UTM防火墻案例分析

我們也知道，不斷變化的安全威脅和新的安全挑戰(zhàn)使得維護(hù)網(wǎng)絡(luò)安全愈加困難。為應(yīng)對這一困境而實(shí)施的新的安全產(chǎn)品和安全策略不僅大大增加了復(fù)雜程度，更重要的是，增加了維護(hù)自己的網(wǎng)絡(luò)和用戶安全的成本。作為一個中小企業(yè)來說，購買一臺防火墻需要投入的資金數(shù)目不容樂觀。

然而，作為一名網(wǎng)絡(luò)管理者，面對這種情形，進(jìn)退兩難。一直以來就想過在網(wǎng)關(guān)這一層架設(shè)防毒過濾產(chǎn)品，綜合來，比較去，“性能”這個參數(shù)長久以來沒有說服我這個負(fù)責(zé)人。擔(dān)心購買后，并不是產(chǎn)品說明那樣神氣。這年頭讓廠商或托忽悠的不知道該相信誰?作為購買者，都希望物有所值。那么，究竟該如何選擇?

增加防火墻的目的為了更好地讓網(wǎng)絡(luò)安全。防火墻的選擇歸根結(jié)底還是要落到應(yīng)用上面來，因?yàn)樗械陌踩胧┠酥廉a(chǎn)品必然是為了促進(jìn)應(yīng)用而衍生出來的，如果不是網(wǎng)絡(luò)應(yīng)用的需求，網(wǎng)絡(luò)安全也無從談起。有的用戶在選購防火墻時把產(chǎn)品的架構(gòu)因素放在首位，即選用x86、ASIC、NP架構(gòu)或是它們的某種組合。

應(yīng)該說，產(chǎn)品的架構(gòu)決定了該產(chǎn)品的潛力，但并不代表該產(chǎn)品的能力。x86平臺的防火墻不是低性能的代名詞，ASIC +NP架構(gòu)也不代表著防火墻有強(qiáng)大的性能和豐富的功能。好的產(chǎn)品是廠商在硬件平臺的基礎(chǔ)上進(jìn)行卓越的開發(fā)才形成的。用戶要根據(jù)實(shí)際應(yīng)用情況和經(jīng)濟(jì)實(shí)力，判斷自己應(yīng)該買性能夠用的產(chǎn)品還是要兼顧未來的升級。

如今，由于支公司網(wǎng)絡(luò)中并沒有防火墻這個設(shè)備，大多的安全策略是在路由器或者三層交換機(jī)的上聯(lián)端口上配置的，所以該采用偏重流量檢測的防火墻，還是采用偏重病毒防御的防毒墻，又或者是采用集各種功能于一身的UTM. UTM具有高度集成、經(jīng)實(shí)踐檢驗(yàn)的安全功能，包括防火墻、入侵防御、防病毒、防間諜軟件、網(wǎng)絡(luò)應(yīng)用防病毒、VoIP安全、即時通訊、二層隔離網(wǎng)絡(luò)安全、 URL過濾以及實(shí)現(xiàn)安全的站點(diǎn)到站點(diǎn)和遠(yuǎn)程接入連接。在使用UTM時，依靠自己來判斷產(chǎn)品的好壞顯得太主觀，建議企業(yè)前去購買時，提前要到互聯(lián)網(wǎng)找一些防火墻相關(guān)的技術(shù)參數(shù);否則，會讓廠商或經(jīng)銷商忽悠了，最好帶上自己的網(wǎng)絡(luò)管理員，可以為購買后的使用免去不必要的麻煩。

一、UTM的性能及穩(wěn)定性

由于UTM將所有的安全功能置于一臺設(shè)備之內(nèi)，無形中也帶給了我們更高的風(fēng)險(xiǎn)。一旦UTM設(shè)備出現(xiàn)問題，所有的安全防御措施將陷入停頓;而一旦UTM設(shè)備被成功侵入或突破，整個網(wǎng)絡(luò)也將被赤裸裸地暴露在打擊之下。所以考察UTM設(shè)備的性能及穩(wěn)定性是我們在選購UTM時的重中之重。性能和穩(wěn)定性不好的防火墻，其他功能再好也是空談。

