企業級安全網關的選型探討

劉會軍　鄧翠屏　葉喬輝

【摘 要】企業內外部網絡的交互需求越來越多樣，傳統的防火墻產品已無法滿足復雜網絡綜合性防御的需要，而集成多重安全功能的安全網關則能為企業信息安全構建有力的保護屏障。本文描述了某企業在生產經營中所面臨的網絡安全需求場景，通過對安全網關產品的介紹及分析對比總結了安全網關的選型思路及建議。

【關鍵詞】安全網關；UTM；下一代防火墻

1.引言

隨著企業的快速發展，企業內外部網絡的交互需求變得越來越復雜多樣，為抵御來自外部網絡的安全威脅，企業通常會選擇各種安全產品部署在網絡邊界。這類部署在企業內網與外部網絡邊界的安全產品通常稱之為安全網關。

安全網關的產品多種多樣，有通用型的防火墻、專用型VPN防火墻、入侵檢測/防御設備、防病毒網關、應用控制防火墻、集成多種安全功能的UTM（統一安全威脅）和NGFW（下一代防火墻）等，如何選擇合適的安全產品構建起企業內網安全的銅墻鐵壁也是一項復雜的系統工程。

以某企業的實際需求為例：該企業的內外部網絡訪問需求場景如圖1所示。

在圖1里場景一描述了員工要求在公網上通過WEB網頁訪問企業的辦公系統；場景二描述了分支機構或辦事處要求通過專線獲得企業內網的IP地址訪問各類服務器；場景三描述的是企業需要對員工訪問Internet的內容進行管控；場景四則描述的是企業與合作伙伴之間有互訪需求，但是為保障信息安全，雙方需隱藏真實的主機IP和路由信息，轉換成私網地址進行通信。

不同的需求場景對應不同的網絡技術和安全產品，是購買不同的安全設備分別實現還是尋找一種安全產品一次解決所有需求？哪一種性價比更高、更利于管理和維護？讓我們先看看有哪些安全網關產品可以供我們選擇。

2.主要安全網關產品介紹與分析

縱觀安全網關的產品演變歷史，可以看出其發展趨勢是在功能與性能之間尋求最佳平衡點，從這個角度上說，安全網關大致可以分為如下三種類型（當然，還有按架構、功能等的分類方法，本文不討論）：

2.1 單一功能安全網關

（1）防火墻：最早期的安全網關非防火墻莫屬了，防火墻是一種防御OSI 模型四層以下攻擊的安全設備，傳統防火墻只能根據與數據包源地址和目標地址有關的信息來檢測流量，實現IP 地址、端口層面的安全防護。在網絡發展的初期，確實起到很大的作用，但隨著網絡攻擊技術的日新月異，OSI 模型四層以上尤其是應用層的攻擊逐漸成為主流，傳統的防火墻已經無能為力，于是就催生了一批新型的安全網關。

（2）VPN防火墻：VPN（虛擬專用網絡）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，該連接是一條穿過混亂的公用網絡的安全、穩定的加密隧道，常用的VPN防火墻技術有IPsec VPN和 SSL VPN等。

（3）防病毒網關：是一種用以保護網絡內（一般是局域網）進出數據安全的網絡設備。主要體現在病毒查殺、關鍵字過濾（如色情、反動）、垃圾郵件阻止等功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能。

（4）上網行為管理設備：通過硬件內置的應用識別規則庫、網頁地址庫，結合深度內容檢測、網頁智能識別等技術，幫助企業管理和控制用戶對互聯網的使用，通常包括網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等功能。

還有很多其它單一功能的安全網關，這里就不詳述了。

2.2 UTM（統一威脅管理）

UTM（Unified Threat Management）即統一威脅管理，最早由IDC于2004年提出。根據IDC的定義，UTM是指能夠提供廣泛的網絡保護的設備，它在一個單一的硬件平臺下提供了以下的一些技術特征：防火墻、防病毒、入侵檢測和防護功能?，F在的UTM通常是用于全方位解決企業綜合網絡安全問題的產品，另外還集成了VPN、訪問控制、垃圾郵件攔截、服務質量（QoS）、負載均衡和高可用性（HA）等功能。

2.3 NGFW（下一代防火墻）

雖然下一代防火墻產品還沒有一個統一的標準，但業內普遍認同的關于NGFW的定義，則來自Gartner于2009年發布的一份名為《Defining the Next-Generation Firewall》的文檔。Gartner 認為，下一代防火墻是一種多功能集成式線速網絡安全處理平臺，包含所有標準功能，如常見的網絡地址轉換（NAT）、包過濾和深度包檢測（DPI）等功能，而應用識別、控制和可視化是其重要的核心特性。

