论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 63 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : 深信服的流控或者上网行为管理解决方案就是UTM产品,其弊端在于
帖子发表于 : 2009-07-20 17:32 
离线
新手

注册: 2009-07-14 15:47
最近: 2011-10-04 13:28
拥有: 36.00 安全币

奖励: 0 安全币
在线: 26 点
帖子: 14
深信服的上网行为管理(含流控)采用的是UTM——即统一威胁管理(Unified Threat Management),集合了防火墙、VPN、IDS/IPS、反病毒网关、内容过滤等多种功能, 那么深信服的产品存在哪些弊端呢?
专业方面:由于目前技术的限制,多面手往往不是性能的最佳平台
性能方面: 同等硬件性能的条件下,过滤效率会大打折扣。所以几乎在电信骨干不可能放 一个类似UTM的产品,这也是道理所在!
实现方面: UTM里的防火墙对网络实时性要求相当高,适合用专用芯片来实现,邮件杀毒、应用层防护对实时性要求相对低些,但处理复杂,适合用通用处理器实现,不同的 功能,通过同一架构实现,会相互影响彼此性能,最终使设备可用性降低。所以实际的高校测试也证明,深信服的产品在流量稍大的环境无法正常工作。
总结:
1.因此从上网行为管理产品或者流控的角度,深信服的UTM并不是好的选择。它本身没有分布式硬件的处理技术,只是在工控机上运行多个软件功能模块,势必性能和可靠性大打折扣。
2.如果从UTM的角度进行比较的话,那么一体化网关能实现深信服同样的功能,而且性能还要比他们高,可靠性要好。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-22 10:21 
离线
初级用户

注册: 2005-11-25 11:25
最近: 2012-02-08 10:49
拥有: 28.70 安全币

奖励: 0 安全币
在线: 1228 点
帖子: 30
理论上说,确实是这么一个理。

但从客户反映的使用情况来看,深信服的上网行为管理还是挺人性化,挺到位的,客户的反应情况不错!


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-22 11:03 
离线
初级用户

注册: 2005-11-28 11:52
最近: 2012-09-24 16:01
拥有: 265.00 安全币

奖励: 2 安全币
在线: 1350 点
帖子: 29
据我了解
深信服现在不再推UTM了。都是在说上网行为管理设备或流控
主要方向是对数据流的分析和控制,审计等。
在这个细分市场的占有率还是很高的。
实际环境中到1G带宽没有问题。

你这个评论,比较像打单的时候被人欺负了,呵呵


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-22 14:10 
离线
初级用户

注册: 2008-12-15 16:09
最近: 2009-09-17 16:03
拥有: 38.70 安全币

奖励: 0 安全币
在线: 468 点
帖子: 50
深信服的上网行为管理设备可以作为上网行为管理设备或流控设备来使用,也可以作为网络安全审计设备来使用。前者需要嵌入在网络中,后者则采用旁路方式。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-23 13:13 
离线
初级用户

注册: 2009-05-25 16:01
最近: 2010-02-03 09:51
拥有: 77.00 安全币

奖励: 0 安全币
在线: 189 点
帖子: 46
据我所了解的现在所谓的上网行为管理设备在超过1G流量的情况下,基本上不可用。为什么会出现这种情况呢?是因为上网行为管理设备的性能问题还是这种类型设备的体系架构本身就有问题?还是其他?大家一起讨论讨论。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-23 15:50 
离线
中级用户

注册: 2008-07-06 18:41
最近: 2012-07-11 08:06
拥有: 2,164.20 安全币

奖励: 23 安全币
在线: 1345 点
帖子: 115
大家多聊聊,可以更接近于实际的应用,技术就要为应用服务的,孤立的是没有生存空间的。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-23 17:47 
离线
中级用户

注册: 2009-07-06 16:15
最近: 2015-11-18 16:35
拥有: 546.00 安全币

奖励: 180 安全币
在线: 374 点
帖子: 71
事实就是UTM设备,宣称是模块可选,但实际是防火墙,VPN等项固定有,反病毒等可选,同等级别设备性能必然打折,因为你必须有资源供防火墙,VPN使用。UTM设备最大弊端是很多附加功能上了后,性能将大打折扣,甚至一半正常性能都没有。而且他们的行为管理粒度非常粗放,很难达到精细化管理的要求。有钱可以考虑 国外blue coat 和websense 的,但国外的也有到中国来水土不服的,毕竟有些中文协议,国外的产品也搞不定。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-23 19:07 
离线
初级用户