二、UTM的易用性

易用性的考察主要依賴于用戶體驗(yàn)。除了考察管理員是否易于操作和掌握UTM網(wǎng)關(guān)的使用外，很重要的需要考察是否有詳細(xì)的日志乃至數(shù)據(jù)中心。對UTM日常的管理主要是看日志、修訂策略、添加和刪除用戶等。管理方面用戶應(yīng)該注意界面的友好性，設(shè)置選項(xiàng)應(yīng)該通俗易懂，最好能支持中文操作界面。日志特別重要，好的日志系統(tǒng)應(yīng)該有詳細(xì)的記錄，包括防火墻日志、流量日志、網(wǎng)絡(luò)監(jiān)控日志等，日志應(yīng)該便于分類和排序，最好能以餅圖、柱狀圖等進(jìn)行顯示，方便統(tǒng)計(jì)和對數(shù)據(jù)的分析。

三、UTM的功能模塊及性價比

通常UTM設(shè)備包括防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、訪問控制、內(nèi)網(wǎng)監(jiān)控等多種功能。并不是每一個功能都是需要的，用戶不必要為了一些不需要的功能花冤枉錢。功能并不是越多越好，而是要看其是否實(shí)用。當(dāng)在一個防火墻服務(wù)器上實(shí)現(xiàn)太多的服務(wù)，結(jié)果就是這些服務(wù)對硬件資源的吞噬，最后導(dǎo)致防火墻性能的下降。在防火墻上，往往不會部署過多的應(yīng)用服務(wù)。

這就好像不要把雞蛋都放在一個籃子中的原理一樣。萬一防火墻服務(wù)器出現(xiàn)故障，那么VPN、訪問控制列表等功能都將實(shí)效。當(dāng)企業(yè)對網(wǎng)絡(luò)的穩(wěn)定性要求比較高的話，越加不能夠把多個服務(wù)集成在防火墻服務(wù)器上。

四、不要過于依賴相關(guān)技術(shù)參數(shù)

不要太過于相信實(shí)驗(yàn)數(shù)據(jù)。對于他們從實(shí)驗(yàn)室得出來的數(shù)字，筆者往往會給他們打個對折。打折后的數(shù)據(jù)，可能水分會少一點(diǎn)。所以，實(shí)驗(yàn)數(shù)據(jù)只能拿來參考。在有條件的情況下，網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境，對防火墻產(chǎn)品進(jìn)行測試。這測試出來的結(jié)果，對于我們防火墻選購才會有參考價值。

除以上四點(diǎn)關(guān)鍵外，還要廠商或經(jīng)銷商做好產(chǎn)品技術(shù)支持。我們知道，任何安全產(chǎn)品始終是網(wǎng)絡(luò)應(yīng)用的一個補(bǔ)充。不過可以肯定的是UTM是未來安全設(shè)備的一個發(fā)展方向，隨著技術(shù)的成熟這一切的問題都會迎刃而解。

UTM防火墻品牌不重要，因?yàn)樗鼈兏饔星?，每種設(shè)備性能也不一定適合你。購買前，把你的需求方案提交廠商或技術(shù)部門，給你做幾份方案?？茨欠N方案最適合你所在企業(yè)網(wǎng)絡(luò)需求。只要撥開這一層困惑迷霧，我相信你就能選擇你滿意UTM火墻設(shè)備，為你網(wǎng)絡(luò)安全保駕護(hù)航。

【編輯推薦】

1. UTM保衛(wèi)企業(yè)邊界安全
2. 練就UTM的金剛不壞之身
3. UTM安全網(wǎng)關(guān) 比你想象的更簡單！