企業(yè)網(wǎng)絡(luò)解決方案

　　企業(yè)網(wǎng)絡(luò)解決方案

　　在網(wǎng)絡(luò)技術(shù)迅速發(fā)展的今天，信息化已成為國際性發(fā)展趨勢，作為國民經(jīng)濟信息化的基礎(chǔ)，企業(yè)信息化建設(shè)受到國家和企業(yè)的廣泛重視。

　　企業(yè)信息化，企業(yè)網(wǎng)絡(luò)的建設(shè)是基礎(chǔ)，從計算機網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展的現(xiàn)狀來看，Intranet是得到廣泛認同的企業(yè)網(wǎng)絡(luò)模式。Intranet并不完全是原來局域網(wǎng)的概念，通過與Internet的聯(lián)結(jié)，企業(yè)網(wǎng)絡(luò)的范圍可以是跨地區(qū)的，甚至跨國界的。

　　現(xiàn)在，Internet的發(fā)展已使世界成為電子信息的地球村，人們不在有地理空間上的交流限制。隨著網(wǎng)上商業(yè)活動的激增，Intranet也應(yīng)運而生。企業(yè)都已感到企業(yè)信息化的重要性，陸續(xù)建立起了自己的企業(yè)網(wǎng)和Intranet并通過各種WAN線路與Internet相連。國際互聯(lián)網(wǎng)Internet在帶來巨大的資源和信息訪問的方便的同時，它也帶來了巨大的潛在的危險，至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全的重要性。在我國網(wǎng)絡(luò)急劇發(fā)展還是近幾年的事，而在國外企業(yè)網(wǎng)領(lǐng)域出現(xiàn)的安全事故已經(jīng)是數(shù)不勝數(shù)。我國網(wǎng)絡(luò)安全存在諸多問題：首先是防御意識的落后。對網(wǎng)絡(luò)安全的防護，意識和觀念須先行。但現(xiàn)實中無論是網(wǎng)民還是從事電子商務(wù)的企業(yè)，網(wǎng)絡(luò)安全的維護意識薄弱得讓人痛心。據(jù)調(diào)查：在我國電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理組織，58%無嚴格的調(diào)存管理制度，59%無應(yīng)急措施，48%無事故發(fā)生后的系統(tǒng)恢復(fù)方案。因此，我們應(yīng)該在積極進行企業(yè)網(wǎng)建設(shè)的同時，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗，建設(shè)完善網(wǎng)絡(luò)安全體系，將企業(yè)網(wǎng)中可能出現(xiàn)的危險和漏洞降到最低。應(yīng)該提供7*24小時的網(wǎng)絡(luò)安全及VPN網(wǎng)絡(luò)業(yè)務(wù)運營。

　　安全威脅的種類和破壞力在與時俱進，這是安全領(lǐng)域最令人不安的事實之一。與安全隱患作斗爭不是一項簡單的任務(wù)。過去，企業(yè)IT團隊使用多種工具的組合解決各種安全問題�，F(xiàn)在這種方法已因成本過高和無法擴展而變得不合實宜，而非集成工具的維護工作過于復(fù)雜正是造成上述缺陷的首要原因。因此，IT團隊開始將目光轉(zhuǎn)向具有高可靠性的集成安全解決方案。

　　安全管理的現(xiàn)狀促使越來越多的中小型企業(yè)（SME）轉(zhuǎn)而青睞統(tǒng)一威脅管理（Unified Threat Management/UTM）相關(guān)解決方案。(www.gymyzhishaji.com)在大型組織機構(gòu)的數(shù)據(jù)中心及隔離區(qū)（DMZ）等數(shù)據(jù)集聚點，巨大數(shù)據(jù)流量的壓力和用戶對高速度的追求使專門的威脅管理解決方案成為必需。

　　就目前而言，無論是少林金鐘罩，還是武當鐵布衫，需要雙管齊下：將統(tǒng)一威脅管理解決方案運用于分支機構(gòu)，同時將專門的高性能威脅管理設(shè)備運用于核心中樞部門，這種“兩手都要硬”的策略不失為分布式企業(yè)的最佳選擇。

