對于企業(yè)網(wǎng)絡(luò)安全問題，單一產(chǎn)品已經(jīng)不能滿足需要。對于更多的要求，我們需要將網(wǎng)絡(luò)安全軟件以及設(shè)備進行融合。迫于數(shù)據(jù)中心管理費用和能耗縮減的壓力，企業(yè)開始打算融合網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施來渡過難關(guān)。供應(yīng)商們也正在根據(jù)這種情況進行產(chǎn)品調(diào)整，其范圍囊括了從開放式機架上的多廠商軟件，到將安全性融合到網(wǎng)絡(luò)基礎(chǔ)設(shè)備組件上。

Cisco公司的防火墻服務(wù)模塊（FWSM），就是可加載在Catalyst 6500機架交換機中的刀片，這樣企業(yè)就可以直接在核心網(wǎng)絡(luò)中部署安全設(shè)備。Enterasys網(wǎng)絡(luò)已把這些安全技術(shù)直接寫進了整個的交換機文件中。

“這是防火墻服務(wù)模塊的優(yōu)勢，” Santa Clara大學(xué)通訊與安全部門的網(wǎng)絡(luò)管理員Todd Schmitzer說。“無論如何，機架是必須存在的，而這個防火墻服務(wù)模塊就像插在機架中的刀片。”

網(wǎng)絡(luò)安全硬件和軟件供應(yīng)商也將許多網(wǎng)絡(luò)安全技術(shù)——包括防火墻，入侵檢測以及VPN技術(shù)——融合到了一個設(shè)備中。Juniper是通過其ISG集成安全網(wǎng)關(guān)和SRX系列服務(wù)網(wǎng)關(guān)來實現(xiàn)的。而Cisco則是研發(fā)出了自適應(yīng)安全設(shè)備5500系列。其他供應(yīng)商，如Check Point、Fortinet以及SonicWall則在幾年前就開始致力于防火墻、IDS/IPS、反病毒程序、反垃圾郵件、內(nèi)容過濾以及其他用于 統(tǒng)一威脅管理 (UTM)設(shè)備中的技術(shù)。所有這些措施都可以通過減少企業(yè)在數(shù)據(jù)中心內(nèi)部署的物理安全設(shè)備數(shù)量，來有效縮減IT管理費用和能源消耗。

把網(wǎng)絡(luò)安全軟件融合到一個大型機架中

Fiserv Inc.,一家資產(chǎn)達41億美元的金融服務(wù)科技公司，為數(shù)千家金融公司處理在線銀行交易服務(wù)，在防火墻技術(shù)升級后，對其重要的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施做部分合并，F(xiàn)iserv信息安全總監(jiān)Rich Isenberg說。

七年前，因Fiserv公司快速的網(wǎng)絡(luò)擴張，使得遺留的Check Point防火墻成為了其發(fā)展的瓶頸。

“當(dāng)時，我們正處于高峰期，” Isenberg說。“我們公司的防火墻設(shè)施成為了網(wǎng)絡(luò)中的一個關(guān)鍵節(jié)點。我們使用了Nokia設(shè)備來運行Check Point防火墻，但無法滿足我們的流量需求，我們不得不增加設(shè)備來保證系統(tǒng)性能。”

Isenberg當(dāng)時的想法是寧愿讓更多的Check Point 防火墻加載在更多的Nokia IP設(shè)備上，Isenberg還租了一個獨立的實驗室，用于比較從各種網(wǎng)絡(luò)安全硬件與軟件供應(yīng)商那里購買的產(chǎn)品。實驗結(jié)果是，在Crossbeam的網(wǎng)絡(luò)安全機架硬件上運行Check Point的防火墻軟件，是最能滿足Fiserv公司IT環(huán)境需求的。Crossbeam制造的一系列吞吐量為5到40Gbps的4-, 7- 以及 14-刀片模塊機架，則用于運行多種第三方網(wǎng)絡(luò)安全產(chǎn)品。

“最初我們只把Crossbeam當(dāng)做加固防火墻硬件的一種方法，” Isenberg說。“最終，我們?nèi)诤狭藬?shù)據(jù)中心中核心平臺上的防火墻和入侵檢測設(shè)備。我們把數(shù)據(jù)中心中的物理防火墻和入侵檢測設(shè)備的數(shù)量從23臺減少到了7臺。在隨后的幾年，我們還在Crossbeam硬件中增加了數(shù)據(jù)庫防火墻和 web應(yīng)用防火墻”。

