最后还有很大的一块,就是你这个用户本身是企业的员工,但是这个并不一定是可以信任的,为什么?因为现在安全威胁太多,你员工所携带的笔记本可能就会带有很重大的安全漏洞。
下面我们看一下具体的问题,一个IT经理人在部署业务中遇到这样一个一个问题,他布网的时候用的是80或者443端口,这意味着什么?所有的防火墙都不起作用了,你所有的都是基于80走的,所以一般来讲传统意义上的防火墙对于高层应用的安全判断性能已经失效了。第二,五是你在这个企业中的应用是好还是坏,比如说我在新浪或者搜狐上会看到很多博客的内容,那么你们会看到在博客上面会有很多很煽动性的连接,如果你点进去可能是一个病毒的网页,那么对这种病毒的防护你用传统的防火墙已经很难防护他,为什么?因为它已经集成到新浪的博客中,关键是在博客里面有很多黑客搞一些事件出来,那么这个界定我们就越来越模糊,很难判断这是不是安全的。
第三部分是基于XML的应用越来越多,这是一个非常灵活的语言,那么这些脚本可能是一个好的脚本,互动性更好,也有可能这个脚本是一个恶意脚本,这个脚本可能就存在于XML里面,那么我们如何判断这个XML是好的还是坏的,这都是新的应用技术向BS转变之后可能遇到的问题。
第二部分就是企业结构,现在的企业结构已经不是中心点这样的结构,你这个企业可能会接入点到点的VPN,企业的用户会越来越灵活或者分散,如果你过去都是集成到企业网总部的话,总部放AVS、防病毒,可能你很难做到基本安全的网络,但是你的网络接入很零散的话,你需要怎么防护它也是一个很大的挑战,所以基础观念的改变对你的网络部署也很重要。
另外是所谓安全威胁的变化,前面提到有很多安全木马、恶意代码已经嵌到网页中去,那么普通的URL过滤已经不是很好的解决办法。因为网络接入引起的,你以为他是一个让你信任的用户,而其实它的并不是被你所信任的。我们也刚刚拿到一个创新奖,我们拥有比较创新的方案,这张图左边是用户右边是互联网应用,其中的一个特点是用户跟应用往往离的比较远,这种情况下传统意义上会有分组包的基础结构,这在春秋意义上包括防火墙、路由器、交换机会做1到4层的分组包的结构。现在我们提的新的概念,刚才主持人讲我们在广域网的应用分发和控制,我们对应用有加速可控制的结构,也就是安全层的基础结构,具体可以分到7层,在里面做所谓的安全性保证、策略控制。
对于7层的广域网应用结构我们提出了一个解决方案,实际上这是基于代理服务器的,那么代理服务器在这个角度来讲是非常完美的能够解决这个问题的手段,代理服务器是如果我如果没有跟用户直接连接起来,代理服务器会跟
应用服务器讲我是这个用户,会把一个连接变成两个链接,
应用服务器的好处可以深刻理解用户端的协议、用户端的内容,而如果我的博客里面有一些黄色网站的内容或者连接,或者说XML的脚本里面有一些恶意代码在里面,那么我觉得这是不安全的,而代理服务器就可以做到,能够解决前面提到高层安全发展趋势带来的一些挑战。
像我们常见的应用协议,像HTTP、Streaming、CIFS、etc,所以在你企业里面主要的应用协议都可以理解,理解之后可以做到对它进行控制。举个例子,如果我的代理服务器做一个代理层的控制,我希望这个应用可以被销售员工访问,这里面有很机密的信息在里面,但代理服务器可以实现认证,比如说我做完认证之后告诉我你是谁,如果你的密码没有敲对的话就不能看到其内容。甚至它可以做到
ERP里面可以分几级,
ERP里面有财务查询、人事查询、订单查询,这样就可以让用户按内容去做。这样就可以适应所带来的安全和性能的挑战。
我前面提到安全和性能往往是不可能调和的,那么为什么代理服务器就可以很好的实现性能?这个挑战是怎么解决的?大家可以注意到代理服务器本身是一个应用型的加速设备,比如说文件访问、流媒体服务,所以它在本身内部提供了加速的性能,这样就可以把性能和安全的矛盾调和起来,这是一个很好很好的解决方案。
我们可以看一下具体在我们这个设备上可以做哪些东西,比如说常见的出口的时候我们可以做Security这个解决方案,所有的用户都可以经过图上这个网关设备上互联网。我可以理解上面所有的协议,比如说常见的BS结构应用,加密的BS结构,流媒体、P2P、SOCKS、FTP、DNS等等,SOCKS协议实际上通用代理服务协议,比如说银行、金融机构可以用SOCKS上到代理服务器中去实现控制。所以对于大家常见的协议我都可以理解它,所以这是代理服务器最核心的力量,也是最符合企业现在
信息安全提升的基础。
|
服 务 CIO 推 进 信 息 化 
