互聯(lián)網(wǎng)出口——終端上網(wǎng)場景
互聯(lián)網(wǎng)出口作為與外部網(wǎng)絡(luò)連接的唯一出口�,實現(xiàn)了對外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入�,安全性要求較高,如下圖所示:
常見方案對比:
對比評析:
傳統(tǒng)防火墻
功能太單薄���,已無法滿足用戶的需求;
傳統(tǒng)防火墻+IPS
是被廣泛應(yīng)用的過度方案��,由于其局限性�,防護效果仍得不到有效保障;
FW+IPS+AV+WAF
該方案因高投資�、管理成本以及多設(shè)備對用戶體驗產(chǎn)生的影響,使其在互聯(lián)網(wǎng)出口應(yīng)用極為罕見;
UTM
是在傳統(tǒng)防火墻上擴充入侵防御和防病毒等模塊����,減少部署成本; 其一體化�、低成本的優(yōu)勢是目前此場景安全方案的不錯選擇; 其性能并不優(yōu)于單機設(shè)備,無法勝任高精度、細(xì)粒度��、更深層的安全檢測��,只適用于中小型企業(yè);
下一代防火墻
無論在L2-L7的防護效果�、投資成本、管理成本���、用戶體驗����,都有很好的表現(xiàn); 在網(wǎng)絡(luò)升級改造過程中�,與之前部署的傳統(tǒng)防火墻形成異構(gòu)方案,也是廣大用戶最優(yōu)的選擇之一����。
互聯(lián)網(wǎng)出口——對外發(fā)布場景
隨著web2.0時代的快速發(fā)展,使得對外發(fā)布業(yè)務(wù)成為了企業(yè)���、政府最為重要的核心業(yè)務(wù)��。暴露在公眾面前的業(yè)務(wù)系統(tǒng)�����,一旦被入侵篡改或竊取數(shù)據(jù)��,會給組織帶來損壞形象�,造成經(jīng)濟損失、負(fù)面的政治影響等問題�����。對于該業(yè)務(wù)場景的安全防護是安全建設(shè)的核心�����。場景如下圖所示:
常見方案對比:
對比評析:
FW+IPS方案
對web攻擊防護效果較差�,僅少數(shù)未意識到安全威脅發(fā)展的用戶會考慮,應(yīng)用范圍較少;
UTM方案
優(yōu)勢在于一體化防護帶來的低成本價值�����。對web攻擊防護效果較差��,且在大流量的場景下嚴(yán)重影響用戶體驗��。僅有極少預(yù)算少���、業(yè)務(wù)量少�、安全要求不高的用戶考慮;
FW+WAF方案
FW僅開放80端口配合WAF對web攻擊的防護����,可大大降低對外發(fā)布業(yè)務(wù)的web安全風(fēng)險。缺點在于該方案并不能提供完整的應(yīng)用安全防護能力��,系統(tǒng)底層漏洞易給黑客可乘之機;
FW+網(wǎng)頁防篡改軟件方案
該方案存在弊端���,網(wǎng)頁防篡改軟件屬于被動防護��,若黑客通過漏洞攻擊獲取到服務(wù)器權(quán)限���,軟件也就無效了;
FW+IPS+WAF+網(wǎng)頁防篡改方案
是目前攻擊防護最為完整的。但該方案極高的投資����、維護成本并非普遍選擇;并且多臺設(shè)備+防篡改軟件會降低用戶體驗。該方案對于安全要求極高���、預(yù)算充足�、人員專業(yè)的用戶而言還是比較好的選擇;
下一代防火墻方案
不僅具備FW+IPS+WAF+網(wǎng)頁防篡改的所有防護功能�����,提供完整的安全防護能力,其模塊間的智能聯(lián)動可抵御APT攻擊�����。此外其敏感信息防泄露的功能可有效防止“拖庫”“暴庫”的風(fēng)險��。該方案在軟�����、硬件架構(gòu)上均有革命性的改進����,使得該方案在多功能模塊開啟時性能仍有優(yōu)異的表現(xiàn),真正從用戶簡化組網(wǎng)��、簡化運維�����、最優(yōu)投資的角度出發(fā)實現(xiàn)安全防護價值的最大化�����,是用戶的一種全新的最優(yōu)選擇�。
