集成多种功能的安全网关产品已经在市场上存在了不短的时间了,但是客户对这类产品的接受程度仍旧很不统一。一些客户通过应用这类产品获得了稳定的安全防护,而同样有很多用户没有获得预期的回报。现在,万兆安全网关正成为新的热点,面对产品选择时的迷惑和担忧,希望以下的一些原则和建议对您有用。
 
先捡西瓜再捡芝麻 - 确认需要的功能
对于万兆安全网关来说,功能选择问题与其它等级的安全网关同样重要。尽管按道理来说万兆安全网关应该具有足够充裕的性能,但是既然在购买时所付的万兆等级的价格,那么估计没有人会希望在开启了想要的功能之后系统无法提供万兆等级的性能。一般来说,防火墙和***检测是必备的两项功能。而且,这两项功能应尽可能处于同等地位,过分的偏重于某一方会令系统的防护能力失衡,因为这两项功能有着公认的成熟度、匹配性和互补性。除此之外,防病毒功能是值得考虑的,在这种等级的防护产品上,不能检测恶意内容是无法想像的。但是基于系统架构和实现方式的不同,防病毒能力和性能损耗往往有较大的差异,这需要进行重点考察。在保证了这些相对重要的功能之后,再根据自己的特定需要组合垃圾邮件、×××等功能,就可以获得具有层次的需求和功能的映射列表了。
 
一加一至少等于二 - 考察功能匹配性
在理想的情况下,我们当然希望多项安全功能整合在一起的时候要比单个功能进行累加要更加安全。不过,至少不要在整合多项功能后反而让整个体系更加脆弱。如果要实现这一目标,主要应着眼于各项功能能否很好地配合。如果对某些项功能有较强的需要,一定要与厂商进行特别的确认并请厂商提供演示方式以供确认。在可能的情况下,各项功能的联动和互动能力应该是可以调配的。也就是说,可以根据具体的应用环境来决定让某两项功能紧密组合,也可以让某几项功能完全独立运行、互不干涉。
 
在跑道上加速 - 评估性能表现
尽管无论在什么情况下,性能和功能似乎都是一对不可调和的矛盾体,但是我们仍旧认为性能的评估应该置于功能之后。首先,因为现今的安全防护越来越向应用层倾斜,首先明确对安全功能的需求是一个稳妥的策略。其次,性能的评估通常都比功能的评估简单得多,所以在一般情况下,请先做完所有功能方面的考虑再评估产品的性能表现。如果有条件,能够对设备进行实测当然是最好的方式。开启所需要的安全功能并尽可能按照自己的需要配置选项,这之后即使没有专业的测试设备也可以用一些廉价的软件工具评估设备的处理速度和传输速度。当然,对于大多数用户来说并不可能对设备进行实测。这样必备的功课就是基于可获得的产品技术参数,对比其它同等级产品的参数,来获知在硬件性能方面是否会有更好的表现。另外,一些公开的评测中会包含很多性能表现方面的信息,这些内容往往会对产品是否充分利用了自己的硬件性能进行点评。
 
合手的武器更具威力 - 注重可管理性
可管理性包含了很多范畴,以上所说到的功能、性能都需要介由良好的管理媒介才能充分发挥作用。最基本的,产品要具有一个统一的管理控制台,在这个应用当中应能控制产品的方方面面。无论以什么理由,需要用户去多个应用程序界面里进行设备管理都是不合理的。从管理特性的角度来说,策略配置是重中之重,策略的管理能力、扩展能力以及多个功能之间策略集的共用性等,都可以用于预见产品在实效性上的表现。而日志和告警功能是否能和组织已有的安全体系相适应,也是安全管理人员应该予以特别关注的。对于万兆级别的产品,应当具有专门的性能管理工具,以为不同的安全功能分配资源,这在突发事件时特别有用。
 
智者借力而行 - 外包评估工作
在成本允许的条件下,可以将需要做的性能评估交给一些有条件的信息安全产品评测机构进行。这些机构往往有专业的评测流程和评测设施。当然,在整个评估过程中都引入专业评测机构的协助也是值得考虑的建议。与万兆安全网关的购买成本相比,所付出的评估费用只是很小的数目,而且这也肯定远远小于在不明晰产品特性的情况下进行购买所带来的投资风险和安全风险。