企业级安全网关选型

企业级安全网关的选型探讨

【摘要】企业内外部网络的交互需求越来越多样，传统的防火墙产品已无法满足复杂网络综合性防御的需要，而集成多重安全功能的安全网关则能为企业信息安全构建有力的保护屏障。本文描述了某企业在生产经营中所面临的网络安全需求场景，通过对安全网关产品的介绍及分析对比总结了安全网关的选型思路及建议。

【关键词】安全网关；utm；下一代防火墙

1.引言

随着企业的快速发展，企业内外部网络的交互需求变得越来越复杂多样，为抵御来自外部网络的安全威胁，企业通常会选择各种安全产品部署在网络边界。这类部署在企业内网与外部网络边界的安全产品通常称之为安全网关。

安全网关的产品多种多样，有通用型的防火墙、专用型vpn防火墙、入侵检测/防御设备、防病毒网关、应用控制防火墙、集成多种安全功能的utm（统一安全威胁）和ngfw（下一代防火墙）等，如何选择合适的安全产品构建起企业内网安全的铜墙铁壁也是一

项复杂的系统工程。

以某企业的实际需求为例：该企业的内外部网络访问需求场景如图1所示。

在图1里场景一描述了员工要求在公网上通过web网页访问企业的办公系统；场景二描述了分支机构或办事处要求通过专线获得

企业内网的ip地址访问各类服务器；场景三描述的是企业需要对员工访问internet的内容进行管控；场景四则描述的是企业与合作伙伴之间有互访需求，但是为保障信息安全，双方需隐藏真实的主机ip和路由信息，转换成私网地址进行通信。

不同的需求场景对应不同的网络技术和安全产品，是购买不同的安全设备分别实现还是寻找一种安全产品一次解决所有需求？哪一种性价比更高、更利于管理和维护？让我们先看看有哪些安全网关产品可以供我们选择。

2.主要安全网关产品介绍与分析

纵观安全网关的产品演变历史，可以看出其发展趋势是在功能与性能之间寻求最佳平衡点，从这个角度上说，安全网关大致可以分为如下三种类型（当然，还有按架构、功能等的分类方法，本文不讨论）：

2.1 单一功能安全网关

（1）防火墙：最早期的安全网关非防火墙莫属了，防火墙是一种防御osi 模型四层以下攻击的安全设备，传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量，实现ip 地址、端口层面的安全防护。在网络发展的初期，确实起到很大的作用，但随着网络攻击技术的日新月异，osi 模型四层以上尤其是应用层的攻击逐渐成为主流，传统的防火墙已经无能为力，于是就催生了一批新型的安全网关。

（2）vpn防火墙：vpn（虚拟专用网络）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，该连接是一条穿过混乱的公用网络的安全、稳定的加密隧道，常用的vpn防火墙技术有ipsec vpn和 ssl vpn等。

（3）防病毒网关：是一种用以保护网络内（一般是局域网）进出数据安全的网络设备。主要体现在病毒查杀、关键字过滤（如色情、反动）、垃圾邮件阻止等功能，同时部分设备也具有一定防火墙（划分vlan）的功能。

（4）上网行为管理设备：通过硬件内置的应用识别规则库、网页地址库，结合深度内容检测、网页智能识别等技术，帮助企业管理和控制用户对互联网的使用，通常包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。

还有很多其它单一功能的安全网关，这里就不详述了。

2.2 utm（统一威胁管理）

utm（unified threat management）即统一威胁管理，最早由idc于2004年提出。根据idc的定义，utm是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。现在的utm通常是用于全方位解决企业综合网络安全问题的产品，另外还集成了vpn、访问控制、垃圾邮件拦截、服务质量（qos）、负载均衡和高可用性（ha）等功能。

2.3 ngfw（下一代防火墙）

虽然下一代防火墙产品还没有一个统一的标准，但业内普遍认同的关于ngfw的定义，则来自gartner于2009年发布的一份名为《defining the next-generation firewall》的文档。gartner 认为，下一代防火墙是一种多功能集成式线速网络安全处理平台，包含所有标准功能，如常见的网络地址转换（nat）、包过滤和深度包检测（dpi）等功能，而应用识别、控制和可视化是其重要的核心特性。

3.产品选型

针对企业的需求场景，并结合当前主流的安全技术，我们首先可以明确的是：该企业需要一台带ssl vpn功能和ipsec vpn功能的防火墙来分别实现远程办公和办事处电脑的接入；还需要一台能进行双向地址转换的高性能防火墙实现企业与合作商网络之间的大数据量快速转发；另外该企业还需要一台类似上网行为管理设备的应用防火墙。

纵观上面介绍的各类产品，我们可以看到，针对每一个需求场景都有相对应的独立设备来实现，同时也有集成多种功能的设备一次解决所有需求。那么在进行产品选型的时候我们应该如何做呢？很明显如果企业部署多种单一功能的网关时，必然会碰到一系列的问题，例如：

可用性问题：安全设备增多，则故障节点增多，故障排查难度

增大；

可管理性问题：安全设备增多，则加大管理人员的工作量，增加管理的难度，人为操作失误的概率也增加。

兼容性问题：由于多种安全设备很可能出自不同厂商，因此兼容性会打折扣，直接影响网络安全体系的整体效能。

成本问题：配备多个安全设备会导致成本的增加。

因此，通常情况下在选型的时候应尽量选择能一次解决多种需求的设备。

而满足该企业需求的多功能安全网关有utm和ngfw二大类，在选型的时候建议同时考虑国内与国外知名厂商的安全产品，并进行充分的对比和测试。

该企业经过多方查阅资料，最终选定了三家厂商的二大类设备：国内厂商一的ngfw设备和国外厂商二和厂商三的utm设备。按照魔力象限分析，厂商一在国内ngfw领域处于领导者地位，厂商二和厂商三在全球utm领域分别处于领导者和挑战者的地位。

经过近三个月的技术交流和产品试用，针对该企业的四大需求场景，三家厂商给出的解决方案中的产品对比测试结果如下：三家厂商的设备都具有防火墙、vpn、防病毒、ips、内容过滤、流量管理等功能模块；

厂商一的应用控制功能做的非常好，厂商三的utm设备不具备应用控制功能；