【場(chǎng)景篇】
以“整合”應(yīng)對(duì)網(wǎng)絡(luò)安全
最近�����,在浙江一家服裝企業(yè)擔(dān)任信息主管的劉晉中有些犯難�。受到國(guó)際金融危機(jī)影響�,公司的業(yè)績(jī)有所下滑�,老板給予IT部門的預(yù)算開始削減。同時(shí)�,為了擴(kuò)展業(yè)務(wù)���,公司開始建立自己的網(wǎng)站��,部署電子商務(wù)系統(tǒng)��。
這個(gè)時(shí)候���,如何添加網(wǎng)絡(luò)安全設(shè)施�����,確保企業(yè)網(wǎng)絡(luò)安全就成為擺在劉晉中眼前的問題����。犯難的是,該企業(yè)之前并不是很重視網(wǎng)絡(luò)安全的防護(hù)�,也沒有專門的技術(shù)人員負(fù)責(zé)這塊,在面對(duì)防火墻����、防毒墻�、入侵檢測(cè)���、入侵防御���、反垃圾郵件網(wǎng)關(guān)等各種網(wǎng)安設(shè)備時(shí)��,劉晉中既覺得沒有足夠的IT預(yù)算去一一部署,也覺得如此多的網(wǎng)安設(shè)備復(fù)雜又繁瑣�����。
其實(shí),像劉晉中這樣的企業(yè)應(yīng)該是UTM(統(tǒng)一威脅管理)最典型的用戶�。因?yàn)閁TM是一種整合型的網(wǎng)絡(luò)安全設(shè)備,它將防火墻����、防毒墻�����、入侵檢測(cè)����、入侵防御���、反垃圾郵件等當(dāng)作功能模塊,整合封裝到一個(gè)硬件盒子里��,以“打包”的方式解決企業(yè)的網(wǎng)絡(luò)安全問題���,可以讓安全一步到位�。
四年前���,“統(tǒng)一威脅管理”(Unified Threat Management,簡(jiǎn)稱UTM)的概念被IDC提出,它將多種安全特性集成于一個(gè)硬設(shè)備里���, 構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)�����,提供一項(xiàng)或多項(xiàng)安全功能���。防病毒�、入侵檢測(cè)和防火墻等安全設(shè)備都被劃入這一類別。隨著時(shí)間的推移��,UTM設(shè)備因?yàn)槠洳渴痨`活和易于管理��,逐漸為廣大企業(yè)用戶所接受����,成為許多企業(yè)信息安全長(zhǎng)城的第一道“關(guān)口”。
經(jīng)過四年多的發(fā)展���,經(jīng)歷了初始的狂熱和短期的沉寂�,UTM目前進(jìn)入了穩(wěn)定快速的發(fā)展階段。早在2006年3月,IDC在其年度報(bào)告中就預(yù)測(cè)當(dāng)年UTM市場(chǎng)增長(zhǎng)率為24.9%�;2007年3月,又在年度報(bào)告中稱UTM實(shí)際增長(zhǎng)率的統(tǒng)計(jì)數(shù)據(jù)為84.3%�,與此相應(yīng)的防火墻市場(chǎng)的增長(zhǎng)率則低于預(yù)期�����。對(duì)此,分析認(rèn)為用戶對(duì)安全網(wǎng)關(guān)產(chǎn)品的需求并沒有下降,整體仍然保持比較高的增長(zhǎng)速度�����,防火墻市場(chǎng)空間下降的主要原因是“用戶對(duì)UTM認(rèn)可所致”��。
事實(shí)上����,如今的網(wǎng)絡(luò)環(huán)境正在變得更加復(fù)雜��,傳統(tǒng)防火墻已經(jīng)很難滿足企業(yè)應(yīng)用的安全需求�,企業(yè)在選擇種類繁多的安全產(chǎn)品時(shí)����,迫切需求一套高性能的安全產(chǎn)品來解決日益猖獗的病毒木馬���,以及各種各樣的網(wǎng)絡(luò)攻擊行為。作為安全網(wǎng)關(guān)產(chǎn)品族中的新秀����,UTM產(chǎn)品已經(jīng)“嶄露頭角”�����。防火墻/VPN硬件和統(tǒng)一威脅管理硬件覆蓋的客戶是同一類,用戶采購(gòu)時(shí)通常只采購(gòu)兩種產(chǎn)品中的一種��。防火墻功能作為 UTM中的基本功能之一,在產(chǎn)品表現(xiàn)形式上已經(jīng)非常成熟����,再加上防病毒、入侵防御���、內(nèi)容過濾等功能�����,UTM產(chǎn)品在功能上越來越豐富��,越來越多的企業(yè)選用 UTM產(chǎn)品作為企業(yè)信息安全的保護(hù)傘。
