下一代网络安全解决方案应用指导手册

企业网络安全性的下一个发展阶段发起人：瞻博网络作者：MarkRouchard©2009AimPointGroup,LLC.Allrightsreserved.白皮书企业网络安全性的下一个发展阶段2©2009AimPointGroup,LLC.Allrightsreserved.介绍企业IT部门的使命非常简单，就是促进“业务”转型或者帮助企业实现最终目标。要保持适应力和持续发展能力，或者作为一个商业实体，保持最基本的盈利能力，企业必须全面采用信息技术，不仅用于提高运行效率和降低成本，而且还用于为广大客户和用户提供大量有吸引力的、越来越完善的服务，借此从市场中脱颖而出。此外，为了保持适应力，企业还必须将转型视为一个长期过程。当前，技术的发展日新月异，企业要想跟上日益加速的“业务发展步伐”，唯一的途径就是快速采用这些技术以挖掘更大潜力。但是，缺乏高性能的网络安全解决方案来支持企业最严格的使用要求，成为了阻止企业实现所有这些转型和差异化的最大阻力。绝大多数的现有安全产品都明显缺乏均衡能力，无法支持要求更大吞吐量、更低延迟和更高安全性能的发展趋势，更不用提诸如自适应性、可靠性、统一管理和经济高效性等其他重要标准了。这些安全产品在为上述一个或多个领域提供功能支持和优势的同时，不可避免地会出现无法为其他领域提供支持的情况。因此，企业真正需要的是一款下一代网络安全解决方案，一款从一开始就构建用于同时满足全部需求的解决方案，以便他们能够部署新应用和新技术，通过全新方式开展业务，而无需承担巨大的风险隐患或者支付巨额成本。本文将介绍现在的企业为什么需要下一代网络安全解决方案、此类解决方案应该具备的特征及其能够提供的广泛优势。企业面临的挑战场景范例企业的IT部门深陷困境。他们要想体现价值，必须支持企业通过更好的新方法开展业务，然而赖以实现这个目标的基本组件，彼此之间却经常存在冲突。创建应用以及利用现有通信技术来加速并且自动实施业务流程的概念相当简单，只需在信任度、完整性和可用性（即安全性）方面满足相关服务和基础架构的需求即可。但是，如果考虑到其他的实际条件或需求，整件事情将会变得极为复杂。以用户移动性和全球化趋势为例。大多数企业都在实施相关计划来促进增长，而这些计划与完全不同的、旨在建立规模经济并且降低成本的数据中心整合趋势，多少存在一些冲突。这两个变化趋势结合在一起，虽然相对可以管理，但却带来了挑战，使用户与他们开展工作所需的应用和其他信息资源距离越来越远。但是，随着第三个趋势的出现，情况进一步恶化。具体而言，随着应用日益复杂，对于带宽和延迟的要求都将更为严格，这给企业有效支持高度分散的用户群增加了极大的难度。在这些重要的业务驱动型趋势不断融合的过程中，网络安全性已被证明是一个问题领域。人们发现，正是开展业务的新方法及其支持应用的不断增长和丰富多样，营造出了一个充满挑战的保护场景，进而导致传统网络安全产品逐渐失效。企业网络安全性的下一个发展阶段3©2009AimPointGroup,LLC.Allrightsreserved.不断增长的网络流量规模与复杂性网络流量规模与复杂性的日益增加，已成为影响网络安全解决方案有效性的一个主要变化。如同电信运营商一样，大多数企业都发现自己必须进一步利用信息技术，不仅用于提高获得和维系客户的能力，同时通过提高运行效率来降低成本。日益加速的“业务发展步伐”要求企业加快速度开发和部署新的应用，以便同时支持后端办公及面向客户的流程。此外，相同原因还加剧了现有应用的“暴露”风险，例如，企业允许用户从外部接入内部系统和解决方案，以及/或者企业通过扩展覆盖范围来支持更多用户和设备等。当然，企业还需要处理经济压力。在这一方面，企业选择通过整合数据中心来集中实施并且简化系统管理和信息安全任务，同时确保法规遵从性，借此建立规模经济并且进一步降低成本。此外，企业还在不停地部署用于节省成本的实践和技术，如远程办公、软件即服务、及服务器虚拟化等。