3.產品選型

針對企業的需求場景，并結合當前主流的安全技術，我們首先可以明確的是：該企業需要一臺帶SSL VPN功能和IPSec VPN功能的防火墻來分別實現遠程辦公和辦事處電腦的接入；還需要一臺能進行雙向地址轉換的高性能防火墻實現企業與合作商網絡之間的大數據量快速轉發；另外該企業還需要一臺類似上網行為管理設備的應用防火墻。

縱觀上面介紹的各類產品，我們可以看到，針對每一個需求場景都有相對應的獨立設備來實現，同時也有集成多種功能的設備一次解決所有需求。那么在進行產品選型的時候我們應該如何做呢？很明顯如果企業部署多種單一功能的網關時，必然會碰到一系列的問題，例如：

可用性問題：安全設備增多，則故障節點增多，故障排查難度增大；

可管理性問題：安全設備增多，則加大管理人員的工作量，增加管理的難度，人為操作失誤的概率也增加。

兼容性問題：由于多種安全設備很可能出自不同廠商，因此兼容性會打折扣，直接影響網絡安全體系的整體效能。

成本問題：配備多個安全設備會導致成本的增加。

因此，通常情況下在選型的時候應盡量選擇能一次解決多種需求的設備。

而滿足該企業需求的多功能安全網關有UTM和NGFW二大類，在選型的時候建議同時考慮國內與國外知名廠商的安全產品，并進行充分的對比和測試。

該企業經過多方查閱資料，最終選定了三家廠商的二大類設備：國內廠商一的NGFW設備和國外廠商二和廠商三的UTM設備。按照魔力象限分析，廠商一在國內NGFW領域處于領導者地位，廠商二和廠商三在全球UTM領域分別處于領導者和挑戰者的地位。

經過近三個月的技術交流和產品試用，針對該企業的四大需求場景，三家廠商給出的解決方案中的產品對比測試結果如下：

三家廠商的設備都具有防火墻、VPN、防病毒、IPS、內容過濾、流量管理等功能模塊；

廠商一的應用控制功能做的非常好，廠商三的UTM設備不具備應用控制功能；

廠商一的NGFW設備不具備雙向地址轉換功能，但通過其它途徑可間接實現，且該NGFW設備只集成了IPSec VPN功能，SSL VPN的功能需搭配另外一臺設備實現；

廠商二的UTM設備缺少短信網關發送功能；

廠商二的UTM設備在進行大文件拷貝的時候比廠商一的NGAF設備稍快；

雖然三家廠商的設備各有優缺點，但最終該企業從最為關注的VPN和數據轉發功能出發，給廠商二的UTM設備評了技術分的相對高分。當然最后中選的是哪家廠商的設備還需要綜合考慮價格、售后服務等因素，本文就不深究了。

4.結束語

和多數安全網關產品一樣，NGFW和UTM在出現的時候都存在概念過度炒作的嫌疑，用戶在選購安全網關產品時一定要保持清醒的認識，UTM和NGFW短期內不存在取代關系，經過包裝的產品在功能上會越來越相似。面對眾多安全功能相互融合和滲透的產品，建議用戶可以從以下幾個方面綜合考慮：

（1）明確企業所需的關鍵功能：不是功能越多越好，適合自己的才是最好的。要明確自己的需求，根據企業的網絡規模和具體應用，選擇合適的產品。

（2）對性能進行測試和評估：傳統防火墻產品主要考慮的是吞吐量、并發連接數等指標。而多功能的安全產品的性能則體現在打開防病毒、內容過濾、應用控制等功能后所能承載的流量，目前尚無準確的量化指標。在選購的時候，除了衡量硬件平臺的架構和處理能力外，更重要的是進行多角度的測試。

（3）友好的管理界面：產品要有一個能控制各個模塊的圖形化管理控制臺。策略的管理與擴展能力，用戶、日志和告警管理是否能和組織已有的安全體系相適應，也是選型時要特別關注的。

（4）充分考量售后服務：雖然廠商的產品各有特色，但在售后服務方面卻千差萬別。例如有些能提供對安卓、蘋果平臺的支持，有些則需另行購買支持模塊。另外安全設備的策略部署和配置能否根據企業的網絡結構、規章制度變更獲得同步支撐，也是售后服務的重要內容。

總之，安全網關產品選型的每一個環節都應該重視，同時安全產品的產生與發展完全取決于網絡安全威脅的發展演變。因此，密切跟蹤網絡安全的最新動態以及網絡安全知名廠商的產品路線圖對于理解和選購安全網關是很有幫助的。

參考文獻：

[1]白君芬. UTM 信息安全技術研究. 現代計算機，2009年第8期.

[2]蔣巍. UTM采購的若干誤區. 信息安全與技術，2010年第12期.

[3]綠盟科技. 綠盟安全網關產品白皮書，2009.

[4]深信服科技公司. 深信服下一代防火墻NGAF技術白皮書，2011年8月.

[5]競速下一代防火墻. 計算機世界，2011年第24 期.