從UTM的行業(yè)發(fā)展來看�,目前起到重要促進(jìn)作用的是政府和中小企業(yè)��。出于安全防御需求、部署實(shí)施和成本預(yù)算的綜合考慮���,政府和中小企業(yè)對(duì)于安全有著“簡(jiǎn)單化”的需求,包括選擇部署簡(jiǎn)單化、策略實(shí)施簡(jiǎn)單化�、安全防御簡(jiǎn)單化��、管理維護(hù)簡(jiǎn)單化。這就使他們對(duì)UTM的接受程度比較高。對(duì)他們來說����,UTM無論是購(gòu)買成本還是維護(hù)成本都比較低����,而且UTM完全能滿足他們正常業(yè)務(wù)的運(yùn)轉(zhuǎn)。
相對(duì)而言�����,在電信、金融、保險(xiǎn)等行業(yè)���,由于網(wǎng)絡(luò)統(tǒng)一規(guī)劃性比較強(qiáng)���,UTM的被接受程度相對(duì)低了一些�,很多用戶只是在某一個(gè)領(lǐng)域��、某一部門,或者某一網(wǎng)段運(yùn)用UTM��,而不是主要依賴于UTM��,因此尚沒有形成大規(guī)模的普遍需求�����。但是隨著信息化的不斷深入,以及企業(yè)用戶對(duì)于網(wǎng)絡(luò)安全的要求不斷提高,在技術(shù)和性能上不斷尋求突破的UTM安全網(wǎng)關(guān)產(chǎn)品也會(huì)在大型企業(yè)內(nèi)普及開來。
【建議篇】
結(jié)合實(shí)際需求 不要貪多求全
企業(yè)用戶在選購(gòu)UTM產(chǎn)品時(shí)�����,應(yīng)該從自身的實(shí)際狀況考慮����,結(jié)合當(dāng)前實(shí)際需求及未來的規(guī)范發(fā)展�,多從自身實(shí)際應(yīng)用角度考慮,而不要貪多求全���。
首先�����,要考察UTM的性能及穩(wěn)定性。由于UTM將所有的安全功能置于一臺(tái)設(shè)備之內(nèi)�����,無形中也帶給了企業(yè)更高的風(fēng)險(xiǎn)�����。一旦UTM設(shè)備出現(xiàn)問題��,所有的安全防御措施將陷入停頓。所以考察UTM設(shè)備的性能及穩(wěn)定性是企業(yè)在選購(gòu)UTM時(shí)的重中之重��。性能及穩(wěn)定性包括設(shè)備抗攻擊能力�、性能處理技術(shù)等。
其次�����,要考察UTM的功能模塊�����。通常UTM設(shè)備包括防火墻、VPN��、網(wǎng)關(guān)防病毒��、 IPS、訪問控制����、內(nèi)網(wǎng)監(jiān)控等多種功能����。目前有些廠商為了解決互聯(lián)網(wǎng)濫用的問題,在UTM設(shè)備里面也集成了強(qiáng)大的上網(wǎng)行為管理模塊。因此用戶在選擇UTM 設(shè)備的時(shí)候��,除了考察外部安全功能模塊外�,也最好能采購(gòu)集成上網(wǎng)行為管理內(nèi)網(wǎng)安全模塊的設(shè)備,尤其對(duì)于中小企業(yè)�����,籍此實(shí)現(xiàn)“讓安全一步到位”�����。
還有,要考察UTM的易用性�����。易用性的考察主要依賴于用戶體驗(yàn)����。除了考察管理員是否易于操作和掌握UTM網(wǎng)關(guān)的使用外,更重要的是需要考察是否有詳細(xì)的日志�����。在管理方面應(yīng)該注意界面的友好性�����,設(shè)置選項(xiàng)應(yīng)該通俗易懂�����,最好能支持中文操作界面�。另外�,好的日志系統(tǒng)應(yīng)該有詳細(xì)的記錄�����,包括防火墻日志、流量日志�、網(wǎng)絡(luò)監(jiān)控日志等���,日志應(yīng)該便于分類和排序����,最好能以餅圖�、柱狀圖等進(jìn)行顯示��,方便管理員進(jìn)行統(tǒng)計(jì)和對(duì)數(shù)據(jù)的分析。
最后��,要考察UTM的性價(jià)比�����。如何在合理的設(shè)備投資和實(shí)際上所能提供的功能��、性能之間尋找一個(gè)黃金平衡點(diǎn)將是用戶選擇產(chǎn)品的一個(gè)重要任務(wù)。和其他設(shè)備一樣�,UTM設(shè)備也沒有絕對(duì)的好與不好���,只有相對(duì)的適合與不適合。比如,如果企業(yè)是需要比較低端的UTM設(shè)備��,信息系統(tǒng)未來也沒有大規(guī)模擴(kuò)展計(jì)劃,那么選擇UTM設(shè)備應(yīng)該重點(diǎn)考慮價(jià)格�����、易用性等�����。
而如果需要選擇一款中高檔UTM設(shè)備�����,則用戶重點(diǎn)需要考慮UTM設(shè)備的性能是否能夠滿足需求��、每種安全應(yīng)用是否實(shí)際可用����、未來的擴(kuò)展性如何等。
在企業(yè)網(wǎng)絡(luò)中的結(jié)構(gòu)位置
