| 出版日期:2004-08-02 总期号:1335 本年期号:56 |
|
 |
赛门铁克SGS 5400
瞄准混合型攻击 高岚 
赛门铁克SGS 5400网关安全解决方案 毫无疑问,蠕虫等混合型攻击是现在最流行、危害最大的攻击方式,目前主流的解决方案都不约而同地把目标直指这种攻击方式。赛门铁克在今年推出的网关型综合产品SGS(Symentec Gateway Security)5400系列就是这样一种解决方案,它集成了应用防火墙、VPN、防病毒、防垃圾邮件、入侵防护、入侵检测、内容过滤等七项功能,并且内置HA/LB(高可用性/负载均衡)。通过这七个功能模块的组合,一个管理控制平台,一个硬件设备,使用户花费不高的成本,就可以应对令人头疼的安全问题。 “纯种”产品难以支撑 虽说这种防火墙+防病毒+IDS/IPS+……的“混血”网络安全平台是现在市场上的主流,但是,相对于“纯种”的产品,这对于广大用户来说到底有什么意义?赛门铁克公司中国区技术经理郭训平回答了这个问题。“纯种”产品各自工作都存在弊端:包过滤防火墙或状态检测型防火墙在检查数据包时,只看包头,不看载荷,只能做简单的访问控制,安全性较低;网络入侵检测,只能监听镜像流量,往往响应不及时,它与防火墙联动理论可行,但很难有效可靠应用,因为,在它发现攻击时,往往攻击已经到达目标,而且,需要对攻击所造成的伤害作进一步的调查,而且它只对TCP有作用;网关防病毒产品目前还没有得到大多数用户的重视,如果病毒、蠕虫、混合威胁进入网络,将造成内部网络资源和系统资源的大量消耗。而且,如果采用这些“纯种”产品,通常需要单独采购4到5种不同来源的防护产品,带来更复杂的问题:产品间很难协调通信;管理界面风格不同,运行方式多样;需要维护多种产品及特征码的升级;人员、资产和管理维护成本直线上升;不能真正地阻止安全威胁。 “混血”平台层层阻挡 以上原因促使了SGS 5400的出台。通常数据流进入该设备后,会经历以下层层过滤的过程:第一步通过VPN解密(如果需要的话);第二步,做入侵检测分析,如果发现其中有攻击,就会调用IPS,如果没有,就继续;第三,经过应用代理防火墙,对数据中的协议进行应用层检查,这时防火墙规则生效;第四,对于一个Web请求,这时来到内容检测,如果发现是来自某个色情网站的数据,就会被阻止掉,反垃圾邮件功能也是在该步骤生效;最后一关是防病毒,如此设置,是因为,一般的蠕虫都会有黑客特征,十有八九都会在前面被过滤掉,能到最后一关的带毒数据只有纯文件型病毒或者宏病毒,一般其危害性不大。 如果如此多的功能模块一起工作,是否会带来硬件性能的直线下降?郭训平这样解释:性能是相对而言的,功能模块开启得越多,产品的性能肯定越受影响,就看用户如何做平衡。以SGS最高端产品5460为例,其最大吞吐量可以达到1.8G,对它的性能影响最大的是防病毒模块,如果用户觉得这种影响是不能忍受的,他们就会建议,关掉防病毒功能,但是一定要打开IDS和IPS功能。这样,针对蠕虫的防范能力就没有任何影响,而且,IDS和IPS这两个功能模块对该产品的性能影响几乎察觉不到。但是,如果用户对于这种影响不敏感的话,他们还是建议把网关防病毒跟防火墙集成起来,因为,如果有防病毒模块,当有病毒流量通过时,就可以直接屏蔽掉。郭训平认为,是否关闭防病毒功能,主要是看用户的应用环境。例如,对于某些企业,如果它的文件服务器每个员工每天点击3次,那么,文件型病毒的影响就会非常大,考虑到病毒模块对于性能带来的影响,这时候他们会建议用户添加一台产品,配置高可用性/负载均衡。 看来,“混血”设备的确可以给用户带来实际好处,这种产品成为市场宠儿是必然趋势。 |
||||||||||||||||||||||||
