论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 20 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 需要什么样的安全网关?
帖子发表于 : 2009-09-22 21:28 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
网关一直是安全产品的重点:
从代理到防火墙,到UTM似走向融合,但是病毒网关、IPS、链路/应用负载均衡、流量控制、WAF、上网行为管理、抗DDOS......,各种产品层出不穷,于是乎出口处摆了一层又一层。同时也发现,故障更容易出现,由于排查困难,恢复时间变得更长。
当厂家、SI或自己在网关上串糖葫芦的时候,也许灾难来临的日子也不远了......


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-24 22:22 
离线
高级用户

注册: 2008-09-22 11:27
最近: 2016-02-15 19:36
拥有: 1,574.70 安全币

奖励: 783 安全币
在线: 2105 点
帖子: 153
正是如此,关键问题在于没有哪家厂商能把所有技术做全,只能Focus在某一个和几个领域,所以难以整合,也就只能串糖葫芦了

我们需要大而精的安全厂商


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-24 23:40 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-03-31 21:34
拥有: 2,013.30 安全币

奖励: 4077 安全币
在线: 5749 点
帖子: 559
地址: 北京
小弟浅见:
1、设计方案的人要负责,要真正根据网络流量和安全需求 来设计方案,而不是什么都串!该做减法就得做减法!UTM也是,不能什么功能模块儿都开;

2、大而精很难,即便是IBM这样的巨头,做集成的时候也会用到别家的产品;


--------本帖迄今已累计获得66安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-26 14:17 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
我觉得这个话题跟企业大小或者产品线的范围没啥关系,即使有企业能把各种技术做全,集成在一起的效率问题仍是个难题。

近来我混这个论坛,通过前辈们的讨论和启发,关于这个问题得到的想法是,病毒网关、IPS、链路/应用负载均衡、流量控制、WAF、上网行为管理、抗DDOS等等所有这些设备的功能都是必须的,但同时楼主提到的各种实际问题又是一定要解决的,这就使得统一威胁管理势在必行,但并非像现在的UTM那样一定要是单一的设备,而是强调“统一”、“管理”,通过开放的接口和智能管理模式将各设备的功能聚合在一起,达到最好的防护效果(包括性能和效率)。

当各安全设备(或者说各种安全技术的实现)得到统一的管理的时候,安全防护的范围也就不限于出口处,各种安全技术也不再排着队实施了,而是在统一控制下根据需求实施。粗糙打个的比方:当依据一定策略判定一个IP为安全时,不再对其进行AV模块的扫描,一但他出现可疑行为,该IP的安全状态发生转移,相应的更严格的技术措施在其流量上施行。

网关应该就是个门卫(原来也的确只是个门卫),在门里面应该有个决策者和控制者。


--------本帖迄今已累计获得55安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-26 20:18 
离线
顶级用户

注册: 2008-05-06 11:14
最近: 2015-11-20 11:00
拥有: 12,338.50 安全币

奖励: 13814 安全币
在线: 4241 点
帖子: 1018
这也是应了一句老话:寻求一种在可用性与安全性之间的平衡。。。

btw:LZ反映的确是是一个趋势


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-26 22:11 
离线
中级用户

注册: 2009-09-10 15:36
最近: 2013-03-22 09:33
拥有: 121.00 安全币

奖励: 13 安全币
在线: 512 点
帖子: 77
透过现像看本质
事物是矛盾的统一体,发现问题,解决问题,才是根本。


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-26 23:13 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
楼上的去教自然辩证法绝对是把好手^_^


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-27 00:42 
离线
高级用户

注册: 2008-09-22 11:27
最近: 2016-02-15 19:36
拥有: 1,574.70 安全币

奖励: 783 安全币
在线: 2105 点
帖子: 153
Kussa 写道:
我觉得这个话题跟企业大小或者产品线的范围没啥关系,即使有企业能把各种技术做全,集成在一起的效率问题仍是个难题。
……
统一威胁管理势在必行,但并非像现在的UTM那样一定要是单一的设备,而是强调“统一”、“管理”,通过开放的接口和智能管理模式将各设备的功能聚合在一起,达到最好的防护效果(包括性能和效率)。
……


困难点就在这里,有几家厂商愿意不顾自己的技术专利和市场份额所面临的风险,冒冒失失地给自己的产品开出一大堆接口给别人去整合?为了占据市场上的主动权,谁不想自己来整合一把?

就算开放了接口也会有所保留,只开放给自己的合作伙伴,而不是竞争对手或潜在竞争对手,这就限制了真正意义上的“统一”、“管理”。

所以,现实地说,大而精的企业才能成为有效的统一威胁管理的实践者。
“集成”并不是把所有的安全功能都集成在一台设备上,理想的架构还是多台设备,通过自家产品之间开放内部接口进行整合。

我发现Cisco正在朝这个方向发展。


--------本帖迄今已累计获得56安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-27 11:54 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
我们说的是一个问题,我是从技术上说集成的方式,而实现这种方式要么是如你所说的大而精的企业,要么是我所说的开放的接口,两者都是出路,两者也都是充满荆棘的路,开放也难,大而精也难,没必要因为难而否定哪个。

比较可能的是CISCO、JUNIPER之类的企业先做到了大而精,主导了市场,中小企业为了抗衡而以开放接口的组成联盟;另外也可能是CISCO、JUNIPER之类企业的企业认识到通过收购等形式仍无法做到大而精,转而以自己为核心公布开放的接口,吸引和变相迫使中小企业加入。具体往哪个方向发展,主导权在大企业,就目前的经验来看,似乎后者更可能些。

