企业安全防护多面手——UTM的采购
i企业
每当一类新的威胁出现时,企业用户就必须采购相对应的安全产品进行防护。对信息管理人员来说,每多一台设备,就代表网络架构上又多了一个影响因素,不但网络路由需要重新规划,甚至还需要考虑网络如何接线等。而且每多一个设备,对网络的影响就成倍地增长,特别是在网关端的设备,只要一台设备出了问题,很容易造成整个企业网络失灵或瘫痪。这时UTM(Unified Threat Management,统一威胁管理)设备给企业安全管理带来了希望。网络安全设备中的UTM设备与瑞士军刀有着惊人的神似,它集成有多种安全防护功能,而且同瑞士军刀一样,UTM设备具有不同的功能组合,企业用户可以根据需要进行功能的选取。正因为如此,UTM设备已成为中小企业进行信息安全防护的不二之选。
UTM为企业用户带来价值
1.简化网络结构,降低使用成本
近年来UTM设备受到了众多信息管理人员的青睐,销售量不断攀升,在企业网络中导入UTM设备主要有三个原因:产品的世代交替、简化网络架构和功能的全面性。
若以一台UTM设备所提供的功能来看,相当于一台防火墙、一台IPS和一台防毒墙所提供的功能总和。但如果在企业网络终端同时部署防火墙、IPS和防毒墙,假设单台设备一年可能的故障率为1%,部署这3台设备让网络断线的几率就会接近5%。如果将这些设备简化成单一设备,因为硬件问题导致的故障率就会大幅降低,这也是为什么部分企业宁愿采用UTM设备取代原先的单功能设备的原因。降低单点故障率固然是信息管理人员需要考虑的因素,对于成本支出的控制也是企业信息管理人员需要考虑的。姑且不谈相关的安全防护服务的授权费用,光是相关设备的电费与人力维护费用,就可以明显看出单一设备比多台设备更有优势,使用UTM设备取代原先的多台设备,不但能够确保企业网络的安全,也可以大幅降低成本支出。
2.整合功能让管理更方便
就像前面所提的,UTM设备可以整合多种网络安全功能,对管理人员来说,最大的好处在于可以大幅度节约管理需要的时间与精力。试想,今天网络或联机上出了问题,检查一台设备快,还是检查三四台设备快呢?答案不言而喻。UTM设备将所有功能集于一身,除了可以增加相关的管理能力外,企业用户也可以增加相关的安全策略检查机制,进一步检查安全策略的合理性。对于众多杂事缠身的信息安全管理人员而言,利用效能、功能皆已臻完善的UTM设备,可减少网络管理工作的负担,何乐而不为呢?
UTM设备如何选
1.优先考虑X86平台的UTM产品
目前的UTM产品已经是遍地开花,国外的Fortinet、Sonicwall、Watchguard、Juniper及国内的天融信、联想网域、启明星辰等厂商都拥有自己的UTM产品。不过万变不离其宗,从硬件架构上来说,UTM产品主要有基于X86平台、ASIC架构、网络处理器(NP)架构及最新的多核SoC架构的,其中ASIC架构、NP架构的产品无法实现防病毒、入侵防御等安全功能在芯片级的加速,因此无法实现复杂的安全业处理需求。
因此,基于X86平台的UTM是目前市场的主流,这种平台的产品通常使用一颗或多颗主CPU来处理业务数据,网卡芯片和CPU通过PCI总线来传输数据,多核发展趋势在一定程度上弥补了UTM设备在开启多功能防护时资源占用率过高所带来的性能下降的缺点。目前新一代的UTM产品已经采用了PCI-E方案,完全可以让X86平台的UTM产品的通信速率达到千兆防火墙的要求。
2.UTM设备适合中小企业用户
从功能方面来看,目前市场上的UTM设备,一种是以高性能交换机为基础的安全设备。通过插入不同的安全模块,如防火墙、VPN、反病毒、内容过滤等,实现UTM的功能;另一种是将很多安全功能固化在一个单一设备中的All in One产品,这类产品往往以较高的性价比赢得了企业用户的青睐。虽然UTM设备把很多的功能都集成在一起,但受困于处理能力的限制,UTM设备上的各项功能的效能,并没有单一功能设备的效能高。
