如何選擇復(fù)合型的網(wǎng)絡(luò)防火墻

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

內(nèi)容的安全檢查技術(shù)（Content Inspection security technology）與反病毒和入侵監(jiān)測(cè)系統(tǒng)（intrusion detection systems ，IDS）在網(wǎng)絡(luò)防火墻中的應(yīng)用正在逐漸融合。研究表明，防火墻所支持的反病毒解決方案跨越了中小型企業(yè)（Small and Medium Businesses ，SMB）、大型企業(yè)、和服務(wù)供應(yīng)商。

長(zhǎng)期以來(lái)，防火墻都以提供周邊安全和保證VPN連接著稱。Yankee Group的調(diào)查表明，在2002年，防火墻和反病毒解決方案占到了企業(yè)安全產(chǎn)品和服務(wù)支出的78%。

技術(shù)發(fā)展軌跡
Yankee Group預(yù)計(jì)在未來(lái)的五年內(nèi)，反病毒（AV）解決方案的首要任務(wù)將轉(zhuǎn)變成服務(wù)提供者網(wǎng)絡(luò)。我們預(yù)計(jì)在2003年底，將出現(xiàn)第一批為用戶提供反病毒服務(wù)的ISP，他們以此來(lái)增加收入。我們預(yù)計(jì)將會(huì)出現(xiàn)三個(gè)階段：

階段一：防火墻為AV產(chǎn)業(yè)鏈重新定向郵件通信。企業(yè)經(jīng)常會(huì)采用三家甚至更多供應(yīng)商的AV產(chǎn)品，并希望它們中的至少一個(gè)能夠捕獲一個(gè)病毒或者蠕蟲(chóng)。這是市場(chǎng)上處于領(lǐng)導(dǎo)地位的防火墻供應(yīng)商為大型企業(yè)所提供的最受歡迎的解決方案，比如Check Point、Cisco、Netscreen、Nortel還有Symantec，這些廠商讓電子郵件通信通過(guò)Network Associates、Sophos、Symantec、Trend Micro反病毒網(wǎng)關(guān)。

階段二：防火墻。在允許通信之前，要檢查注冊(cè)表中關(guān)于終端的狀態(tài)，看其是否與AV更新的安全策略相沖突。這是對(duì)暴露在企業(yè)局域網(wǎng)（ISP來(lái)自家里或是在路上）之外的終端的流行解決方案。

階段三：在通信進(jìn)行之前就通過(guò)防火墻進(jìn)行AV操作。當(dāng)防火墻把信息包重新組合，ASIC在允許信息進(jìn)入網(wǎng)絡(luò)之前就把病毒清除了。這個(gè)產(chǎn)品為SMB節(jié)省了一個(gè)單獨(dú)的管理點(diǎn)，并為ISP提供了高效能。網(wǎng)絡(luò)通信安全性的增加是能夠掃描所有的病毒，而不僅僅是使電子郵件變得安全了。

技術(shù)能力
防火墻為濾除不必要的通信提供了唯一的入口。防火墻、VPN、還有AV等多個(gè)安全功能使用同一個(gè)管理界面。

對(duì)于高等級(jí)的安全防護(hù)來(lái)說(shuō)防火墻是最佳的。供應(yīng)商通過(guò)為客戶定制ASIC來(lái)達(dá)到更高的性能等級(jí)，比如Fortinet公司的產(chǎn)品，或者在設(shè)備中使用更大的處理器，比如ServGate和Symantec的產(chǎn)品。

AV中額外增加的一層會(huì)減少企業(yè)的風(fēng)險(xiǎn)性。當(dāng)簽名匹配時(shí)，AV產(chǎn)品是可以互通的，但是它們之間檢測(cè)新病毒和修復(fù)被病毒侵襲的文件的能力卻各有高低。

對(duì)于中小企業(yè)（SMB）和遠(yuǎn)程辦公/分支辦公室（ROBO）來(lái)說(shuō)，整合了AV和VPN功能的防火墻是最理想的選擇，因?yàn)檫@符合它們只想要少量管理的要求。

整合了額外性能的防火墻還能夠很好的適應(yīng)ISP。

技術(shù)挑戰(zhàn)
整合防火墻解決方案需要增強(qiáng)其能力，以保護(hù)連接到網(wǎng)絡(luò)的便攜式電腦。連接到其他網(wǎng)絡(luò)的遠(yuǎn)程用戶（比如在ISP那里的一個(gè)個(gè)人賬號(hào)）也需要基于主機(jī)的AV來(lái)保證其完整性。

整合防火墻解決方案為AV保護(hù)提供了多余的一層，這對(duì)于那些已經(jīng)使用Symantec，Trend Micro和McAfee交叉防護(hù)的大企業(yè)來(lái)說(shuō)，并沒(méi)有什么太多的價(jià)值。

ISP不提供反病毒掃描作為其增加收入的基本的網(wǎng)絡(luò)服務(wù)。一旦這成為現(xiàn)實(shí)，終端將能夠獲得全面的AV防護(hù)，不用再考慮是企業(yè)還是公共網(wǎng)絡(luò)連接。

整合防火墻技術(shù)在反病毒中的定位在表1列出，實(shí)心圈表示優(yōu)點(diǎn)，空心圈表示缺點(diǎn)。

表1：整合防火墻和AV的各個(gè)階段
資料來(lái)源: the Yankee Group, 2003

供應(yīng)商的建議
擁有成本將仍然成為提供網(wǎng)絡(luò)設(shè)備日常內(nèi)容監(jiān)測(cè)服務(wù)的推動(dòng)力量。通過(guò)背后無(wú)數(shù)分級(jí)分布（tiered-distribution）的合伙者，AV和防火墻供應(yīng)商巧妙的把程序安裝在客戶端，并通過(guò)訂閱服務(wù)來(lái)贏得市場(chǎng)。廠商將把AV引擎內(nèi)置到大型的防火墻中，來(lái)產(chǎn)生新的訂閱收入。

為擁有不到50人員工的SMB和家庭工作室提供簡(jiǎn)單的解決方案。這個(gè)市場(chǎng)沒(méi)有IT管理，減少功能會(huì)增加管理復(fù)雜性。

安全服務(wù)供應(yīng)商提供整合了防火墻，VPN，反病毒的管理服務(wù)。總體擁有的費(fèi)用是個(gè)問(wèn)題。

給企業(yè)的建議
任何企業(yè)都不應(yīng)該在沒(méi)有防火墻和反病毒保護(hù)的情況下訪問(wèn)互聯(lián)網(wǎng)。企業(yè)應(yīng)該評(píng)估出能夠最有效節(jié)約費(fèi)用的防護(hù)方法。主要使用桌面電腦的中小型企業(yè)，比如遠(yuǎn)程辦事處/分支機(jī)構(gòu)市場(chǎng)應(yīng)該安裝價(jià)格比較低的整合型防火墻。Yankee Group推薦Fortinet、ServGate和Symantec的產(chǎn)品。

擁有連接外部網(wǎng)絡(luò)手提電腦的SMB和ROBO應(yīng)該安裝防火墻，并管理桌面電腦的AV簽名。Yankee Group在這里推薦SonicWALL和WatchGuard。

互聯(lián)網(wǎng)服務(wù)供應(yīng)商應(yīng)該針對(duì)家庭用戶和SMB，尋找能夠產(chǎn)生更多收入的反病毒服務(wù)。使用高性能的客戶定制ASIC能夠讓防火墻在發(fā)送一封電子郵件之前就把病毒清除干凈，并能夠增加收入。

來(lái)源：zdnet