互聯(lián)網(wǎng)出口——終端上網(wǎng)場(chǎng)景

互聯(lián)網(wǎng)出口作為與外部網(wǎng)絡(luò)連接的唯一出口，實(shí)現(xiàn)了對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入，安全性要求較高，如下圖所示：

常見方案對(duì)比：

對(duì)比評(píng)析：

傳統(tǒng)防火墻

功能太單薄，已無法滿足用戶的需求;

傳統(tǒng)防火墻+IPS

是被廣泛應(yīng)用的過度方案，由于其局限性，防護(hù)效果仍得不到有效保障;

FW+IPS+AV+WAF

該方案因高投資、管理成本以及多設(shè)備對(duì)用戶體驗(yàn)產(chǎn)生的影響，使其在互聯(lián)網(wǎng)出口應(yīng)用極為罕見;

UTM

是在傳統(tǒng)防火墻上擴(kuò)充入侵防御和防病毒等模塊，減少部署成本; 其一體化、低成本的優(yōu)勢(shì)是目前此場(chǎng)景安全方案的不錯(cuò)選擇; 其性能并不優(yōu)于單機(jī)設(shè)備，無法勝任高精度、細(xì)粒度、更深層的安全檢測(cè)，只適用于中小型企業(yè);

下一代防火墻

無論在L2-L7的防護(hù)效果、投資成本、管理成本、用戶體驗(yàn)，都有很好的表現(xiàn); 在網(wǎng)絡(luò)升級(jí)改造過程中，與之前部署的傳統(tǒng)防火墻形成異構(gòu)方案，也是廣大用戶最優(yōu)的選擇之一。

互聯(lián)網(wǎng)出口——對(duì)外發(fā)布場(chǎng)景

隨著web2.0時(shí)代的快速發(fā)展，使得對(duì)外發(fā)布業(yè)務(wù)成為了企業(yè)、政府最為重要的核心業(yè)務(wù)。暴露在公眾面前的業(yè)務(wù)系統(tǒng)，一旦被入侵篡改或竊取數(shù)據(jù)，會(huì)給組織帶來?yè)p壞形象，造成經(jīng)濟(jì)損失、負(fù)面的政治影響等問題。對(duì)于該業(yè)務(wù)場(chǎng)景的安全防護(hù)是安全建設(shè)的核心。場(chǎng)景如下圖所示：

常見方案對(duì)比：

對(duì)比評(píng)析：

FW+IPS方案

對(duì)web攻擊防護(hù)效果較差，僅少數(shù)未意識(shí)到安全威脅發(fā)展的用戶會(huì)考慮，應(yīng)用范圍較少;

UTM方案

優(yōu)勢(shì)在于一體化防護(hù)帶來的低成本價(jià)值。對(duì)web攻擊防護(hù)效果較差，且在大流量的場(chǎng)景下嚴(yán)重影響用戶體驗(yàn)。僅有極少預(yù)算少、業(yè)務(wù)量少、安全要求不高的用戶考慮;

FW+WAF方案

FW僅開放80端口配合WAF對(duì)web攻擊的防護(hù)，可大大降低對(duì)外發(fā)布業(yè)務(wù)的web安全風(fēng)險(xiǎn)。缺點(diǎn)在于該方案并不能提供完整的應(yīng)用安全防護(hù)能力，系統(tǒng)底層漏洞易給黑客可乘之機(jī);

FW+網(wǎng)頁(yè)防篡改軟件方案

該方案存在弊端，網(wǎng)頁(yè)防篡改軟件屬于被動(dòng)防護(hù)，若黑客通過漏洞攻擊獲取到服務(wù)器權(quán)限，軟件也就無效了;

FW+IPS+WAF+網(wǎng)頁(yè)防篡改方案

是目前攻擊防護(hù)最為完整的。但該方案極高的投資、維護(hù)成本并非普遍選擇;并且多臺(tái)設(shè)備+防篡改軟件會(huì)降低用戶體驗(yàn)。該方案對(duì)于安全要求極高、預(yù)算充足、人員專業(yè)的用戶而言還是比較好的選擇;

下一代防火墻方案

不僅具備FW+IPS+WAF+網(wǎng)頁(yè)防篡改的所有防護(hù)功能，提供完整的安全防護(hù)能力，其模塊間的智能聯(lián)動(dòng)可抵御APT攻擊。此外其敏感信息防泄露的功能可有效防止“拖庫(kù)”“暴庫(kù)”的風(fēng)險(xiǎn)。該方案在軟、硬件架構(gòu)上均有革命性的改進(jìn)，使得該方案在多功能模塊開啟時(shí)性能仍有優(yōu)異的表現(xiàn)，真正從用戶簡(jiǎn)化組網(wǎng)、簡(jiǎn)化運(yùn)維、最優(yōu)投資的角度出發(fā)實(shí)現(xiàn)安全防護(hù)價(jià)值的最大化，是用戶的一種全新的最優(yōu)選擇。

zhangcun