【產(chǎn)品篇】
整合各種主流功能的UTM產(chǎn)品推薦
瑞星UTM網(wǎng)關(guān)
是一款主打防毒牌的高端UTM網(wǎng)關(guān)設(shè)備��,主要面向政府�����、教育及金融�����、電信���、能源�����、制造��、貿(mào)易等領(lǐng)域的大型和超大型應(yīng)用�。RSW9300可以根據(jù)用戶的不同需要,具備針對(duì)HTTP、FTP��、SMTP、POP3以及MSN協(xié)議的內(nèi)容檢查���、清除病毒的能力����,它采用了瑞星第八代VUE虛擬機(jī)脫殼引擎�����,目前可以有效地清除70萬種病毒����。
除了病毒掃描和攔截之外���,RSW9300還包括數(shù)據(jù)包狀態(tài)檢測(cè)過濾的防火墻����、IP安全虛擬專用網(wǎng)(IPSec-VPN)、網(wǎng)絡(luò)緩存和本地記錄���,以及可擴(kuò)充模塊包括垃圾郵件過濾�����、網(wǎng)址過濾等�,可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯��。
啟明星辰天清漢馬
天清漢馬USG-10000E是定位于解決運(yùn)營(yíng)商��、高校�����、大企業(yè)等骨干網(wǎng)絡(luò)信息安全問題的一體化安全網(wǎng)關(guān)����。除了最基本的防火墻功能,USG-10000E還包括入侵防御、防病毒���、VPN���、反垃圾郵件、內(nèi)容過濾�����、NetFlow等��。
在USG-10000E中����,為了將功能和性能的平衡做到最佳,采用了應(yīng)用層業(yè)務(wù)串行與并行歸一處理技術(shù)��,將并行處理和串行處理有機(jī)融合到一起��,通過調(diào)度系統(tǒng)統(tǒng)一管理���,做到自動(dòng)業(yè)務(wù)分配、自動(dòng)調(diào)整�、自動(dòng)處理。同時(shí),為了避免單核故障對(duì)整個(gè)系統(tǒng)產(chǎn)生影響����,USG-10000E中采用了單核故障自動(dòng)恢復(fù)技術(shù),確保業(yè)務(wù)運(yùn)行和設(shè)備整體的穩(wěn)定性��、可靠性����。
金山
采用統(tǒng)一的硬件平臺(tái)和操作系統(tǒng)支持環(huán)境,實(shí)現(xiàn)各種安全功能的模塊化��,提供防病毒���、郵件過濾�����、Web過濾����、VPN�、IPS、應(yīng)用控制�����、防火墻等實(shí)用安全功能,它還采用了先進(jìn)反病毒引擎�、自動(dòng)更新病毒特征庫(kù)����、“行為分析+特征檢測(cè)”的垃圾郵件過濾方法、動(dòng)態(tài)特征碼識(shí)別技術(shù)����、基于 HTTP協(xié)議的web過濾、VPN 接入、郵件延遲審核、策略式網(wǎng)頁(yè)檢測(cè)等一系列安全技術(shù)��,做到安全防護(hù)統(tǒng)籌聯(lián)合,高效率、低成本、全防護(hù)���。
金山KingGate UTM還引入聯(lián)動(dòng)操作機(jī)制����,自動(dòng)檢測(cè)客戶端金山毒霸防毒各項(xiàng)狀態(tài)�����,匹配客戶端聯(lián)動(dòng)準(zhǔn)入規(guī)則�����,共同實(shí)現(xiàn)客戶端的安全防御,同時(shí)提供免費(fèi)的在線殺毒功能���,保證整個(gè)局域網(wǎng)絡(luò)的安全����。
聯(lián)想網(wǎng)御安全網(wǎng)關(guān)
是基于ASIC平臺(tái)的UTM產(chǎn)品�,其特色在于支持虛擬域功能,可以將一臺(tái)物理設(shè)備劃分成多個(gè)虛擬域(虛擬UTM)每一個(gè)虛擬域都擁有獨(dú)立的工作模式(路由�、NAT、透明等)����、接口IP、路由表���、安全策略��、用戶等參數(shù)�,便于下連多個(gè)網(wǎng)段或單位/部門的時(shí)候使用����。同時(shí),它的網(wǎng)絡(luò)接口采用模塊化設(shè)計(jì)��,可以有效保護(hù)投資��。
聯(lián)想網(wǎng)御UTM產(chǎn)品將多種安全功能融合到單一的基于ASIC的硬件平臺(tái)�。它的圖形化界面、多合一的模式����,使得安裝和管理非常便捷。狀態(tài)檢測(cè)防火墻����、IPSec和SSL VPN、入侵防御�����、防病毒�����、反垃圾郵件�、和Web過濾等多種功能組成了全面的����、高性價(jià)比的企業(yè)級(jí)的網(wǎng)絡(luò)安全平臺(tái)���,完全可以滿足大型企業(yè)網(wǎng)�、校園網(wǎng)����、數(shù)據(jù)中心和運(yùn)營(yíng)商網(wǎng)絡(luò)的需求。