从网络的角度看，所有这些趋势的一个主要结果就是流量模式的不断变化。随着需要穿越网络的“中继”用户会话数量不断增加，数据中心变得愈发集中，也变得越来越复杂。在此期间，受到商业环境以及技术性质发生转变的双重推动，应用的性质也在发生变化。与以往的基准相比，应用的复杂性及组件和功能数量都出现了大幅度增加。以Web2.0mashup为例，企业需要建立大量的基本连接，以计算并且编译由多个网络化数据源和服务构成的有用组合，其中每个数据源和服务通常都代表一类应用。再如，网真解决方案等多媒体协作应用。实际上，后者重点体现了另一个主要特征，即许多应用对于延迟越来越敏感。这主要是因为企业迫切希望提供更丰富的内容，同时确保实时互动。这些多样的发展趋势具有双重影响。首先是不可避免地造成网络流量激增，给企业在处理和保护方面带来了负担，并且这一增长趋势还在继续。第二个问题是，无论如何处理和保护流量，必须确保尽量缩短延迟。但鉴于威胁数量和复杂性不断增长，这个目标愈发难以实现。不断增长的威胁数量和复杂性现在，出名不再是黑客的唯一追求，他们还希望获得实际经济收益。于是，黑客在创建威胁时不再满足于“给被攻击人增添麻烦”，而是精心设计漏洞攻击，以期成功绕过或者战胜大多数的安全防护措施，致使威胁形态在性质方面发生了显著变化。几乎所有的新兴公司，近几年都不可避免地遇到了威胁数量猛增的问题。此外，全新漏洞攻击的开发和发布速度也出现了大幅度提升，尤其是与安全漏洞披露相关的攻击。一度只是作为猜想的零时差威胁，现已成为普遍现象。企业网络安全性的下一个发展阶段4©2009AimPointGroup,LLC.Allrightsreserved.最重要的是，随着黑客的创造力不断提升，威胁的特征日趋多样化，并且愈发令人难以捉摸。曾经一度占据主流地位的文件级病毒和蠕虫，现已退出主流舞台，转而被大量的新型威胁所替代，如间谍软件、网络钓鱼、键盘记录木马、Rootkit（超级用户工具包）和目标攻击等。令事态雪上加霜的是，威胁还在“不断向上迁移”，以利用很难进行保护的应用级薄弱环节。从本质上说，这些改变对企业的影响也是双重的。首先，虽然目前尚不明确，但这些改变肯定会再次推动企业主动采取措施，以便保护作为公司生命线的网络流量和相关计算基础架构。第二个问题与保护范围相关。企业需要实施多种类型的对策，有些涉及到密集深度检测技术，以便应对威胁的多样性和复杂性。第二个问题对于构建适当的网络安全解决方案来满足企业需求尤其重要。对于网络安全基础架构的影响—主要要求的演进上述挑战揭示了网络安全解决方案所需满足的最低要求，以满足企业最严格的使用要求。具体而言，如想发挥效力，解决方案必须完全满足以下几点关键标准要求。●安全性：要满足提供最高性能的需求，解决方案必须支持多种应对机制，联合使用主动和被动技术，在提供网络层保护的同时，为应用层和每个数据单元提供保护。防火墙技术，即便与防病毒解决方案结合使用，也不能提供完备的保护。●可扩展性：系统必须支持轻松扩容，从相对较低的每秒几Gbps快速扩展到超过100Gbps的汇聚流量。除此之外，系统还必须能够扩展会话处理功能，以便能够支持对应的吞吐量级别。解决方案若能将复杂的多媒体、实时和Web2.0应用集成在一起，将能够支持数百万个并发会话。●延迟：考虑到应用的性能以及用户多样性等因素，要支持极高的吞吐量，企业必须将延迟提升到最重要的位置。吞吐量和延迟虽然是两个相互关联的因素，但是企业也应该单独对延迟进行考虑。解决方案的设计必须要最大限度地缩短延迟，同时优先处理指定的时间敏感型流量。●统一管理：解决方案不应要求企业使用多个单独的管理工具或控制台来管理不同功能。理想情况下，解决方案应允许企业通过一个规则或策略为指定流量配置所有不同的检测机制。此外，解决方案还应具备以下特征：(a)基于角色的全面管理功能，以便对责任进行细分；(b)支持对同一家厂商提供的其他安全产品进行管理(如分支办事处解决方案)。