPN内部的流量管理。VPN网关和认证管理等系统的结合部分体现着企业的外延安全性，不光是出差的内部员工，那些企业的合作伙伴也常常通过VPN访问企业的网络资源。

　　当人们还在争论哪些是防火墙该做的工作，哪些产品不叫防火墙的时候，用户应该擦亮自己的眼睛，产品的名称并不重要，也许随着防火墙在应用层的深入和逐渐渗透到内网，防火墙已经逐渐脱离最初的形态，它也该改名了。目前的安全威胁模型决定了你在网络边界应该实现哪些安全防御，结合自己的资金投入，选择适当的产品或组合。