天融信TopGate網(wǎng)絡(luò)衛(wèi)士安全網(wǎng)關(guān)
安全網(wǎng)關(guān)是包括防火墻��、虛擬專用網(wǎng)( VPN )����、入侵檢測(cè)和防御( IPS )、網(wǎng)關(guān)防病毒�、 WEB 內(nèi)容過濾等安全防護(hù)特性的 UTM 產(chǎn)品。TopGate不但能為用戶提供全方位的安全威脅防護(hù)方案���,還為用戶提供全面的策略管理����、服務(wù)質(zhì)量 (QoS) 保證、負(fù)載均衡��、高可用性 (HA) 以及網(wǎng)絡(luò)帶寬管理等功能��。
可靈活部署在大中型企業(yè)及其分支機(jī)構(gòu)或中小企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)處����,保護(hù)用戶網(wǎng)絡(luò)免受黑客攻擊、病毒�����、蠕蟲����、木馬��、惡意代碼等混合威脅的侵害����;同時(shí)還為用戶提供簡(jiǎn)便統(tǒng)一地管理各種安全特性及相關(guān)日志、報(bào)告��,大大降低了設(shè)備部署���、管理和維護(hù)的運(yùn)營(yíng)成本����。除此之外, TopGate 還為企業(yè)提供了 CleanVPN 服務(wù)�,使得用戶通過 VPN 遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)時(shí),確保 VPN 數(shù)據(jù)沒有病毒等有害內(nèi)容��。
網(wǎng)御神州網(wǎng)神
是特別針對(duì)中小企業(yè)的UTM設(shè)備����,該產(chǎn)品無論在功能上還是性能上都為用戶做了充分的考慮。在功能方面�����,U400集成了防火墻��、VPN���、IPS��、反垃圾郵件��、防病毒�、帶寬管理和內(nèi)容過濾等功能,這樣可以有效地節(jié)約客戶網(wǎng)絡(luò)建設(shè)成本�。另外還支持IPSEC/SSL/L2TP/PPTP VPN,支持動(dòng)態(tài)域名����,可以為出差人員或者分支機(jī)構(gòu)提供私有的網(wǎng)絡(luò)安全通道。
在性能方面�����,U400采用了網(wǎng)御神州最新的SECOS操作系統(tǒng)�,能獨(dú)立實(shí)現(xiàn)各種安全訪問控制,擺脫了龐大復(fù)雜的通用操作系統(tǒng)束縛�����,且系統(tǒng)內(nèi)核穩(wěn)定����,安全應(yīng)用功能隨需擴(kuò)展��,這都有效地保證了實(shí)現(xiàn)UTM的高性能�����。在管理方面,U400支持集中管理���,策略集中配置��、下發(fā)��、更改��、升級(jí)等���,并能集中收集日志信息,方便審計(jì)����。
是一款全面安全硬件設(shè)備,包括了所有的安全防護(hù)功能��,以及全面的安全特征簽名升級(jí)����、硬件保修以及特惠的可擴(kuò)展到3年的技術(shù)支持服務(wù)。
具體的功能特色包括:企業(yè)級(jí)防火墻����,通過集成SmartDefense IPS簽名工具和基于協(xié)議異常檢測(cè)的入侵防護(hù)技術(shù)來保護(hù)關(guān)鍵的業(yè)務(wù)服務(wù)系統(tǒng)�;網(wǎng)關(guān)級(jí)防病毒����,防間諜軟件:UTM-1全面安全解決方案適用實(shí)時(shí)更新的病毒列表,防間諜軟件簽名和基于行為異常防護(hù)的技術(shù)來組織病毒或者其它的惡意代碼通過網(wǎng)關(guān)進(jìn)入內(nèi)網(wǎng)���;郵件安全:集成的郵件入侵防護(hù)IPS技術(shù)能夠保護(hù)關(guān)鍵的郵件服務(wù)器協(xié)議免收各種針對(duì)郵件系統(tǒng)基礎(chǔ)構(gòu)架的攻擊�;Web過濾:通過包括了超過兩千萬個(gè)URL站點(diǎn)地址的Web內(nèi)容過濾技術(shù)阻止用戶訪問不合適的Web站點(diǎn)����。
綜合安全服務(wù)網(wǎng)關(guān)
綜合安全服務(wù)網(wǎng)關(guān)是 Crossbeam 公司為實(shí)現(xiàn)全面的網(wǎng)絡(luò)、郵件和 Web 安全性而開發(fā)的旗艦級(jí)高端綜合安全服務(wù)網(wǎng)關(guān)���。
