从大项目中获大利

　　从2008年10月到今年10月，据河南润博科技有限公司总经理博见才粗略统计，他们公司已经承接了不下30个省级大中型企业数据中心信息安全建设项目，能做到这一数字对于很多方案商而言都实属不易。“要知道省级大中型企业数据中心的广域网，地域面积大，涉及的人员众多，使用水平参差不齐，因此，这样的项目无论从建设实施还是利润报酬上考虑，都非常可观。很少有区域方案商能够在一年内完成如此目标。”博见才如是说。

　　确实，从总体项目实施来看，由于大中型企业数据中心网络环境复杂，实施安全应用考虑面广，实施周期较长，这要求方案商不但具备一定技术能力也要求其具备人力资源和财力支持，但相应的好处是，“大项目一定会带来高回报。这也是为何如今方案商非常关注着一领域的关键。”飞塔信息科技技术专家金戈说。

　　那么，如何才能顺利的进入这一领域，并在最短的周期内在最小化成本的同时帮助用户建设更为安全的数据中心呢?这在博见才看来是有可能实现的，他说：“如果方案商能够掌握一定窍门，了解到大中型企业客户建设数据中心在信息安全中的实际应用需求，就能够提高整体方案的价值，从而在项目中实现利润最大化。”

　　金戈非常赞同这样的想法，在他看来，大型企业数据中心网络的特点都比较集中，“其中，网内运行很多关键应用系统，这些业务涉及到方方面面，一旦出现网络问题，影响面很大。外联的接口众多，或者与总部直接互联，或者与银行电信这些服务型企业互联，或者Internet接入其网络非常复杂，我们可以通过安全区域与扩展的网络边缘概念为其设计完整的网络安全解决方案，从而保障关键应用系统和网络正常运行。而大型企业数据中心网络的边缘不仅仅是其Internet接入区和与其他单位互联处，而且也包括各个地市公司与总公司的互联处，移动用户远程拨入处，外来人员的接待处等等。”他举例解释说，“比如某省一家大型公司，其信息安全系统是为全省各分支机构系统的网络应用提供必备的安全网络环境和运行平台。该公司的网络基本上可以划分为Internet 安全接入、多个市级供电企业的接入、OA系统等。”

　　找到高价值“安全帽”

　　由此来看，对于大中型企业的网络管理人员来说，规模越大的网络的潜在的威胁也就越多，而且，由于大型企业数据中心的网络往往拥有几万个用户，网络规模庞大，对于设备的性能、稳定、灵活都有苛刻的要求。如果以网络安全区域方式划分的话，几百人到一千人的规模可以视之为一个安全区域，几个人的办事处也可以视之一个安全区域，那么上万人的网络往往会被划分成几百个安全区域，从而存在上千个网络边缘。

　　确实，正是因为大中型企业数据中心存在这样的特点，“导致他们面临的最大威胁就是县公司(分公司或者分支结构)的防御比较脆弱，一旦某县公司(分公司或者分支结构)局部网络出现安全事件如蠕虫病毒蔓延等，势必将导致该威胁在整个大网中进行蔓延和传播。”博见才说。

　　那么，方案商在看到了客户这样的需求之后，就要考虑如何将大网络化为小的网络，不同的网络区域之间通过部署安全设备进行隔离，从而实现安全区域内部自治。“构建这样的方案，就有如潜艇的隔离仓一样，将一切风险隔离在外部。事实上，为大型企业构建安全网络环境，就相当于为他们戴上一个安全帽，这个安全帽就是网络边缘的安全，这也成为方案商为客户网络安全重中之重。”金戈说，“部署于网络边缘的设备必须考虑到充分的可靠性、可扩展性、可管理性等方面的要求，以便整个布局具有良好的弹性和韧性，能及时适应需求变化，在适当的时候能够顺利进行调整。”

　　但是，如果方案商按照传统的安全解决方案，网络层的防御需要专业的防火墙设备，七层的防御采用专用IPS设备，文件传输采用病毒网关予以防护，如果还有反垃圾邮件、web过滤、VPN的需求，同样有专业的设备予以对应，那么将带来高额的采购成本、维护成本。高额的采购成本也会导致方案商利润降低。并且众多的设备会导致故障频发，网络延迟增大，管理问题丛生。

　　由此可见，如果用户希望能够在边缘进行立体全面的防御，“方案商采用单一功能的设备显然是最笨拙的方式。找到最适合用户的‘安全帽’不仅能够为用户节省成本也能为方案商更大价值。”

　　结合实际应用，博见才推荐方案商可以采取在网络边缘处部署具有防火墙、IPS、VPN、防病毒等多种安全功能UTM设备解决方案。例如：FortiGate产品，它具有防火墙、IPS、IPSec和SSL

　　VPN、防病毒、反垃圾邮件、IM和P2P控制、流量控制和虚拟域等多种功能，由于不同的区域的安全需求不同，可以针对不同的区域各自进行针对性的安全部署：省控制中心采用使用2台FortiGate-5140的防火墙功能实现网络访问控制、双机热备功能，使用FortiGate-5140的入侵防御和防病毒功能，保护内部网络网络安全，防御来自于系统外部的攻击和入侵;在各地市采用使用FortiGate-1000A的防火墙功能实现网络访问控制。

　　在需求中寻找增值方案

　　但是，面对目前市场中琳琅满目的UTM设备，很多解决方案商对其是否适用于大型企业数据中心市场还有所争议，其争议方向集中在UTM解决方案性能之上，“大多方案商不敢为客户制定UTM设备解决方案主要是不知道如何选择上游设备，无法准确制定方案。”金戈分析说。

　　这主要是因为自从出现了UTM这个概念后，两种不同的思路影响着其发展。一种思路是采用不同厂商提供的软件产品，然后把它们融合在一个平台上。比如，防火墙功能采用某家厂商的软件，IPS采用另外一家的软件，然后再由一家厂家将其结合起来。该UTM厂家宣称自己的产品采用的是各个不同技术领域中最好的软件。更有甚至，有些UTM的管理界面都是不同产品管理界面拼凑在一起的。

　　第二种设计理念是设计一个封闭的体系结构，它由一个基础向上开发，逐渐地融合不同的安全技术。相比较而言，明显第二种思路在技术上更为复杂，而且出于市场考虑，其融合的每一单项功能都必须能够满足实现单一功能的产品所能达到的标准。UTM的核心功能–防火墙、防病毒、入侵检测，由于其开发商的勤奋努力，已经成熟，开辟出了UTM世纪。采用这种思路作出的产品的管理界面自然地将多种功能糅合在一起。

　　“也就是说，方案商只要在进行方案设计中选择正确的方案设备就可以从中获得高增值机会。”金戈说，优秀的UTM产品往往采用ASIC技术的内容处理器来处理应用层的数据，比如病毒和攻击，采用基于ASIC的网络处理器来处理网络层的数据流，从而提高了数据的传输效率和速度。”