校园网使用安全防护设备的误区
时间:2022-05-25 11:18:35
摘要:内网与外网联接时安全防护设备的选择非常重要,但目前很多用户在选择产品时存在一些误区,造成产品性能下降,投资性价比不高等问题,该文归纳了常见的几种现象及解决思路。
关键词:安全防护设备;使用误区
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)20-5465-01
随着网络使用安全问题的日益突出,校园网接入互联网时,两者之间信息与行为安全防护的要求与日俱增,因此,在内网接入外网时,必然要选择安全设备及相应的策略进行安全管理,几乎所有单位都非常重视这项工作,笔者在单位校园网接入外网工作中,参与了设备选型与市场调查,参观考察了其他一些已完成此项工作的单位,发现在实施过程中存在一些共性的问题,或造成设备性能不尽如人意,或造成重复购买,投资的性价比相对不高,总结归纳有如下几方面
1 一台硬件设备想解决所有问题
2005年以来,国内信息安全市场的发展出现一个趋势,就是整体性强覆盖性好的安全产品备受用户欢迎,其中最典型的产品就是UTM设备,UTM 的全称是Unified Threat Management,中文翻译是统一威胁管理,它可以在一个通用的平台上提供多种安全功能,比如:防火墙、防病毒、VPN、入侵检测、应用过滤、上网行为管理等,商家把功能、管理、部署的一体化作为此类产品的卖点。于是有用户就认为一个UTM就可以把所有安全工作都做好了,可是在实际使用中并非如此,UTM的性能取决于其使用的具体功能:使用不同的安全特性,甚至对同一安全特性的不同配置方式,对UTM性能的影响都是不一样的,也就是说把所有功能都开启使用与只开启部分功能使用,UTM的性能会有很大区别,例如:防火墙、防病毒、上网行为管理功能同时启用,与只开启防火墙、防病毒的性能就有巨大差异,如果同时使用上网行为管理,而策略设置不合理,还有可能造成整个设备的瘫痪,所以,在充分确认实际需求的基础上,首先选择防火墙功能开启,在对此项功能影响不大的情况下分别开启其它安全功能,并进行测试,观察设备整体性能的变化,最终确定使用UTM中的哪几种功能,尽量避免开启全功能,以及大而全的管理策略,例如:开启防火墙、入侵检测、同时又对所有业务病毒扫描、互联网常见业务的行为管理,这样的结果体现到用户那里就是感觉上网速度非常慢。因此UTM在一定程度上解决了整体性强覆盖性好的问题,仍然有一些盲点,需要其他产品来补充。这也是市场上同时也有许多单项功能的安全设备存在的原因。
2 多台设备的机械“混搭”
网络安全产品除了有UTM这样的复合性多功能产品外,单一功能的产品也随处可见,在UTM出现之前,安全防护产品基本上就是这种形式,笔者在参观一些单位时发现的情况是,多年前已配有部分安全设备,随着网络安全问题不断严重,后续又逐步添加一些设备,而添加的产品中很多功能是重复的,搭配不尽合理。商家在做销售宣传时,把用户所需要的每个主要功能都给配一个硬件产品,而每个产品所具有的其他辅助功能避而不谈,这样的产品都买回来后,虽然所需要求满足了,但性价比比较低,例如:在防火墙设备中基本都有VPN功能,如果用户对此功能要求并不高,只需要基本的端到端的IPSec VPN,就没有必要再购买专门的VPN设备;几乎所有单独设备都带有日志记载与保存功能,如果用户对单项产品中日志的存储、查询、分析及格式都认可,就没有必要购买日志管理系统;如果防火墙中具有IPS(入侵防御)功能模块,只需要要在原防火墙产品中购买此模块即可,就没有必要再单独购买IPS设备,等等。 另外,目前有不少用户由于各种原因采用了不同品牌的产品,各个产品各自有一套管理方法,有些差异还比较大,这对管理者的使用造成很大不便,多个设备配合工作,如果是同一品牌的产品,那么在设计思路,管理界面,以及不同产品的统一部署上具有相关性,管理人在使用中会减少难度,产品的售后服务上也会更加方便一些。
3 忽视后期升级服务及费用
安全设备正常使用之后,它的升级服务是一个长期的工作,按现在大多数安全设备的设计寿命都在十年以上,这期间的升级服务将对用户网络安全的加固起到重要作用。例如:病毒特征库的升级,IPS特征库的升级,这与我们平时常用的杀毒软件升级的道理是一样的,如果不做升级,网络的防护能力将不能面对新的威胁。但是,很多用户在购买设备时并没有注意到相关产品的升级,以及需要升级时的条件,商家在销售产品时经常对这一块也轻描淡写,有的甚至在价格表中并不明确标明,于是很多用户在购买了产品后,需要升级部分的使用期限是多长并不清楚,当使用了一年或两年后发现需要升级时,面对的将是收费升级服务,不同产品的升级费用,差别是比较大的,少则几千元每年,多则一、两万每年,不同品牌的升级也有不同的特色,目前很多品牌的升级报价基本都是设备采购价的10%,因此,安全设备在购买之初,对后期升级的费用应该提前预算,并货比三家,做为选择产品的条件之一,争取到最优惠的服务。