網(wǎng)絡(luò)安全綜合服務(wù)網(wǎng)關(guān)可提供豐富的安全功能��、高可靠性、高吞吐能力及綜合的安全防護(hù)���,包括集成的負(fù)載均衡和流排序功能(X-Stream)等Crossbeam 專利的技術(shù)����。
具體配置:機(jī)架板卡式結(jié)構(gòu)�����,全冗余配置;14個(gè)插槽�,全交叉獨(dú)立總線,4個(gè)獨(dú)立電源����,多風(fēng)扇;最高可提供48個(gè)端口���,包括8個(gè)萬兆端口及40個(gè)千兆端口��;性能方面����,最高可提供40Gbps的防火墻吞吐量�����、30Gbps的IPS吞吐量�、 12Gbps的防病毒網(wǎng)關(guān)吞吐量、16Gbps的數(shù)據(jù)庫(kù)審計(jì)吞吐量等��。
電信級(jí)安全網(wǎng)關(guān)
采用多核Plus架構(gòu)����,是一款電信級(jí)萬兆安全網(wǎng)關(guān)�。多核Plus架構(gòu)不但能提高Hillstone SA系列安全網(wǎng)關(guān)防病毒�、QOS、VPN����、SSL VPN等單一功能的性能,還能有效改善多功能網(wǎng)關(guān)整體性能隨功能打開的數(shù)量大幅下降的問題��。該產(chǎn)品可提供高達(dá)20G的防火墻吞吐能力和10G的VPN處理能力���,同時(shí)集成了2個(gè)XFP萬兆光纖接口����、12個(gè)SFP千兆光纖接口和1個(gè)千兆電口���,既可以滿足電信級(jí)用戶的帶寬���、性能要求����,又方便用戶對(duì) Hillstone SA-5180的管理控制�。
萬兆安全網(wǎng)關(guān)還集成了防病毒廠商卡巴斯基的防病毒庫(kù)�����,并采用業(yè)界先進(jìn)的并行流掃描技術(shù)�,在默認(rèn)配置下其性能可達(dá)1.68Gbps。同時(shí)���,此安全特性還能夠?yàn)橛脩籼峁?shí)時(shí)的���、可靠的在線升級(jí)服務(wù)。
【應(yīng)用篇】
成本低 功能多 易管理
優(yōu)點(diǎn)在于整合化���,它以較低的成本滿足了企業(yè)對(duì)信息處理安全的大部分需求�����,避免了使用單一安全設(shè)備所帶來的高昂的采購(gòu)維護(hù)成本和復(fù)雜的部署管理工作���, 并提供簡(jiǎn)單易用的界面給非專業(yè)的用戶進(jìn)行常規(guī)的維護(hù)工作。因此�, UTM在企業(yè)中能發(fā)揮它采購(gòu)維護(hù)成本低、功能多����、整合性高��、易于管理部署的優(yōu)點(diǎn)����。
“多而不?����!?/B>
但是�����,目前很多企業(yè)用戶對(duì)于UTM產(chǎn)品存在一種“偏見”����,即“多而不專”����。由于 UTM是整合了防火墻、防病毒�、入侵檢測(cè)等多種安全功能,這樣,UTM產(chǎn)品就能以一頂百得代替所有的安全產(chǎn)品����,企業(yè)就不用去花費(fèi)重金購(gòu)買單獨(dú)的安全產(chǎn)品����, 從而有效地降低成本投入。殊不知���,UTM把很多功能都集合在一起�,好像“1+1+1=3”���,但實(shí)際的應(yīng)用情況并不只是簡(jiǎn)單地將多個(gè)“1”相加在一起��。
瑞星公司高級(jí)技術(shù)經(jīng)理劉宏偉認(rèn)為����,正如任何事情都有其兩面性一樣�����,UTM的缺點(diǎn)也同樣來自于它的整合性���,由于UTM在一個(gè)設(shè)備上整合了多個(gè)安全功能模 塊�,受處理能力及成本的限制,UTM設(shè)備所實(shí)現(xiàn)的反垃圾郵件��、反病毒等功能離單一安全設(shè)備的水平尚有一定的差距�,達(dá)不到單一安全設(shè)備的安全級(jí)別。此 外�����,UTM設(shè)備在啟用基本防火墻功能的情況下�����,再開啟反病毒���、入侵檢測(cè)等耗費(fèi)系統(tǒng)資源的應(yīng)用模塊時(shí)����,整體性能會(huì)有所下降��,某些產(chǎn)品甚至?xí)?0%多的性能 下降��。