而我比较关心的不是如何达到这种接口统一──我认为那是必然的趋势──而是在统一的接口下如何做好安全设备的管理与协作。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-27 14:36 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
从最终用户较多,一些用户片面去最求一个个功能的专一;
SI,希望通过堆叠一个个产品,获得更多持续的项目;
而在生产厂家,在功能的设计上缺乏权衡,噱头多过实质。

从产品功能需求看,比如,URL过滤、AV过滤、IPS,这些耗费资源比较大的,与网关的整合而成UTM,国内极少有人或推荐将此功能以旁路方式以求得性能分配的搭配以及降低串联的风险(所谓简单的接口要求之外,还需要点思量);未看到AV在网关处的特征而使得所需要的AV代码特别需要关注实效和高效(在招标指标上经常有>多少特征库,而不是<多少特征库而需要侧重防范最新的AV或挂马网站等网关上适合做的事情);所谓内容审计不考虑法律风险功能和权限未被严格限制;鲜见将轻性能消耗的产品组合以获得整体最佳功能搭配的产品,而最求一些华而不实的功能,比如URL过滤耗费大量的珍贵的网关性能资源做的分类是否对实际用户适用等等。

在被噱头所蒙蔽和浮夸的代价过后,耗费了大量资金和为可用性大幅度降低的烦恼之后,才会痛定思痛?


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-27 17:14 
离线
超级用户

注册: 2008-05-22 09:19
最近: 2013-09-09 14:26
拥有: 6,480.00 安全币

奖励: 890 安全币
在线: 3917 点
帖子: 421
Thanks.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-27 17:52 
离线
中级用户

注册: 2009-07-03 13:17
最近: 2012-03-04 11:27
拥有: 1,322.00 安全币

奖励: 69 安全币
在线: 435 点
帖子: 75
walk0r 写道:
从最终用户较多,一些用户片面去最求一个个功能的专一;
SI,希望通过堆叠一个个产品,获得更多持续的项目;
而在生产厂家,在功能的设计上缺乏权衡,噱头多过实质。

从产品功能需求看,比如,URL过滤、AV过滤、IPS,这些耗费资源比较大的,与网关的整合而成UTM,国内极少有人或推荐将此功能以旁路方式以求得性能分配的搭配以及降低串联的风险(所谓简单的接口要求之外,还需要点思量);未看到AV在网关处的特征而使得所需要的AV代码特别需要关注实效和高效(在招标指标上经常有>多少特征库,而不是<多少特征库而需要侧重防范最新的AV或挂马网站等网关上适合做的事情);所谓内容审计不考虑法律风险功能和权限未被严格限制;鲜见将轻性能消耗的产品组合以获得整体最佳功能搭配的产品,而最求一些华而不实的功能,比如URL过滤耗费大量的珍贵的网关性能资源做的分类是否对实际用户适用等等。

在被噱头所蒙蔽和浮夸的代价过后,耗费了大量资金和为可用性大幅度降低的烦恼之后,才会痛定思痛?


说得好!

就说AV这功能,很多厂家经常标榜内置的是K的,或者T的,或者ooxx的某个著名防毒软件厂商的引擎和特征库,多么多么专业,然后动辄好几十万种病毒的特征库。 也不想想, 在操作系统上检查病毒和在网络流中检测病毒工作模式可能一样么? 哪个客户会不装防毒软件,既然都装防毒软件了,防毒网关还有必要脑残的去处理那动辄几十万的特征库么?

买UTM里面的防毒也好,买AV网关也好,个人认为,最起码应该有以下两个概念:
1:网关的AV功能应该是和防毒软件构成互补的,主要应该检测那种基于网络漏洞自动传播的病毒/蠕虫/木马,和少量可能造成极其严重损失的烈性病毒。 至于那些以诸如“艳照门.jpg.exe”形式在邮件,在IM工具广泛流传,还需要使用者点击才能发挥作用的病毒类型,完全可以交给防毒软件来做嘛。这么算算,其实AV网关真的要处理的东西,也就是那么几十个而已(变种不算)。压力不就下来了么?
2:网关处的AV功能,必须基于跨数据包的检测技术,绝对的不能使用那种基于缓存文件的技术。每一个数据包应该检测完毕立刻放行,而不是进行缓存。 当病毒特征分散在多个包中时,通过诸如自动机、状态表一类的技术,做到在不缓存的前提下的检出。 然后通过丢弃其中靠后的某些包的形式来阻止病毒最终在完成拼合后发挥作用。

事实上,很多看上去很复杂的东西完全可以依照某些朴素的原理来快速的解决问题的。 很多让人看得眼花缭乱的技术或者产品,要么是技术人员没有搞清客户需求,偷懒的移植来了不合适的东西;要么就是利用信息的不对等,蓄意的用某些事实无法很好完成的功能来忽悠客户,以获得有利市场地位的结果。


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-10-23 13:16 
离线
顶级用户

注册: 2008-05-06 11:14
最近: 2015-11-20 11:00
拥有: 12,338.50 安全币

奖励: 13814 安全币
在线: 4241 点
帖子: 1018
对于不同类型的用户,需求不一样,一个人再强壮也不可能干N个人的活,关键在于性能和功能之间寻求一种平衡。


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-10-23 16:52 
离线
顶级用户

注册: 2007-09-24 12:46
最近: 2015-07-18 17:29
拥有: 4,927.20 安全币

奖励: 2704 安全币
在线: 6552 点
帖子: 707
地址: Beijing,China
天下大事,分久必合,合久必分,尽管目前炙手可热,UTM未必就是未来的发展方向。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-11 12:04 
离线
新手

注册: 2009-11-11 11:46
最近: 2009-11-11 11:52
拥有: 0.00 安全币

奖励: 0 安全币
在线: 6 点
帖子: 3
大家都希望网络更安全啊


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 20 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012