【51CTO.com獨(dú)家特稿】在IT投入還比較舍得的公司里面，除去功能強(qiáng)大（思科/華為/3COM一類(lèi)）的路由器之外，大多都有UTM或IPS或Web安全網(wǎng)關(guān)之類(lèi)的安全設(shè)備。當(dāng)然，我們不能忘記一直辛苦工作的普通防火墻（非綜合安全網(wǎng)關(guān)）。我們今天就來(lái)說(shuō)說(shuō)成長(zhǎng)型企業(yè)與中大型企業(yè)對(duì)于網(wǎng)絡(luò)防護(hù)方案所要考慮的問(wèn)題。

為了讓文章看起來(lái)像樣一點(diǎn)，我這里先定義下本文所謂成長(zhǎng)型企業(yè)和中大型企業(yè)的區(qū)別。

我們假設(shè)網(wǎng)絡(luò)服務(wù)訪問(wèn)量較小的單位（比如人少，機(jī)器也不多）為成長(zhǎng)型企業(yè)，網(wǎng)絡(luò)服務(wù)需求較大的單位（人多，機(jī)器多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜）為中大型企業(yè)。

另外，為了讓那些信奉有圖有真相的技術(shù)人員和業(yè)內(nèi)人士能看的舒服一點(diǎn)，我這里就以拓?fù)鋱D為主了（畫(huà)工不佳還請(qǐng)見(jiàn)諒）。

成長(zhǎng)型企業(yè)的網(wǎng)絡(luò)防護(hù)方案

我們先說(shuō)成長(zhǎng)型企業(yè)。很多成長(zhǎng)型企業(yè)的服務(wù)器相對(duì)比較簡(jiǎn)單，他們大多在IDC里擁有一臺(tái)獨(dú)立的Web服務(wù)器，接入網(wǎng)絡(luò)后向人們提供服務(wù)。在流量不大的情況下，

有兩種方案可供選擇：

1.建議用防火墻加單臺(tái)WAF或IPS提供防護(hù)。如圖所示。

特點(diǎn)：各個(gè)設(shè)備獨(dú)立工作，發(fā)揮自身優(yōu)勢(shì)。針對(duì)性防護(hù)。無(wú)論單點(diǎn)還是集群，這個(gè)方案都無(wú)需改動(dòng)。

防火墻方面，可以采用山石網(wǎng)科、聯(lián)想網(wǎng)御等比較成熟的產(chǎn)品。

IPS/WAF方面，可以采用啟明星辰、綠盟科技等公司的產(chǎn)品。

2.用一臺(tái)UTM全部搞定。如圖所示。

UTM是一款綜合的邊界網(wǎng)絡(luò)防御設(shè)備，除了防火墻功能，還提供防病毒、入侵防御、內(nèi)容過(guò)濾、 反垃圾郵件等安全功能。

特點(diǎn)：降低網(wǎng)絡(luò)復(fù)雜度，低成本。無(wú)論單點(diǎn)還是集群，這個(gè)方案都無(wú)需改動(dòng)。如果對(duì)安全性沒(méi)有特別要求的情況下，這個(gè)基本上可滿足成長(zhǎng)型企業(yè)的使用。

可以采用聯(lián)想網(wǎng)御、山石網(wǎng)科、啟明星辰之類(lèi)比較著名的國(guó)內(nèi)產(chǎn)品，也可以選擇WatchGuard這樣比較著名的國(guó)外產(chǎn)品。

中大型企業(yè)的網(wǎng)絡(luò)防護(hù)方案

再來(lái)說(shuō)中大型企業(yè)。中大型企業(yè)的服務(wù)器部署相對(duì)比較復(fù)雜，他們大多在IDC中含有大量的服務(wù)器和交換機(jī)等等，不光需要承受大流量的壓力，還需要嚴(yán)格的安全措施，更有業(yè)務(wù)分離的要求。

我們也有兩種方案可以選擇：

1. 和成長(zhǎng)型企業(yè)類(lèi)似，一個(gè)UTM全部搞定。如圖所示。

不過(guò)這里用的UTM型號(hào)和吞吐量就不能用上面一個(gè)型號(hào)了，必須選擇一款頂?shù)淖〈罅髁康摹?/P>

特點(diǎn)：同上。

選擇方面，可以采用聯(lián)想網(wǎng)御、山石網(wǎng)科、啟明星辰這幾家的高端產(chǎn)品。

2. 使用Web安全網(wǎng)關(guān)加入侵檢測(cè)加防火墻

Web安全網(wǎng)關(guān)這個(gè)概念有點(diǎn)新，可能有一些讀者不太清楚這是干嘛的，歡迎大家訪問(wèn)51CTO安全頻道專(zhuān)題：如何選擇合適的Web安全網(wǎng)關(guān)。如圖所示。

看到這個(gè)圖大家可能會(huì)覺(jué)得增加了很多東西，我們下面慢慢說(shuō)。這種類(lèi)型的方案是對(duì)安全性要求特別嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)備的。

特點(diǎn)：各個(gè)設(shè)備獨(dú)立工作，發(fā)揮自身優(yōu)勢(shì)。針對(duì)性防護(hù)。在高流量和高壓力下，讓防火墻或IPS入侵檢測(cè)設(shè)備對(duì)流量檢查之后，再用篩子一般的Web安全網(wǎng)關(guān)做最后的深度內(nèi)容檢測(cè)，防止漏網(wǎng)之魚(yú)。最大限度保證網(wǎng)絡(luò)不被攻擊。

IPS和防火墻方面的選擇，請(qǐng)參考本文前半部分。

Web安全網(wǎng)關(guān)方面，可以考慮穩(wěn)捷網(wǎng)絡(luò)Wedge 和 Websense。他們兩家比較典型，其中穩(wěn)捷網(wǎng)絡(luò)Wedge擅長(zhǎng)Transparent方式部署，Websense擅長(zhǎng)Proxy Mode方式部署。大家需根據(jù)自身網(wǎng)絡(luò)情況挑選。

關(guān)于中大型企業(yè)的2個(gè)網(wǎng)絡(luò)防護(hù)方案，誰(shuí)優(yōu)誰(shuí)劣

如果仔細(xì)看到這里的朋友，肯定會(huì)有這樣的疑問(wèn)，我們來(lái)聽(tīng)聽(tīng)Wedge Networks的CEO張鴻文博士怎么說(shuō)的。

張鴻文認(rèn)為：“UTM更適合成長(zhǎng)型企業(yè)，因?yàn)樵诜啦《?、防攻擊效果全開(kāi)的情況下，很多UTM的性能下降驚人。而Web安全網(wǎng)關(guān)加高性能IPS的模式，不光可以擋住攻擊，還能做到深度過(guò)濾，因此更適合中大型企業(yè)?！?/P>

不過(guò)也有一些安全廠商對(duì)此表示懷疑，因?yàn)樗麄儗?duì)自己UTM的處理能力非常自信。如果您對(duì)此想發(fā)表看法或希望提出建議，不妨聯(lián)系我。當(dāng)然，也歡迎您對(duì)這篇文章說(shuō)點(diǎn)什么。

【編輯推薦】

1. “拯救網(wǎng)站運(yùn)維經(jīng)理趙明”有獎(jiǎng)?wù)骷顒?dòng)
2. 高端網(wǎng)絡(luò)防護(hù)不能“照葫蘆畫(huà)瓢”
3. 安全知識(shí)之加強(qiáng)網(wǎng)絡(luò)防護(hù)的四個(gè)步驟
4. 十招多層次網(wǎng)絡(luò)防護(hù)措施打造企業(yè)安全VoIP