需要注意的是�,這些缺陷更多出現(xiàn)在低端UTM上,并不等同于所有的UTM均會(huì)存在這樣的缺陷。在高端UTM領(lǐng)域�,一些特有的技術(shù)設(shè)計(jì)會(huì)在很大程度上彌 補(bǔ)“多而不專”的缺陷���。比如機(jī)架板卡式的高端UTM。它利用硬件板卡技術(shù)���,每一種安全應(yīng)用均有獨(dú)立的CPU�、存儲(chǔ)���、總線等����,各安全應(yīng)用之間不存在資源的競(jìng) 爭(zhēng)�����,因此能夠保證“魚與熊掌兼得”���,即使是在多種安全功能同時(shí)打開時(shí)����,仍然能夠保證整個(gè)UTM設(shè)備的高性能。同時(shí)還能夠?qū)崿F(xiàn)所謂“數(shù)據(jù)量安全調(diào)度”的能 力�����,提高UTM設(shè)備的處理效率�����。
產(chǎn)品細(xì)分 用戶區(qū)隔
經(jīng)過這些年的發(fā)展�,無論從產(chǎn)品架構(gòu)、功能配置�����、還是用戶選擇上�,UTM產(chǎn)品逐漸進(jìn)入一個(gè)成熟的應(yīng)用時(shí)期,高中低檔產(chǎn)品各有針對(duì)����,大中小型企業(yè)各取所需。
目前���,低端UTM產(chǎn)品在一些中小企業(yè)����,特別是一些小型企業(yè)或公司用戶中的應(yīng)用還是相對(duì)比較多的。對(duì)于這些的中小企業(yè)而言����,他們的網(wǎng)絡(luò)系統(tǒng)帶寬較低,對(duì) 安全的要求也不高��,另外�,他們的項(xiàng)目預(yù)算也通常有限,因此����,這些中小企業(yè)對(duì)UTM產(chǎn)品的需求主要集中在:安全功能全��、管理簡(jiǎn)單�����、價(jià)格便宜等方面�����,而對(duì) UTM的性能��、安全的專業(yè)性等方面并沒有太多的要求�。
由于低端UTM產(chǎn)品在性能上的一些限制��,在中大型企業(yè)的應(yīng)用相對(duì)較少�����。事實(shí)上�����,在中大型企業(yè)用戶�,通常應(yīng)用的是一些高端的UTM產(chǎn)品����。這些產(chǎn)品通常為 機(jī)架板卡式結(jié)構(gòu),各安全功能通過獨(dú)立的硬件板卡提供�,每一塊板卡均配置了獨(dú)立的系統(tǒng)資源,包括獨(dú)立的CPU�����、獨(dú)立的存儲(chǔ)��、獨(dú)立的總線等��。板卡間不存在資源 的競(jìng)爭(zhēng)�����,因此能夠做到即使是多個(gè)安全功能全部打開的情況下,仍然保證系統(tǒng)的高性能����。而在安全功能方面,高端UTM上的每一種安全功能均為所謂的 “best-of-breed”同類最佳的安全應(yīng)用�,通常是在全球市場(chǎng)及技術(shù)均居前列的安全引擎,保證了系統(tǒng)的高安全性及足夠的安全功能��。一些中大型企業(yè) 應(yīng)用了這些產(chǎn)品��,效果良好�����,包括大型制造業(yè)���、汽車、電力���、學(xué)校����、政府,以及金融類���、運(yùn)營(yíng)商用戶等�。
此外��,大型企業(yè)和中小型企業(yè)對(duì)安全產(chǎn)品的需求存在較大區(qū)別��。大型企業(yè)使用UTM產(chǎn)品注重產(chǎn)品的可用性��、可靠性和可擴(kuò)展性�。為避免出現(xiàn)系統(tǒng)的單點(diǎn)故障導(dǎo) 致正常的應(yīng)用受到影響,要求UTM產(chǎn)品具有雙機(jī)熱備����、UTM群集等功能;高性能�����、多功能的合成安全產(chǎn)品來解決網(wǎng)絡(luò)中主要的安全威脅����,如防火墻、入侵檢測(cè)與 防護(hù)�、網(wǎng)關(guān)防病毒�����、內(nèi)容過濾和VPN等功能����;擴(kuò)展功能模塊或增加網(wǎng)絡(luò)接口模塊為將來的安全系統(tǒng)擴(kuò)展留下空間����。
從行業(yè)角度而言,各行業(yè)對(duì)于網(wǎng)絡(luò)安全的關(guān)注點(diǎn)也有所不同�,比如教育行業(yè):訪問不合適的內(nèi)容,造成潛在的責(zé)任問題�;傳播病毒、蠕蟲和其他基于內(nèi)容的攻 擊�;由于濫用校園網(wǎng)消耗寬帶資源,降低網(wǎng)絡(luò)效率�����。政府��、金融行業(yè):識(shí)別和防護(hù)從外部和內(nèi)部進(jìn)入的混合型安全攻擊�����;阻擋病毒��、蠕蟲等通過Email�、Web 和文件的傳遞進(jìn)入網(wǎng)絡(luò)。醫(yī)療行業(yè):確保病人記錄以加密格式存儲(chǔ)和傳輸����;確保醫(yī)院的IT系統(tǒng)不會(huì)因網(wǎng)絡(luò)入侵而受損。這些彼此不同的關(guān)注點(diǎn)對(duì)于UTM產(chǎn)品的應(yīng) 用也存在不同側(cè)重的影響�。