　　為統(tǒng)一威脅管理解決方案辯明真身

　　將高性能放在首位的客戶可能會選擇單一功能的安全產(chǎn)品；但是，多種專業(yè)設(shè)備的部署和管理將會耗費大量成本。除支付購買多種產(chǎn)品單元的初期投資外，IT團隊可能還要花費精力應(yīng)對五花八門的用戶界面與管理工具，而統(tǒng)一威脅管理解決方案則能夠在大多數(shù)情況下為用戶提供性能、成本與可管理性之間的最佳結(jié)合點。不過我們應(yīng)該注意的是，并不是出門去隨便購買一套統(tǒng)一威脅管理解決方案就萬事大吉。各家廠商生產(chǎn)的統(tǒng)一威脅管理解決方案大相徑庭，因此我們強烈建議客戶，在為基礎(chǔ)設(shè)施選定具體的安全解決方案之前，首先要仔細比較各種產(chǎn)品在性能和技術(shù)規(guī)范上的不同之處。

　　產(chǎn)品功能的質(zhì)量是否統(tǒng)一

　　市場上出現(xiàn)的各種統(tǒng)一威脅管理解決方案設(shè)備可能并不具備統(tǒng)一的強大功能。廠商可能只是將來自不同開發(fā)者和第三方供應(yīng)商的防病毒軟件、防火墻和網(wǎng)頁過濾功能集合在一起，作為整套統(tǒng)一威脅管理解決方案出售。受低成本或劣質(zhì)產(chǎn)品設(shè)計的影響，具體的統(tǒng)一威脅管理解決方案產(chǎn)品可能會含有設(shè)計不合理的技術(shù)，進而導致最終產(chǎn)品的質(zhì)量良莠不齊，使性能的可靠性受到損害。

　　考慮到統(tǒng)一威脅管理解決方案在保護企業(yè)數(shù)據(jù)安全方面扮演的關(guān)鍵角色，我們建議IT經(jīng)理人選擇頂級質(zhì)量的統(tǒng)一威脅管理解決方案，以使企業(yè)享受到市場領(lǐng)先供應(yīng)商提供的先進功能，從而確保針對安全威脅的有效防御。

　　是否擁有全面的安全保護功能

　　選擇優(yōu)秀的統(tǒng)一威脅管理解決方案，意味著客戶將坐擁整套安全保護功能，包括互為補充的主動反應(yīng)機制與被動反應(yīng)機制，以及具有可視性和可控制性特點的網(wǎng)絡(luò)層機制。

　　真正的統(tǒng)一威脅管理解決方案不僅能夠滿足上述全部要求，還要具備以下功能：虛擬專用網(wǎng)絡(luò)（VPN）、多層防火墻、多方位侵入監(jiān)測與預(yù)防機制、多協(xié)議防病毒軟件、反間諜軟件（anti-spyware）、反網(wǎng)絡(luò)釣魚軟件（anti-phishing）、反垃圾郵件（anti-spam）以及網(wǎng)頁過濾等。

　　是否應(yīng)用虛擬技術(shù)

　　虛擬功能是強大的統(tǒng)一威脅管理解決方案所應(yīng)具備的重要特點之一。統(tǒng)一威脅管理解決方案采用的虛擬技術(shù)允許管理員將不同的“虛擬”統(tǒng)一威脅管理解決方案部署到不同的網(wǎng)絡(luò)分區(qū)或用戶組，從而利用統(tǒng)一界面對整個系統(tǒng)進行管理。這一重要功能幫助管理員應(yīng)用不同種類的接入請求，根據(jù)不同的安全策略以簡易而安全的方式劃分用戶組和數(shù)據(jù)通信種類。虛擬技術(shù)的本質(zhì)在于模擬網(wǎng)絡(luò)中擁有多部設(shè)備，而無需真正部署設(shè)備，從而節(jié)約了管理成本與部署成本所需的人力物力。

