如何选择上网行为管理和控制
大企业的选择——偏重于安全
金融,运营商等大型企业的办公与业务系统对安全非常重视,因为木马,间谍软件植入企业内部的主机或者终端会对企
业造成无法弥补的危害和经济损失,所以他们通常都有较完整的网络安全防护架构,防火墙中启用的访问控制策略也比较多
,在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用,邮件有专门的邮件安全网关
,web需要web安全网关或者防病毒网关。
例如对于防病毒的功能,大企业用户首要关心的是性能,其次是查杀防护效果,即识别率,最后还关心增强的功能,是
否支持多种协议,是否具有多种部署方式等,当然功能上至少支持http,https,pop3,smtp,ftp这5种应用协议的扫描过滤
。性能是否满足,一上线就能体现,同样对这类用户性能满足的同时,过滤防护效果也非常重要。因为全球每年产生的
malware数量会超过500万个,设备中内置的特征库应该可以找到至少500万个样本,这样才能保证识别1年内的所有威胁。
牺牲特征数量,可以大幅提升性能,但却不能做到有效的防护。通常会放2万个左右的特征,最多找到100万左右的样本
。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全
网关。 Web安全网关与防病毒网关实现的安全部分功能非常类似,但是web安全网关还增添了Internet应用接入的管控功能。
对上网行为会作相应管理与控制,这些都可以辅助加强企业的网络安全。
小企业的选择——偏重于管理
小企业并不是不重视安全,只是为了做到安全而采购防火墙,IPS,防病毒网关,邮件安全网关等一系列产品,投资与潜
在风险危害不成比例,性价比不高。所以小企业更愿意选择管理类的上网行为管理与综合类的管理软件。对于小企业的管理
者或者网管人员,很容易看到上网行为管理产品的效果。可以迅速提高生产力与实现带宽的优化。
上面是基于用户需求所作的选择分析,下面将对这几类产品自身特点作简单分析。
首先性能方面: 让我们抛开产品的界限,以不同的应用功能来做其重点性能的分析:
1、网络层防火墙,性能体现在tcp连接与udp转发,目前市面上最高端的性能已经高达10G,因为在底层转发使用了专有
芯片或网络处理器来加速。
2、带宽管理,性能瓶颈在于udp包转发,在此基础上要对协议进行识别,对于普通企业来说,1G的带宽管理已经足够。
3、URL过滤,性能瓶颈在于http proxy的处理速度,经过优化之后最好的设备可达线速。
4、网关防病毒的性能瓶颈在于基于特征的扫描与 http的并发连接,通过硬件的扫描加速可以实现http 1G基于特征的扫
描和实际环境中4万左右的http并发。
以上每个功能单独做到极致都会没有办法处理其他功能,但市面上优秀的web安全网关,例如安启华的web安全网关设备
在千兆网络环境中可以启用多种功能,这对于大企业来说完全满足需求。
其次从功能上判断:
安全通常带有全球的特性,所以国际厂商通常从安全入手,增加管理功能满足用户需求。管理带有明显区域特性,所以
通常国内厂商会占有更高的份额,因为对区域性的应用能够及时更新与控制。既做到全球性的安全,又做到区域性的管理功
能是每个厂商追求的目标,只有市场才可以真正检验。
随着网络技术的进步,上网行为管理产品的功能也日渐丰富。一般而言,上网行为管理产品必须具备三个功能:
1. 应用和网站的封堵过滤 上网行为管理产品须包含海量的应用协议特征库和URL库,以便对各种常用的网络应用软件
和网址进行封堵和管控。
2. 流量控制 上网行为管理产品须帮助用户对内网的下载、在线视频等行为进行控制,如BT、电驴、迅雷、土豆视频等
,避免内网用户下载应用占用大量带宽。
3. 信息审计 为避免内部人员将单位的机密信息泄露以及敏感言论的出现,上网行为管理产品须对外发的信息进行审计
,如邮件、FTP、QQ、MSN应用等,并将互联网的所有访问行为保存下来,便于用户分析和记录。
如何在众多的产品中选择合适自己的产品,以下几点可供参考:
1. 对加密应用的识别能力 加密化是目前互联网的发展趋势。近年来,很多“不良”应用也在加密,普通的上网行为管理产
品对此无能为力。只有专业的上网行为管理产品才能够对加密应用进行管控,通过全流量分析等技术实现对加密应用的识别
和封堵。
2. 完备的应用协议库 上网行为管理产品的应用协议库一定要齐全、要新,因为现在的网络应用软件多种多样,新版本层出
不穷,应用协议库只有保证将常规应用覆盖完全且及时更新,才能保证准确识别相关网络应用。此外,上网行为管理产品也
须具备较完备的URL库,运用海量分类的URL库来进行网页过滤。
3. 性能是否够用 如果没有良好的性能,上网行为管理产品根本无法智能处理内网的各种应用。而且随着用户内网规模的扩
大,一旦上网行为管理产品性能不足,不仅会影响网速,甚至会有业务中断的危险。 硬件上网行为管理设备由于采用了专门
的硬件架构与算法优化,性能普遍要强于软件产品。如目前市面上高端的上网行为管理产品,甚至可以支持千兆全流量数据
的高速检索,而这是软件产品无法达到的。
4. 日志库(数据中心)功能是否强大 “信息审计”是上网行为管理产品的重要功能。上网行为管理产品审记内容后,还会
对信息进行统计汇总、分类等,并支持生成图形化的报表。因此,数据中心功能的强大,对“信息审计”有着重要的意义。
首先,数据中心应该可以独立安装,实现上网行为管理设备日志的海量存储,而且可以最大限度地发挥上网行为管理产品的
性能。其次,数据中心需要支持搜索功能。
5. 设备本身的适应性 因为目前越来越多的用户采用域认证,考虑安装的适应性,专业的上网行为管理产品可以支持对AD域
和LDAP的无缝结合,为域中的用户进行权限划分,以避免管理员重复导入域用户。 另外,上网行为管理产品应支持路由、
网桥和旁路等部署模式;高端上网行为管理产品应该适应双机、双线路、VRRP、HSRP等冗余网络结构,以在复杂的网络环境
中游刃有余。
6. 市场表现和客户案例 上网行为管理产品品质、厂商的综合实力、所提供的服务支持等因素在选型时都是非常重要的参考
条件。