總之,需要明確的一點(diǎn)是��,UTM的設(shè)計(jì)思路應(yīng)始終是把安全放在第一位�����,只有在安全之上��,才能談性能�����。事實(shí)上����,和其他企業(yè)級(jí)IT產(chǎn)品一樣��,UTM的技術(shù) 壽命一般是三年���,因此無論采用何種技術(shù),只要能夠達(dá)到企業(yè)的出口帶寬����,并能夠滿足企業(yè) 3年的發(fā)展需求就夠了。因此要計(jì)算3年總擁有成本���,再評(píng)估適合自己的產(chǎn)品���。
相對(duì)單一網(wǎng)絡(luò)安全設(shè)備����,部署UTM更容易管理和維護(hù)
【體驗(yàn)篇】
上海電力公司確保奧運(yùn)供電
作為2008年北京奧運(yùn)會(huì)的協(xié)辦城市,上海和北京一樣��,為奧運(yùn)會(huì)成功舉辦做了大量準(zhǔn)備工作��,電力保障就是其中的重要一環(huán)�����。為確保上海奧運(yùn)會(huì)期間安全穩(wěn) 定供電��,上海電力公司以確保大電網(wǎng)運(yùn)行安全����、確保涉奧場(chǎng)館和重要用戶供電安全為核心,制定了奧運(yùn)保電總體方案��,全力以赴做好迎峰度夏工作�。
電力調(diào)度網(wǎng)是電力二次系統(tǒng)中最重要的部分,其主要業(yè)務(wù)包括調(diào)度自動(dòng)化系統(tǒng) SCADA/EMS����、電廠自動(dòng)監(jiān)控系統(tǒng)、變電站自動(dòng)化系統(tǒng)���、繼電保護(hù)系統(tǒng)�����、故障錄波信息管理系統(tǒng)��、電能量計(jì)量系統(tǒng)等��。這些業(yè)務(wù)需要采集電力設(shè)備運(yùn)行的實(shí)時(shí) 數(shù)據(jù)�����,對(duì)設(shè)備運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控�����,因此對(duì)業(yè)務(wù)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性有著嚴(yán)格的要求�����。
在電力調(diào)度系統(tǒng)傳統(tǒng)的解決方案中�,防火墻可以提供網(wǎng)絡(luò)層的訪問控制,但對(duì)更高層的威脅無能為力�。為了及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵和威脅,電力調(diào)度網(wǎng)絡(luò)中通常 都部署了入侵檢測(cè)系統(tǒng)(IDS)設(shè)備���。通過IDS的部署�����,系統(tǒng)管理員可以對(duì)整個(gè)網(wǎng)絡(luò)的流量有比較清晰的把握�����,并從IDS給出的報(bào)警中識(shí)別出網(wǎng)絡(luò)入侵行為���。 但是由于IDS是旁路部署的,主要作用是集中在風(fēng)險(xiǎn)管理上�,并不主動(dòng)防御所發(fā)現(xiàn)的攻擊行為,因此需要在線式的實(shí)時(shí)防護(hù)產(chǎn)品實(shí)現(xiàn)防御功能���。
經(jīng)過謹(jǐn)慎評(píng)估�,上海市電力公司選擇了啟明星辰的天清漢馬USG一體化安全網(wǎng)關(guān)(UTM)來為電力調(diào)度網(wǎng)提供安全保障�。作為天清漢馬UTM基本的功能模 塊,其防火墻功能可以提供完善的狀態(tài)檢測(cè)和訪問控制功能���。除此之外�,天清漢馬 UTM還提供網(wǎng)關(guān)防病毒��、入侵防御(IPS)��、抗拒絕服務(wù)攻擊等高級(jí)安全特性����。以入侵防御為例,天清漢馬UTM能夠針對(duì)緩沖溢出攻擊��、木馬后門、安全漏洞 攻擊��、蠕蟲病毒�����、數(shù)據(jù)庫(kù)攻擊等各種入侵提供有效的防范�����,并能夠?qū)崟r(shí)阻斷����,提高了安全性。
在本項(xiàng)目中��,天清漢馬UTM部署于上海市電力調(diào)度中心以及下屬的地調(diào)�����、區(qū)調(diào)���、超高壓調(diào)度等20余個(gè)業(yè)務(wù)網(wǎng)點(diǎn)�����。在這樣大規(guī)模的部署中���,如何監(jiān)控各業(yè)務(wù)網(wǎng)點(diǎn)設(shè)備的運(yùn)行情 況是一個(gè)難題�,而通過天清漢馬UTM集中管理中心��,這一問題得以解決����。
