深信服多维度评析：最佳网络安全建设解决方案

继1994年首款硬件防火墙诞生以来，作为防火墙的“助手”，入侵检测/防御、防病毒网关等安全设备陆续面世；为了节约投入成本、统一管理威胁的UTM设备随之诞生；随着web2.0时代的到来，抵御web安全威胁的 WAF类产品也成为用户新宠；当人们意识到威胁已迁移至应用层，且不能割裂的防护时，下一代防火墙应运而生……

　　近几年安全事件频发，让IT管理者们越来越重视信息化的安全建设。然而面对众多的安全建设方案，管理者们反而更难找到清晰的思路，并做出恰当的选择。本期与读者分享的是互联网出口的安全建设方案评析。

互联网出口——终端上网场景

互联网出口作为与外部网络连接的唯一出口，实现了对外业务发布系统和内网终端的互联网接入，安全性要求较高，如下图所示：

常见方案对比：

对比评析：

传统防火墙

功能太单薄，已无法满足用户的需求；

传统防火墙+IPS

是被广泛应用的过度方案，由于其局限性，防护效果仍得不到有效保障；

FW+IPS+AV+WAF

该方案因高投资、管理成本以及多设备对用户体验产生的影响，使其在互联网出口应用极为罕见；

UTM

是在传统防火墙上扩充入侵防御和防病毒等模块，减少部署成本； 其一体化、低成本的优势是目前此场景安全方案的不错选择； 其性能并不优于单机设备，无法胜任高精度、细粒度、更深层的安全检测，只适用于中小型企业；

下一代防火墙

无论在L2-L7的防护效果、投资成本、管理成本、用户体验，都有很好的表现； 在网络升级改造过程中，与之前部署的传统防火墙形成异构方案，也是广大用户最优的选择之一。

互联网出口——对外发布场景

随着web2.0时代的快速发展，使得对外发布业务成为了企业、政府最为重要的核心业务。暴露在公众面前的业务系统，一旦被入侵篡改或窃取数据，会给组织带来损坏形象，造成经济损失、负面的政治影响等问题。对于该业务场景的安全防护是安全建设的核心。场景如下图所示：

常见方案对比：

对比评析：

FW+IPS方案

　 对web攻击防护效果较差，仅少数未意识到安全威胁发展的用户会考虑，应用范围较少；

UTM方案

优势在于一体化防护带来的低成本价值。对web攻击防护效果较差，且在大流量的场景下严重影响用户体验。仅有极少预算少、业务量少、安全要求不高的用户考虑；

FW+WAF方案

FW仅开放80端口配合WAF对web攻击的防护，可大大降低对外发布业务的web安全风险。缺点在于该方案并不能提供完整的应用安全防护能力，系统底层漏洞易给黑客可乘之机；

FW+网页防篡改软件方案

该方案存在弊端，网页防篡改软件属于被动防护，若黑客通过漏洞攻击获取到服务器权限，软件也就无效了；

FW+IPS+WAF+网页防篡改方案

是目前攻击防护最为完整的。但该方案极高的投资、维护成本并非普遍选择；并且多台设备+防篡改软件会降低用户体验。该方案对于安全要求极高、预算充足、人员专业的用户而言还是比较好的选择；

下一代防火墙方案

不仅具备FW+IPS+WAF+网页防篡改的所有防护功能，提供完整的安全防护能力，其模块间的智能联动可抵御APT攻击。此外其敏感信息防泄露的功能可有效防止“拖库”“暴库”的风险。该方案在软