UTM设备的每一项功能所能达到的安全级别,暂时还没有单一功能的专业安全设备所能达到的高,因此UTM设备并不适合那些对安全要求极其敏感的行业大型企业。而且目前市面上的UTM产品,全功能开启后,会出现性能大幅度下降的问题,因此UTM产品更适合于中小企业的办公环境。比如百兆的UTM产品,开网关防毒后速度达到60MB,开IPS功能的话,完全能满足300人以内的企业用户使用。这种规模的企业即便是申请专线,外加上备份用的ADSL专线,总带宽往往也不超过30MB,即使开启UTM的所有功能,处理能力也是够用的。
3.全功能≠全免费
值得注意的是,UTM设备虽然是整合各种安全功能的产品,但没有一家UTM厂商能够把所有的安全功能做得尽善尽美。因此优秀的UTM设备往往集成的也是各个优秀安全厂商提供的产品,像Checkpoint、TrendMicro、赛门铁克、卡巴斯基、Surf Control等安全厂商都经常把自己优秀的安全模块提供给UTM厂商进行集成。目前在许多UTM产品上,反病毒模块、反垃圾邮件模块、VPN模块、IPS模块、内容过滤模块是单独收费的,当然也有部分厂商提供了许多免费模块。因此在选购UTM设备时要了解其授权模式,目前业内有两种授权模式:一种是基于每个设备收费,不限制用户数;另一种是基于用户数收费,这样企业在发展过程中,可能还需要额外的费用。
4.售后服务必须重视
另外还要了解UTM设备的服务收费方式,一般来说,UTM设备的服务非常重要,用户在购买前一定要问清楚厂商能提供什么样的升级服务,以及其他售后服务。一般来说售后服务费用是按年进行收取的,一次性购买多年的服务会享受一定的折扣。企业用户可将总成本预算与获得的功能与性能综合比较,以决定选择适合自己的产品。
此外,由于UTM设备集成了众多的安全模块,各个模块的定期维护与升级是不可忽视的问题。用户在选购UTM产品时,一是要关注设备升级的方便性与部署快捷性,比如是否基于Web;二是要求相关设备提供商将其服务承诺落实到纸面上,特别是对于病毒特征库的更新、高端设备的巡检以及故障检测等,有时候不是所有代理商都能全部解决的,必须要求原厂商给出承诺。
给力的UTM产品推荐
●合勤USG100
参考价格:11000元
作为一款UTM产品,USG100的安全功能非常全面,例如,它具有反病毒、入侵检测和防护、内容过滤和反垃圾邮件功能。另外,它还具有异常检测和防护、应用程序层网关和应用程序监测等功能,可以实现复杂的流量管理。在USG100上,每一项功能都可以被单独开启或关闭,这些功能对于该设备的吞吐能力有一定影响。
●启明星辰天清汉马USG-2000C
参考价格:32000元
集“设计一体化、部署一体化、放置一体化、管理一体化”的研发理念于一体的天清汉马系列UTM设备,整合了防火墙、VPN、IPS、防病毒、防拒绝攻击、内容过滤、反垃圾邮件、NetFlow等多种安全功能,同时全面支持QoS、高可用性(HA)、日志审计等功能,具备高可靠、高性能和易管理的特征。它的防毒技术可以对100000种以上的文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件等进行检查。
●FortiNe FortiGate 400A
参考价格50000元
FortiGate 400A是FortiNet公司设计的基于ASIC硬件架构的UTM产品,可以在网络边界处为中小型企业提供实时的保护。FortiGate 400A有两个10/100/1000Mbps自适应以太网接口,可以升级到千兆网络,还具有4个用户自定义的10/10Mbps接口,可以提供冗余的WAN连接,高可靠性和多区域的特性允许管理员在划分其网络区域时有更高的灵活性,并可以在不同区域之间设置策略。
●神州数码DCFW-1800S/H-UTM
参考价格:78000元
神州数码DCFW-1800S/H-UTM集成了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关九大功能于一体。它采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在千兆网络环境下的高性能运行。