拨开一层迷雾 放心来选购UTM防火墙

network

拨开一层迷雾 放心来选购UTM防火墙
随着业务不断地扩大，网络也在无形中变大了，有过去几十台到如今的几百台计算机，这么大的一个网络越来越难管理了，最近一段时间，下面的分公司经常反映网络不正常，经常出现丢包、卡、网速慢等现象，问题出了，又没有找到问题根本原因，让领导很失望。

在这种束手无策的情况下，正好有个厂商电话，让我心中有了目标。他们给出一个建议：在原有的网络中，增加一台安全性能比较好的防火墙。

我们也知道，不断变化的安全威胁和新的安全挑战使得维护网络安全愈加困难。为应对这一困境而实施的新的安全产品和安全策略不仅大大增加了复杂程度，更重要的是，增加了维护自己的网络和用户安全的成本。作为一个中小企业来说，购买一台防火墙需要领导下很大决心的，毕竟它的价格不菲。

然而，作为一名网络管理者，面对这种情形，进退两难。说实话一直以来就想过在网关这一层架设防毒过滤产品，综合来，比较去，"性能"这个参数长久以来没有说服我这个负责人。担心购买后，并不是产品说明那样神气。这年头让厂商或托忽悠的不知道该相信谁？作为购买者，都希望物有所值。现在，我困惑了，究竟该如何选择？

增加防火墙的目的为了更好地让网络安全。防火墙的选择归根结底还是要落到应用上面来，因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的，如果不是网络应用的需求，网络安全也无从谈起。有的用户在选购防火墙时把产品的架构因素放在首位，即选用x86、ASIC、NP架构或是它们的某种组合。

应该说，产品的架构决定了该产品的潜力，但并不代表该产品的能力。x86平台的防火墙不是低性能的代名词，ASIC +NP架构也不代表着防火墙有强大的性能和丰富的功能。好的产品是厂商在硬件平台的基础上进行卓越的开发才形成的。用户要根据实际应用情况和经济实力，判断自己应该买性能够用的产品还是要兼顾未来的升级。

如今，由于支公司网络中并没有防火墙这个设备，大多的安全策略是在路由器或者三层交换机的上联端口上配置的，所以该采用偏重流量检测的防火墙，还是采用偏重病毒防御的防毒墙，又或者是采用集各种功能于一身的UTM. UTM具有高度集成、经实践检验的安全功能，包括防火墙、入侵防御、防病毒、防间谍软件、网络应用防病毒、VoIP安全、即时通讯、二层隔离网络安全、 URL过滤以及实现安全的站点到站点和远程接入连接。在使用UTM时，依靠自己来判断产品的好坏显得太主观，建议企业前去购买时，提前要到互联网找一些防火墙相关的技术参数;否则，会让厂商或经销商忽悠了，最好带上自己的网络管理员，可以为购买后的使用免去不必要的麻烦。

根据笔者多年从事维护设备经验，选择UTM防火墙时，应该注意以下四点：

一、UTM的性能及稳定性

由于UTM将所有的安全功能置于一台设备之内，无形中也带给了我们更高的风险。一旦UTM设备出现问题，所有的安全防御措施将陷入停顿;而一旦UTM设备被成功侵入或突破，整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙，其他功能再好也是空谈。

二、UTM的易用性

易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外，很重要的需要考察是否有详细的日志乃至数据中心。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性，设置选项应该通俗易懂，最好能支持中文操作界面。日志特别重要，好的日志系统应该有详细的记录，包括防火墙日志、流量日志、网络监控日志等，日志应该便于分类和排序，最好能以饼图、柱状图等进行显示，方便统计和对数据的分析。

三、UTM的功能模块及性价比

通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。并不是每一个功能都是需要的，用户不必要为了一些不需要的功能花冤枉钱。功能并不是越多越好，而是要看其是否实用。当在一个防火墙服务器上实现太多的服务，结果就是这些服务对硬件资源的吞噬，最后导致防火墙性能的下降。在防火墙上，往往不会部署过多的应用服务。

这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障，那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话，越加不能够把多个服务集成在防火墙服务器上。

四、不要过于依赖相关技术参数

不要太过于相信实验数据。对于他们从实验室得出来的数字，笔者往往会给他们打个对折。打折后的数据，可能水分会少一点。所以，实验数据只能拿来参考。在有条件的情况下，网络管理员要结合自己的公司网络环境，对防火墙产品进行测试。这测试出来的结果，对于我们防火墙选购才会有参考价值。

除以上四点关键外，还要厂商或经销商做好产品技术支持。我们知道，任何安全产品始终是网络应用的一个补充。不过可以肯定的是UTM是未来安全设备的一个发展方向，随着技术的成熟这一切的问题都会迎刃而解。

在这里我不推荐什么品牌防火墙，因为它们各有千秋，每种设备性能也不一定适合你。购买前，把你的需求方案提交厂商或技术部门，给你做几份方案。看那种方案最适合你所在企业网络需求。只要拨开这一层困惑迷雾，我相信你就能选择你满意UTM火墙设备，为你网络安全保驾护航。

network

有些网络管理人员，尤其是中小规模的区域网络管理人员，认为UTM是能够解决网络安全问题的灵丹妙药，但是也有一些人对此不是很理解。　　

UTM的定义

“UTM”一词首先出现在2003年IDC(Internet Data Center，互联网数据中心)的研究报告中。;IDC;报告中将UTM定义为，包括“firewall, intrusion detection and prevention, and gateway anti-virus”的设备，即这类设备内含防火墙、入侵检测与防护、网关防病毒。此概念一出，引起了网络界高度重视，推动了以整合式安全设备为代表的市场细分的诞生。

IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬件设备里，构成一个标准的统一管理平台。

UTM是具有额外网络防御机制的防火墙平台，能够抵御DoS/DDoS(拒绝服务/分布式拒绝服务)、病毒和其他恶意软件、垃圾邮件以及网络钓鱼的攻击。很多UTM解决方案还具有网页过滤的功能。根据对UTM的定义，许多网络安全解决方案厂商都推出了自己的产品。

UTM的功能

整合网络安全

在UTM的概念出现之前，区域网络为了防御各式各样的威胁，必须配置多项单功能产品，例如防火墙、防病毒网关、防垃圾邮件装置以及URL网关。区域网络还必须同时兼顾这些平台和其他IT解决方案的管理，用户也必须熟悉各种不同的接口、指令和差异性。这些安全解决方案代表着必须购买多项产品，维护费用也更高，对资金预算和营运预算都是一个很大的负担。

UTM的提出解决了区域网络必须管理多项单功能产品的难题。通过单一的操作系统与管理接口，提供一个能够满足多方面安全需求的全功能架构。UTM不但使网络管理人员在学习新系统方面节省很多的时间，也提高了IT人员在防御攻击时的有效性。

降低技术复杂度

UTM安全设备中装入了很多功能模块，提高了区域网络的易用性。另外，这些功能模块的协同运作无形中降低了掌握和管理各种安全功能的难度以及减少了用户误操作的可能性。

对于没有信息安全专业知识的管理人员及技术力量相对薄弱的区域网络子单位来说，使用UTM产品可以提高应用信息安全设施的利用率。

简化网络管理

UTM的价值在于简化管理，即以最精简的单一设备来达到所需要的网络管理水平，并具有快速迁移、集中管理、节省成本的优势。部署UTM的意义主要是基于网络服务考虑，而非只是纯粹以IT技术的眼光来思考。使用UTM解决方案应有的理念是将其放在最恰当的地方，让其发挥适当的功能，而非只是硬要将其赋予各项功能，拿来与业界单一功能最优秀的产品做比较。

UTM可以满足分支机构人员较少、IT资源有限、需快速移动、经常使用各种不同网络基础设施的区域网络。对于分支机构而言，UTM可以协助区域网络在有限的预算内，最有效率地运用信息、人力，减轻信息管理人员的负担，也可以让区域网络信息安全从各子单位开始做起，再延伸至主节点。

在各子单位设置UTM装置，可以简化管理工作，来解决信息人员大多配置于主节点的问题。借助适合的UTM解决方案，各子单位可以过滤掉80%的安全问题，剩下的20%则可通过个别的单一安全功能产品来解决，并可与主节点的安全网络连结。

UTM绝非是网络管理者的灵丹妙药。许多网络管理人员抱怨，UTM装置的防病毒功能不如其他单一功能的防病毒产品，如防垃圾邮件功能经常出错等。这些问题使一些网络管理人员对UTM的价值产生怀疑。

部署UTM

许多UTM装置被称为五合一，甚至是更多功能整合在一起的安全防护设备。如何让它有效发挥其强大的功能?如何改善其不足的地方?如何有效而正确地部署UTM已成为区域网络解决安全问题中极为关键的一环。

掌握网络情况

使用UTM最大的用意是减轻信息工作的负担，使有限的IT资源的运用达到最佳效果，在简化管理、节省成本的前提下，保障网络运行畅通，如图所示。

一些网络管理人员曾反映，同时开启UTM的各项功能，会增加设备工作量、减慢运作速度，这也是网络传输过程中的瓶颈。因此，在部署UTM系统之前，网络管理人员应该了解网络平时以及在高负荷情况时的运作速度，从而有效避免超载而导致的网络拥塞。

网络管理人员可以将网络分割成不同区域，再把每个区域中不需要的功能关掉。如果网络内只需要使用网页服务器与电子邮件，便可以设定Policy来阻挡其他协议的接入，只检查网页或电子邮件的部分，这样做便可减轻设备的负荷。

实施解决方案

其实，UTM解决方案应该是整体安全策略的一部分，而不是惟一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。

尽管UTM供应商宣称其UTM解决方案确实有效，但是能否及时有效地更新防护码，应该是UTM能否成功实施的关键。

自行开发防病毒、防垃圾邮件和防网络钓鱼的系统，然后放到已有的防火墙产品上，其产品成熟度与稳定性是一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险，因为这些产品给使用者带来虚假的安全感，实际上却不能防御真实的攻击。

弹性制定功能

如果让UTM真正发挥作用，就要慎重选择可弹性制订Policy的产品。因为对于区域网络而言，并非一定得在同一时间开启UTM所有的功能。可根据不同的时间需求弹性制订UTM的功能需求，如此才不会影响到网络流量，也可以有效率地运用网络资源。

展望

UTM装置可说是IT安全解决方案最重要的突破之一。此类装置具有显著的优点，但是使用者必须谨防使用不符合现实环境需求的装置。

UTM的另一个优势是用户可以实施分层管理(Layer Security)。例如在计算机上安装防病毒软件、在防火墙上加入额外的病毒保护，如此等于是设计了重重的防护关卡。若有黑客发动攻击，UTM可发挥阻挡和监察的功能，延迟或停止攻击入侵。现在已经有厂商开始将VoIP、路由器等功能整合进UTM装置之中。

未来，UTM产品还会融入更多的安全防护功能，也可以支持各种不同的操作系统。UTM的未来值得期待，只是看使用者如何妥善运用。

按照目前的发展态势估计，UTM产品很可能代替目前传统的一些信息安全产品，成为信息安全市场上新的主流。根据IDC的数据，UTM产品市场在近几年会维持高速的增长，在2008年之前将维持平均接近80%的年成长率，并于2008年成长为一个容量达到20亿美元的细分市场。