　　統(tǒng)一威脅管理解決方案采用的部分虛擬技術(shù)包括：

　　-安全區(qū)域（Security Zones），即分布在邏輯區(qū)中的網(wǎng)絡(luò)邏輯分區(qū)。安全區(qū)域可分配給物理接口，也將整部設(shè)備分配給虛擬系統(tǒng)。在后一種設(shè)置中，多個安全區(qū)域共享同一個物理接口，從而增加接口密度，降低設(shè)備成本。

　　-虛擬系統(tǒng)，即分區(qū)附加層次，能夠創(chuàng)建多個獨立的虛擬環(huán)境。各個虛擬環(huán)境都擁有自己的用戶、防火墻、VPN、安全策略和管理接口。虛擬系統(tǒng)允許管理員迅速將網(wǎng)絡(luò)劃分為由單一設(shè)備管理的多個安全環(huán)境，從而幫助網(wǎng)絡(luò)操作員創(chuàng)建多用戶解決方案，同時減少防火墻數(shù)目，降低管理壓力。這種方法能夠有效地降低成本與運營開支。

　　-虛擬路由器。此功能幫助管理員對單一設(shè)備進行分區(qū)，使其起到多部物理路由器的作用。各個虛擬路由器可對各自的域提供支持，確保路由信息不與建立在其他虛擬路由器上的域進行交換，從而避免了通信混亂。

　　-虛擬局域網(wǎng)（VLAN）。即子網(wǎng)絡(luò)的邏輯（而非物理）分支，幫助管理員確認通信并對其進行細分。安全策略可以具體規(guī)定由各個虛擬局域網(wǎng)（VLAN）至安全區(qū)域、虛擬系統(tǒng)或物理接口的通信路由，從而幫助管理員確認并組織多個部門之間的通信，并確定哪些資源可被訪問。

　　是否具備網(wǎng)頁過濾方法的選擇

　　市場上的大多數(shù)統(tǒng)一威脅管理解決方案都具有網(wǎng)頁過濾功能。IT經(jīng)理人必需對哪一種網(wǎng)頁過濾功能最適合企業(yè)需要有清醒的認識。

　　某些統(tǒng)一威脅管理解決方案擁有外部網(wǎng)頁過濾功能，能夠使通信流量由設(shè)備轉(zhuǎn)而流向?qū)Ｓ玫木W(wǎng)頁過濾服務(wù)器，以執(zhí)行網(wǎng)頁過濾策略。還有一些統(tǒng)一威脅管理解決方案具備集成式網(wǎng)頁過濾功能，能夠幫助企業(yè)建立自己的網(wǎng)頁訪問策略，通過一個不斷更新的數(shù)據(jù)庫有選擇地阻止對某些網(wǎng)站的訪問。

　　無論選擇哪一種過濾方法，統(tǒng)一威脅管理解決方案都應(yīng)能夠使企業(yè)組織將所選方法迅速付諸實施。此外，統(tǒng)一威脅管理解決方案還應(yīng)幫助IT經(jīng)理人使用黑名單、白名單及其他各種預(yù)定義及用戶定義策略定制網(wǎng)頁過濾解決方案。

　　專門的威脅管理解決方案

　　許多擁有大型數(shù)據(jù)中心的大企業(yè)或公司需要部署額外的威脅管理工具，如防火墻、防病毒網(wǎng)關(guān)、防入侵系統(tǒng)等，以滿足對系統(tǒng)大容量和高性能的需要。

　　還有一些企業(yè)可能需要適用于具體應(yīng)用或系統(tǒng)的專用威脅管理產(chǎn)品，以保護關(guān)鍵任務(wù)應(yīng)用、特殊安全功能，或在更大的組織內(nèi)區(qū)分所有者的權(quán)利和義務(wù)。此類產(chǎn)品包括電子郵件安全網(wǎng)關(guān)、網(wǎng)頁應(yīng)用安全網(wǎng)關(guān)及遠程接入安全網(wǎng)關(guān)等。

　　企業(yè)網(wǎng)絡(luò)解決方案（三）