按照大型网络的组织架构,把相应产品和架构按功能和比例“缩水”似乎就成了不少小型网络的应用架构。但这种“麻雀虽小,五脏俱全”的网络对于小型企业来说真的就适合吗?
简单与复杂的映射
共同生存在互联网这样的大网络下,在信息平等共享的同时,小型企业也同大型企业一样有着相似的网络应用需求,面临着同样的安全问题。为了应对网络安全挑战,企业通常会使用多种网络硬件设备,包括防火墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂,这些网络需要所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的基础上,再结合多种软件解决方案,如病毒防护、入侵检测(IDS)、VPN网关和内容过滤(如URL过滤),就构成了一个常规的网络安全解决方案。
VPN、防病毒软件、IDS\IPS、防火墙和多种网络设备,对于小型企业来说,这是一个吓人和混乱的清单。于是在投资缩水,IT管理水平缩水的情况下,小型企业只能买进低端防火墙、个人版杀毒软件、SOHO级路由器、接入层交换机等设备,投资不少,效果却不理想。这些设备不仅增加了网络管理的复杂性和故障率,而且,低端安全产品的入门级保护也不足以全面保护小型企业的关键资产,安全产品之间的简单堆砌也不能获得统一的安全策略,功能不完善的安全产品更无法应对愈演愈烈的混合攻击。
但是,现在的小型企业还有另一种选择――构建简单而强壮的网络。这就需要转变思路,将多种单一功能的设备集成到一个盒子里,它以设备的多功能性去代替网络结构的复杂性,以整体的安全防护策略去统一零散的安全防护措施。幸运的是,现在已经有了专为满足小型企业简单网络需求而设计的网络与安全相融合的一体化产品。简单的网络,多能的设备造就了小型企业的理想网络状态。
All in One的时代
这种一体化的设备把小型企业带进了一个全新的“All in One”时代―为了保护简单的小型企业网络,安全供应商必须将多种网络安全技术集中在一个价格合理而且易于使用的解决方案之中。那么多少功能才能算“ALL”呢?一个优秀的一体化设备应该可以帮助小型企业获得和大型企业相似的保护体系。
在安全保障方面,防火墙或安全网关必不可少,而如IDS\IPS和防病毒软件等技术则可以帮助检测各种威胁,防止这些威胁进入网络并造成严重的破坏。为进一步保护专用网络,企业通常会部署各种防病毒工具防范各种网络病毒、蠕虫、特洛伊木马和其它威胁。
在可靠性保障方面,除了防范各种威胁,小型企业还需要确保自己的互联网连接随时可用。互联网连接冗余功能可以在发生网络中断或ISP故障时提供不间断的连接。
在远程办公保障方面,虚拟专网(VPN)也已经成为大多数网络安全计划的核心组成部分。随着越来越多的员工从自己的家中和旅途中连接到企业网络,小型企业也开始日益需要获得安全的远程网络连接。通过一个VPN客户端,远程用户可以使用公共互联网连接(如家庭办公室中的DSL线路)建立通往企业网络的安全隧道。
此外,无线方案则可以让企业完全摆脱线缆的束缚,越来越多的小型企业开始部署安全的无线解决方案以实现移动办公。找到一种途径来消除对无线安全性的担心并能够使无线连接符合公司IT安全策略的公司将能够自由地利用WLAN提供的所有便利并实现成本的节约。
这些功能可以说包括了大多数先进小型企业的网络安全与应用需求。如果可以将防火墙安全、互联网冗余、安全无线连接、安全VPN、IDS、IPS和防病毒功能集中在一个解决方案之中,使它们无缝协作,不仅可以降低购买成本,而且还消除了维护一个过度复杂的多设备解决方案的长期费用。
正是因为小型企业对一体化安全网关的需求,不少业界主流厂商都推出了类似的产品。例如,专为小型企业设计的Symantec Gateway Security 300系列就是这样一种易于使用的集成网络安全解决方案,它不仅具有上述的各种功能,同时还能够提供企业级安全网关所具有的强大的处理能力。此类紧密集成的功能可实现互操作保护,而且只需要少量的附加许可证费用,节省了小型企业的投资。
小型企业如何打好组合拳
那么,除了集成的多种功能可以减少管理支出和成本的优势外, 小型企业究竟需要什么样的一体化的安全网关,又如何利用它来成功打出一套漂亮的组合拳呢?这就需要注意以下几个方面:
升级到集成安全功能,而不会面临“全方位”企业解决方案的复杂性
虽然很多小型企业已经拥有了一个防火墙/VPN设备,但这种设备可能是普通消费者级别的产品,不能提供小型企业所需要的那种保护。病毒或其它类型的攻击仍然会导致严重的网络和互联网接入中断。例如,Symantec 300系列对于小型企业来说既不过于简单,也不过于复杂。它们是可以提供防火墙、IPsec VPN、防病毒策略执行、入侵检测、入侵防护和内容过滤技术等六种集成安全功能的重要入门级公司安全设备,而且由单一安全合作伙伴提供所需的支持。这些功能专为小型办公环境而设计,因而能够减少目前大多数小型企业设备上不必要的复杂性――这些设备实际上只是重新打包的高端解决方案。
最大程度地利用客户端防病毒软件投资
小型企业知道病毒会通过多种途径进入自己的网络,因此,它们可能已经投资为自己的用户购买了客户端防病毒软件。但是,因为用户可能禁用了自己的防病毒客户端或没有对其进行更新,所以病毒仍然可以带来严重的问题。因此,它们需要集成了防病毒策略的一体化设备。如Symantec的300系列就将防病毒策略的执行集成到基本设备之中,当发现了新的病毒定义以后,其防病毒策略执行功能可以自动确保访问这一网关的大多数Symantec AntiVirus客户端都能够达到最低限度的安全策略要求。
不以牺牲性能为代价
网络性能(以及性能的成本)是小型企业最优先考虑的问题。它们需要能够提供增强性能的设备,比如高速处理和VPN加密加速,这两种功能都可以为更多的用户提供更快的吞吐速度。相反,它们不希望安全解决方案会放慢网络的速度并使员工感到不满。300系列提供了快速、可靠的网络性能,可以确保不间断的网络连接并最大程度地增加高速有线、无线和VPN接入点的吞吐量。
充分考虑小型企业的成长性和灵活性
所有300系列都内置了赛门铁克的LiveUpdate技术,这一技术能够自动保持设备固件的更新。
简单易用的管理与支持
很多供应商对待小型企业市场的方式是将其高端企业产品的管理界面重新打包为低性能的产品。这些界面是专门为了解各种术语、选项和参数设置的安全工程师设计的。不幸的是,小型企业既不需要、也没有能力理解这些复杂的界面。Symantec 300系列只提供了那些能够满足小型企业典型需求并可在缺省设置下提供最大保护的功能。其开始向导程序能够快速建立4种常见ISP连接类型的互联网连接。小型企业在建立连接时只需插入这一产品并运行该向导程序即可。此外,在赛门铁克技术支持热线的帮助下,故障诊断工具可以快速诊断常见的网络连接故障。
可靠的灵活连接方式
好的一体化设备哈可以使用多种技术进行WAN端口故障检测并自动切换到备用连接。这一功能可以防范小型企业遇到最多的两种网络故障:网络拥塞和WAN连接故障。而每一个Symantec 300系列型号都拥有内置的互联网连接冗余特性,还提供了VPN防护高速无线LAN接入点,使很多小型企业也可以安全地使用无线连接。