集中管理中心提供基于設(shè)備組的集中配置����、實(shí)時(shí)監(jiān)控、統(tǒng)一升級(jí)功能�����。通過集中配置��,管理員可以對(duì)組內(nèi)的設(shè)備統(tǒng)一下發(fā)安全策略���;通過實(shí)時(shí)監(jiān)控����,管理員在中 心機(jī)房足不出戶就可以掌握各個(gè)地、區(qū)調(diào)度中心安全網(wǎng)關(guān)的運(yùn)行狀況����,以及各設(shè)備上承載業(yè)務(wù)的具體情況;另外�����,通過集中管理中心��,可以統(tǒng)一部署病毒庫(kù)�����、入侵防 御特征庫(kù)的升級(jí)策略����。
山西出入境檢驗(yàn)檢疫局簡(jiǎn)化網(wǎng)絡(luò)安全
隨著政府工作信息化應(yīng)用程度的不斷加深,信息安全�����、網(wǎng)絡(luò)安保成為了山西檢驗(yàn)檢疫局網(wǎng)絡(luò)安全工作的重中之重�����,信息安全需求極為迫切。
山西出入境檢驗(yàn)檢疫局下設(shè)6個(gè)分局��、17個(gè)處室�����、5個(gè)直屬企事業(yè)單位和1個(gè)社會(huì)團(tuán)體��,超過1000多客戶端分布在山西全省范圍內(nèi)��,網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜�。
政府部門的工作性質(zhì)決定了與一般個(gè)人用戶對(duì)網(wǎng)絡(luò)安全不同的需要�����。所以���,其信息安全問題�����,如敏感信息的泄露�、黑客的侵?jǐn)_���、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī) 病毒等�,都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。由于即時(shí)通訊工具���、電子郵件的普遍使用����,以及日常工作的其他需要���,內(nèi)網(wǎng)上的應(yīng)用系統(tǒng)越來越多�、越來越復(fù)雜�。而與 外網(wǎng)的連接,使信息安全問題顯得日益突出��。
在內(nèi)部用戶對(duì)外網(wǎng)訪問日益擴(kuò)大的同時(shí)���,外部用戶也越來越多地訪問內(nèi)網(wǎng)服務(wù)器�����,在這種情況下����,內(nèi)網(wǎng)和外網(wǎng)間必須有足夠強(qiáng)大的隔離措施才能保證內(nèi)部系統(tǒng)不容易遭到攻擊。
此外�����,在移動(dòng)存儲(chǔ)介質(zhì)大量使用的現(xiàn)狀下�����,來自內(nèi)網(wǎng)的威脅也在不斷擴(kuò)大���,病毒隨著移動(dòng)存儲(chǔ)介質(zhì)的傳遞可以迅速蔓延�����。內(nèi)網(wǎng)服務(wù)器或客戶機(jī)一旦感染病毒,會(huì) 迅速傳播至其它網(wǎng)絡(luò)節(jié)點(diǎn)���,甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓��。而隨著往來電子郵件傳播含毒郵件和垃圾郵件����,也會(huì)對(duì)山西檢驗(yàn)檢疫局的正常工作及形象帶來極大的影響。像 “小偷”一樣的后門程序���,就有可能造成資料泄露���,后果不堪設(shè)想。
為保證政府網(wǎng)絡(luò)系統(tǒng)的安全�����,山西出入境檢驗(yàn)檢疫局根據(jù)自身需要��,最終采用了瑞星防毒墻RSW產(chǎn)品系列����,在山西出入境檢驗(yàn)檢疫局及各分局、下屬企事業(yè)單位的網(wǎng)絡(luò)出口處部署RSW產(chǎn)品作為其整體防毒的第一條防線�����,然后結(jié)合軟件防病毒系統(tǒng)���,組成立體防病毒體系���。
作為一款防毒特色的UTM����,瑞星防毒墻RSW產(chǎn)品能夠在企業(yè)網(wǎng)絡(luò)的入口處提供“即插即用”式的保護(hù)�����,將絕大多數(shù)病毒悄然擋在企業(yè)局域網(wǎng)外面�,并且不會(huì) 像殺毒軟件那樣占用網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)的大量系統(tǒng)資源,不需要占用網(wǎng)絡(luò)管理員大量的時(shí)間進(jìn)行安裝和維護(hù)���,從而能夠大大地提高企業(yè)安全管理的效率����。
現(xiàn)在���,山西檢驗(yàn)檢疫局網(wǎng)絡(luò)安全管理的繁瑣工作已大大簡(jiǎn)化�,在提高了網(wǎng)絡(luò)安全系數(shù)的同時(shí)���,也節(jié)省了大量的人力物力。
