随着各行业信息化进程的深入,网络边界安全正在进入一个全新的发展阶段。“网络边界”可以从两个方面进行理解:一个是“人网边界”,也就是我们经常提出的桌面安全,这是人与网络的分界处;另一个是“网网边界”,直白理解就是网络与网络的交界,由于局域网或园区网规模已经发展到一定规模,采用“安全域边界”这个词来理解会更加贴切一些。各种威胁的对象正在由主机资源转变为网络资源,与此相对应,安全域边界也就成为网络建设者最为关注的方面,安全网关作为域边界的主要防护设备也在不断优化以适应新的安全发展需要。
一、 网关安全之惑——复杂
安全网关有很多种,包括防火墙、VPN网关、防病毒(Anti-Virus)网关、入侵防御(IPS)网关、反垃圾邮件(Anti-Spam)网关等等,这使得用户在安全域边界部署安全网关时,时常感觉到比较复杂,无从选择。
威胁愈加复杂
在各类网络中,安全威胁越来越复杂多变,在任何时刻都会使网络面临日益增长的安全危险。以往威胁大多只是企图利用创新而具破坏性的攻击手法来提高知名度,如今却转而以谋利为目的。除去威胁程度日益增加的病毒和蠕虫,用户还必须面对更加复杂的攻击型态,如木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼、网站嫁接等多种攻击。在威胁种类变得复杂的同时,利用漏洞的病毒、蠕虫的“Zero Day”攻击能够赶在补丁程序安装之前出现在网络中,这在时间坐标上使威胁变得复杂。
选择部署复杂
丰富的安全网关类型给用户带来方便灵活的选择方式,用户可以根据自身的投入和安全程度需求选择不同的网关组合,但随着多数用户要求的安全程度越来越高,对于选择和部署安全网关也有了困惑。选用单一的安全网关能够节省投入、方便管理,但只能起到部分的安全防范作用,例如防火墙主要针对四层以下的威胁进行防范,反垃圾邮件网关主要针对于垃圾邮件进行防范;选用多个安全网关进行组合在功能上比较全面,但随之而来的是投入高、整体性能下降、管理分散等问题,这使得用户在安全网关的部署选择上存在一定困惑。
策略实施复杂
安全策略是用户根据自身情况量身定制的,在总体安全策略的规范下,落实到网关上的安全策略具备一致性,也就是具体的安全策略之间是相互配合、相互联系的。当存在多个网关实体时,需要分别实施安全策略,这增加了安全策略实施的难度。与此同时,多个安全网关可能来自于不同的厂商,相互配合会存在比较大的问题,在此情况下想要保证安全策略实施的一致性是非常复杂的。
管理维护复杂
在安全网关日常维护过程中,安全管理粒度越来越细,一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单,但对多台具备不同功能的安全网关进行相应维护就比较复杂,尤其当存在多级网关设备时。对于网络流量与业务的实时监控是网管员判断网络安全的重要依据,单一功能安全网关提供的信息不全面,多个安全网关提供的信息关联性差,需要较多的分析工作,这也加大了管理维护工作的复杂度。
