您的位置: 网界网 > 周报全文 > 正文

[周报全文]安全网关死机成难题

2007年08月21日 14:09:25 | 作者:网界网 赵晓涛 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:在最近的采访中,一些企业的IT经理向记者表示,他们越来越担心网关安全设备的使用,“因为这些东西总是死机。”

标签
死机
安全网关
 

【CNW.com.cn 专稿】在最近的采访中,一些企业的IT经理向记者表示,他们越来越担心网关安全设备的使用,“因为这些东西总是死机。”

记者听到这里颇感吃惊,要知道,随着各种安全技术的发展——UTM、内容过滤、Web过滤、上网行为管理等安全设备大多以网关形式应用于用户的网络中。细聊下来记者发现,用户抱怨的网关设备死机,大多包括两种原因。

第一,自身性能不佳。由于安全网关的特殊性,往往需要承载较大的性能压力:从应用出发,检测七层数据包,逐个开展分析、匹配、判断。这些因素决定了安全网关的性能开销很大,这在多合一的UTM和瞄准HTTP的过滤设备中表现得更加明显。

第二,设备BUG过多。这个也是业界的老大难问题了。由于安全设备的复杂性,导致了网关设备研发中的BUG较多。一般来说,导致设备直接死机的BUG都会被排除,但困扰用户的多是隐性BUG。比如运行一段时间,网关设备逐渐变慢,最后慢慢“死去”。这样的问题很难直接找出原因。

一些负责任的厂家会在设备出厂前进行充分地测试。比如只有当ABUG收敛为0的时候才允许上市。但是有些公司则是采用上市以后再慢慢打补丁的方法。

更令人气愤的是,个别厂商竟然将死机行为解释为设备的自我保护。要知道,我国只在防火墙产品中规定过,如果设备遭到攻击导致超过负载(+本站微信networkworldweixin),需要阻断所有连接,保证内网服务器不受威胁。显然,这个标准并不适合于普通的安全网关。

为此有专家建议,用户在采购网关类安全设备的时候,一定要选择支持旁路部署功能的设备。在正式上线之前,可以用旁路方式进行测试,即便日后上线,也可以通过变换部署模式的办法降低风险。总之,BUG不可避免,关键是应对的态度。

 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]