企业安全UTM 多合一防护利弊两面(1)

企业在选择网络安全解决方案之前应该先了解自身的需求。自身的网络架构是什么样子?哪些网络应用属于关键业务?哪些应用环节容易遭受病毒攻击?只有充分认识了自己的需求,才能面对众多安全厂商销售人员时处乱不惊、冷静分析,找到最适合自己的解决方案。资金预算有限,我们要打响精打细算的金算盘,坚决抵制花冤枉钱。

大型企业 多合一防护 利弊两面

大型企业网络规模大、业务多,超多节点和复杂应用意味着网络将面临更多的安全威胁。作为大型企业的IT主管应该如何应对安全威胁?是实施产品分开的综合安全防范,还是采纳整合方案,选用集多种安全功能于一身的统一威胁管理平台?我们有必要精打细算一番。

传统方式只能大投入

大型企业网络一般采用以太网组建网络,利用ADSL或者DDN专线连接Internet网络,网络应用多元化,主要包括自身应用系统、邮件系统等。其网络特点是数据存储量大,安全性要求高,以保证分支机构互相通信。

大型企业的网络特性决定了其对网络安全的特殊要求:减少网络中的病毒侵害,抵御恶性攻击,终端客户的有效管理,设备资源的有效管理,数据存储的安全可靠,分支机构的网络通信安全通畅。

摆在大型企业用户面前的安全解决方案有两种方案。其一,针对网络可能出现的不同威胁安装相应安全设备,例如防火墙、网络防病毒、入侵检测系统、内容检查系统等;其二,安装基于硬件平台的、集多种安全防护功能为一身的UTM产品。

对这类网络系统应用复杂的大型企业来说,传统的安全部署方案通常如下:

首先,针对病毒威胁,在网络中安装企业版防病毒系统,价格起码在20万元以上。通过防病毒系统可以有效地防御通过文件、软盘以及从其他外来数据拷贝途径带来的病毒侵害。

其次,在总部及各分支机构网络边界安装带有网关防毒功能的防火墙,采用防火墙可以有效地防护和抵制外来代码、人员的恶意攻击,使得网络的保护能力加强,内部网络的使用变得安全。由于带宽流量较高,应用复杂,高端防火墙的价格大约是百万元起价。

第三步就是增加入侵检测设备。根据防护对象的不同,入侵检测设备分为主机防护和网络防护,主机防护主要针对数据存储安全级别高的服务器进行入侵防护。这部分设备的投入也不菲。

第四是增加网络设备管理系统。在大型企业内部,设备多、功能不同,人为管理容易失灵,所以应该添加适当的网络设备管理系统。企业为此该支出的费用大约为十多万元。

第五是增加网络资源管理和桌面管理系统。这部分并不是每个大型企业都会有支出,但是一旦购买该系统,就能够实现对设备和终端用户更为有效地管理,使得设备资源不至于大面积浪费,减少没不必要的投资,减少公司开销,提高工作效率和管理能力。

此外,再根据企业的实际应用,还需增加反垃圾邮件、身份认证等。总的来说,一个大型企业的网络安全部署大致要耗资数百万元,而且由于多种安全设备的综合使用,给网络管理人员也带来了不小的工作压力。

UTM有弊端但也省钱

如此价格不菲的支出,即使是财力相对雄厚的大型企业也必须对市场上现有的安全设备权衡考虑。如何能兼顾成本和效用,一些大型企业决定使用统一威胁管理(UTM)设备。

目前,在安全领域,不同厂商实现UTM的方式不尽相同,通过采访了解,一种功能实现的方法是,基于原有防火墙的架构增加其他各项功能;另一种功能实现的方法是,基于原有IDS/IPS的架构,增加其他各项功能;而比较理想的功能实现的方法是基于统一威胁管理的平台,再在上面根据需要添加各项功能。

在大型企业内部,各项安全防范措施都基本完善的前提下,选用UTM实现方式从经济性上考虑更为合适。采用高端UTM产品虽然花费也不小,但相对于独立部署相应的安全产品,还是节约很多,而且同样可以做到对进出企业网络的流量全方位过滤黑客攻击、病毒、入侵、不良内容和垃圾邮件等,在几乎不影响网络速度的情况下提供高速内容处理能力,达到用户期望的安全防范效果。

另外一方面,虽然UTM集成了多种功能,但不一定需要同时开启。用户可根据不同的需求以及不同的网络规模,来决定功能的选择。例如,能源型企业对于防病毒、入侵防御的安全需求较大,因此需要UTM安全解决方案整合防火墙、防病毒、入侵防御、VPN、Web过滤、反垃圾邮件等多种安全功能。

当然,UTM产品由于其多合一的特性,目前也存在不少需要解决的地方,有些企业在部署之后会发现网络性能下降,例如,在发生阻断服务攻击时,系统处理大量的攻击封包,造成攻击渗透的问题;同时,UTM强调整合性防御,集多种安全机制于一身,却因此在一定程度上减少了防御纵深。

多功能合一不可避免会对网络性能产生影响,但分开的单一安全防范也不可能万无一失。特别是UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以考虑使用UTM作为优化的整体解决方案的一部分。

中小企业 囊中羞涩企业也无需气短

如今的中小企业与大型企业一样,都开始广泛地利用信息化手段提升自身的竞争力。信息设施有效提升了中小企业的运营效率,使中小企业可以更快速地发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是其面临的安全威胁却日益增加。

中小企业一般只在总部设立完善的网络布局,采取专线接入、ADSL接入或多条线路接入等网络接入方式,一般网络终端总数在几十到几百台不等。网络中有的划分了子网,并部署了与核心业务相关的服务器,如数据库服务器、邮件服务器、文档资料库服务器甚至ERP服务器等。
  
理论上说,中小企业既可以构建由防火墙、入侵检测、防病毒等功能产品组成的整体方案来保证企业的网络安全,也可以通过UTM设备来实现安全。对于很多保证安全的用户来说,到底哪一种方案更加适合呢?我们还是同样从功能、性能、经济性等方面,一起来算算帐吧。