●可靠性：鉴于故障中断对企业及其客户和用户的影响极大，因此，解决方案应具备经过实践检验的可靠软件、冗余组件和完善支持，以实现高可用性配置。●自适应能力：解决方案应该能够支持新增功能，尤其是新出现的安全功能，而无需大范围的“替换式”升级。企业网络安全性的下一个发展阶段5©2009AimPointGroup,LLC.Allrightsreserved.●网络/兼容性：为了确保能够支持最广泛的使用要求，解决方案至少应该支持广泛的网络技术（NAT、地址分配、VLAN和安全区等）。但是，如果解决方案能够结合某项技术的全部特性，如路由和交换技术等，将可以帮助您进一步实现基础架构的整合与简化。●经济高效性：经济高效性体现在上述所有的评估标准中，但是，我们普遍认为，与同类产品相比，理想的解决方案应该设计用于降低基础架构复杂性和总体拥有成本。在保护数据中心安全方面，这些要求与相关解决方案紧密相关。数据中心无疑是部署最密集的区域，包含了大量的安全和网络设备。与此同时，随着审计机构不断加大对内部网络和系统安全性的监管力度，数据中心还会逐渐成为他们的重点目标。但是，大型企业将会发现，虽非必要，但在互联网边界部署一个能够满足这些需求的解决方案将是一个不错的选择。大胆的电子商务战略、不断增长的用户数量和多样性、以及Web服务和Web2.0等技术带动的互连程度的提高，最终都将会使得企业与互联网之间传输的流量在数量和速度方面出现快速增长。传统方法缺陷凸显大多数企业使用的各类网络安全产品，虽然能够在一定程度上满足上述企业需求，但是，通常存在较大的局限性。同类最佳产品。采用同类最佳安全软件的单一服务产品继续受到欢迎，尤其是在抵御新型威胁或者实施新兴安全技术方面。但是，即便使用专业化硬件，要想实现高级可扩展性，企业也经常需要提供多个软件例程。此外，企业还要为其决定部署的每种安全机制配备一系列类似设备，从而令整个环境变得更加复杂。企业虽然实现了安全性和吞吐量目标，但却为此支付了极大的成本，并且存在严重的延迟、复杂性和僵化问题。刀片系统。支持多个刀片服务器的机箱系统无疑是一个正确选择，但却不是明智之选。企业只需添加更多刀片服务器便可引入新功能或者提高吞吐量。因此，这些系统无疑会帮助企业实现整合并且减低复杂性，至少相对于同类最佳产品而言，这一点确认无疑。然而，这种方法无法满足低延迟需求。为了得到全面“处理和保护”，数据包需要多次穿越系统背板，由不同的安全模块多次进行重复处理。此外，这种方法几乎或者根本不支持统一管理。由于存在重复处理任务，并且这些系统基本上针对每个刀片服务器都在使用通用硬件(和操作系统)，因此，企业将会继续遇到吞吐量问题。统一威胁管理(UTM)产品。将多种应对技术与专用硬件平台结合在一起，将会创造多个有利优势。真正支持服务集成的产品，不仅能够提供相互补充的一系列安全功能，而且还支持统一管理和相当高效的处理模式，从而将延迟降至最低。这种方法的缺陷在于，在不影响延迟或减少所实施的各种检测类型的情况下，难以保持超过1Gbps的吞吐量。企业需要为支持多个使用要求安装大量不同的产品，导致成本和复杂性随之增加。此外，固定的外形还会限制这些产品的适应性。企业网络安全性的下一个发展阶段6©2009AimPointGroup,LLC.Allrightsreserved.企业陷入困境，要么因为无法通过经济的方式来保护安全而选择不去理会新应用、新技术和全新业务模式；要么选择部署这些关键业务应用，但不去理会安全性；要么选择折中方案，利用不理想的安全解决方案去尽量保护这些新应用。实际上，无论在任何时候，对大多数企业来说，在某种程度上同时采用上述三种方法的成功率都很高。下一代架构应运而生现在的企业需要另一类网络安全解决方案：构建用于最大限度地满足上述需求，并且能够全面支持企业提高运行效率、降低成本、保持竞争力。企业若能基于这些方法的优缺点，酌情配合使用传统的机箱和UTM解决方案，定将能够为构建下一代架构奠定坚实基础。实际上，具备以下特征的机箱设计对企业最有吸引力：●接口灵活性，能够安装在模块化的卡