注册: 2006-11-27 17:52
最近: 2012-04-16 17:00
拥有: 662.10 安全币

奖励: 44 安全币
在线: 1902 点
帖子: 41
所谓的上网行为管理,关注点是对应用协议的详细分析,如记录MSN聊天发了哪些消息、论坛发了什么帖子、是否在使用迅雷下载东西等等.....,这些都要对应用层的数据进行分析和pattern比较,很消耗时间。好像深信服号称能支持100多种协议。

我觉得这种设备很难做到太高的性能, 真是大流量的用户也不会用到这些功能。


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-24 12:00 
离线
新手

注册: 2009-07-07 15:02
最近: 2012-03-02 10:37
拥有: 16.00 安全币

奖励: 0 安全币
在线: 25 点
帖子: 13
太专业了~~~顶了


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-27 10:53 
离线
高级用户

注册: 2007-11-21 09:43
最近: 2014-10-11 14:51
拥有: 12.80 安全币

奖励: 0 安全币
在线: 1872 点
帖子: 247
不是打击深信服,销售的水平实在太烂,能力有待提高啊.


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-27 11:54 
离线
初级用户

注册: 2009-03-10 17:18
最近: 2013-01-30 14:21
拥有: 79.00 安全币

奖励: 0 安全币
在线: 787 点
帖子: 39
前段时间测试过深信服的上网行为管理设备,主要是测试邮件那部分。感觉邮件这部分做的很别扭。审计上采用的是事前审计的,需要专人来审计邮件点击通过,而且在点击通过后邮件的发送速度慢的令人难以忍受,大概经过了差不多半小时后才收到。


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-29 08:26 
离线
中级用户

注册: 2009-07-06 16:15
最近: 2015-11-18 16:35
拥有: 546.00 安全币

奖励: 180 安全币
在线: 374 点
帖子: 71
dna132 写道:
前段时间测试过深信服的上网行为管理设备,主要是测试邮件那部分。感觉邮件这部分做的很别扭。审计上采用的是事前审计的,需要专人来审计邮件点击通过,而且在点击通过后邮件的发送速度慢的令人难以忍受,大概经过了差不多半小时后才收到。

sinfors在网络防泄密这块做的勉强。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-08-08 11:02 
离线
新手

注册: 2009-07-22 16:55
最近: 2009-08-08 10:42
拥有: 4.00 安全币

奖励: 0 安全币
在线: 45 点
帖子: 3
dna132 写道:
前段时间测试过深信服的上网行为管理设备,主要是测试邮件那部分。感觉邮件这部分做的很别扭。审计上采用的是事前审计的,需要专人来审计邮件点击通过,而且在点击通过后邮件的发送速度慢的令人难以忍受,大概经过了差不多半小时后才收到。

个人觉得这种方法也难以接受,特别对于加密的附件等等也无法识别,所以产品的防信息泄漏特色还有待挖掘,不是说一个邮件延迟就能实现的。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-08-17 10:31 
离线
中级用户

注册: 2009-01-13 15:32
最近: 2015-04-13 14:54
拥有: 889.20 安全币

奖励: 81 安全币
在线: 1573 点
帖子: 76
据我所知上网行为管理,现在国内还没有一家的一个产品可以达到旁路500M接入的,如果用桥模式,最高也就300M算顶了.这是用X86架构所限制的.
而现在的思路已经转变了,有些厂家采用分布式来做,比如两台或者三台做数据处理,然后一两台做数据存储,当然这样的产品目前也在测试阶段,还没成熟.


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-08-17 11:46 
离线
中级用户

注册: 2009-01-13 15:32
最近: 2015-04-13 14:54
拥有: 889.20 安全币

奖励: 81 安全币
在线: 1573 点
帖子: 76
哈哈.一看到有安全币,就有动力了.主题是深信服的,再说上几句吧.
深信服的产品现在无法做旁路,所以在要求严格的网络里就无法用上了,毕竟多一个桥接点多一个故障率,而且要内容的审计与过滤,肯定要影响网络性能,这就是桥接的致命伤.
话又往回说,在小型网络里,用桥接模式是比较好的,牺牲性能,能做少量的规则进行管理,对管理方便有好处.
目前的市场,基本是小型网络要求类似UTM的多功能设备,但中大型的网络基本不会用.

继续上班...不写了..


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 63 篇帖子 ]  前往页数 1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012