Isenberg表示，在這四年中，融合網(wǎng)絡(luò)安全設(shè)施管理費用的縮減，對收回在Crossbeam機架上的投資是有一定幫助的。

“這使得我們能夠以較低的毛利率獲得較高的系統(tǒng)可用性和穩(wěn)定性，”他說。“自從我們削減了實際使用的設(shè)備數(shù)量（網(wǎng)絡(luò)安全硬件和軟件設(shè)備），我們所需要的操作人員數(shù)量也隨之減少了。不用再為這50多個硬件做50多次的設(shè)備升級了，現(xiàn)在我們只需要做七到八次就可以了。在相同水平內(nèi)，我們不需要擴大規(guī)模就可以讓業(yè)務(wù)實現(xiàn)不斷增長。同時還降低了許可數(shù)量和維護費用。”

安全基礎(chǔ)設(shè)施融合：趨于多供應(yīng)商模式

由于大多數(shù)網(wǎng)絡(luò)安全設(shè)施供應(yīng)商以封閉式平臺硬件設(shè)備的方式供應(yīng)其產(chǎn)品，多廠商方式就變的非常棘手。盡管如此，還是有辦法將來自各廠商的多種網(wǎng)絡(luò)安全軟件產(chǎn)品融合至一個單一硬件上的，比如Crossbeam機架或是IBM、HP、Dell 或 HP的多用途刀片服務(wù)器機架。

“Crossbeam允許我們選擇最佳的安全產(chǎn)品，并運行在相同的設(shè)備中。如果我們需要入侵防御刀片，我們可以載入一個IBM的安全網(wǎng)絡(luò)IPS。我們可以在下一個刀片上載入Sourcefire。在另外的刀片上載入來自Imperva的web應(yīng)用防火墻，數(shù)據(jù)庫防火墻。”

這種機架部署方式同樣可以支持Fiserv按其需求增加其網(wǎng)絡(luò)安全設(shè)施的性能。

“如果機柜中沒有多余的位置，而你又想增加系統(tǒng)性能，你可以將Check Point防火墻部署在一個刀片上。”他說。“只需要在機架中再放一個刀片，網(wǎng)絡(luò)無需大的改變就可以擴展到所需的性能，不需要重新布線、不需要添加額外硬件。而且所有這些都在同一個背板上，所以你無需顧慮tap端口和span端口，不需要考慮把這些流量路由到其他位置。”

當(dāng)企業(yè)要把網(wǎng)絡(luò)安全軟件產(chǎn)品融合到其他第三方硬件上時，他們需要確保這些軟件和硬件供應(yīng)商彼此能夠較好地合作，或者網(wǎng)絡(luò)安全設(shè)施管理人員能夠處理復(fù)雜的問題。例如，Crossbeam已經(jīng)與Check Point、 McAfee確定了市場合作伙伴關(guān)系。而在標(biāo)準(zhǔn)服務(wù)器中部署Check Point防火墻就是另外一回事了。

“你可以在銷售服務(wù)器及安裝軟件的地方，買到這些產(chǎn)品” Santa Clara大學(xué)Schmitzer說。“雖然我不反對這么做，但部分決策都要考慮系統(tǒng)復(fù)雜性。部署時的復(fù)雜性是什么，是否包括各種產(chǎn)品間的兼容性？你是否真的愿意在一個關(guān)于安全的解決方案中涉及到兩個不同的供應(yīng)商？一旦出了問題，到底誰該負責(zé)？所以說，相比兩個供應(yīng)商來說，我們更贊成只選擇一個供應(yīng)商做全部的事。”

雖然現(xiàn)在Schmitzer的防火墻基礎(chǔ)設(shè)施里，包括了Catalyst 6500核心網(wǎng)絡(luò)中的Cisco FWSM，以及邊界網(wǎng)絡(luò)中的Palo Alto網(wǎng)絡(luò)防火墻，但其十多年前部署的遺留防火墻卻帶來了如何同時管理網(wǎng)絡(luò)安全硬件和軟件供應(yīng)商的問題。當(dāng)時他為Nokia IP設(shè)備購買了Check Point防火墻，由于這兩家廠商存在著合作伙伴關(guān)系，所以有些效果。 

【編輯推薦】

1. 趨勢網(wǎng)絡(luò)安全軟件包評測
2. 17種網(wǎng)絡(luò)安全威脅大掃描
3. 印尼國會內(nèi)部網(wǎng)絡(luò)遭黑客攻擊 色情圖片充滿屏幕
4. 思科網(wǎng)絡(luò)安全軟件代理存在遠程緩存溢出漏洞