如何选择UTM设备保证小企业网络安全

网络安全对于小企业来说是一个棘手的问题。小企业一般缺少价格昂贵的设备和有丰富经验的专职IT人员来管理一个局域网的安全。然而,解决安全问题是非常重要的:一个客户数据突破就可能轻松地毁掉一个小企业,不断地与病毒、间谍软件和垃圾邮件作斗争会影响生产率。

威胁还可能来自无线部署(Wi-Fi是很方便的,但是也是大多数网络的严重弱点)以及来自网络突破和员工下载非法的材料。由于你负责你的员工使用你的网络,这些不明智的下载能够产生严重的后果。这个列表甚至还没有统计员工在上班时间访问MySpace和Facebook等社交网络网站或者观看 YouTube网站视频浪费的带宽。面对这些威胁和资源有限的情况,你如何能够保证你的小企业的网络安全?

幸亏企业级安全技术已经涉及到了小企业,这个任务实际上并不像听起来那样困难。所谓统一威胁管理(UTM)安全设备提供了一站式“多功能安全设备” 保护,甚至业余的网络管理员也能够使用。

UTM设备基本上是防火墙路由器,具有杀毒、反间谍软件、入侵检测和防御工具、垃圾邮件过滤器和网络内容过滤器等许多强大的功能。这些设备也许还有其它有用的功能,如能够把一个客户的无线网络与企业局域网的其它部分隔离开,一排备用的广域网端口用于冗余和容错,以及扩展的登录和报告系统。

UTM以前是属于资金雄厚的网络专业公司的领域,用于8至25个用户的网络的UTM设备现在的销售价格只有400美元,还包括一年的产品升级以及病毒和恶意软件定义服务的费用。许多厂商提供价格不到1000美元的功能齐全的UTM产品。所有这些厂商还销售适用于大企业的价格昂贵的产品。一些UTM设备比其它设备对用户更友好,但是,所有这些设备都能够让一个第三方转销商安装和轻松地维护。

关键的UTM功能说明

与标准的防火墙路由器不同,UTM设备在功能和能力方面有很大差别。大部分设备都是物有所值的。下面是在为小企业选择网络安全产品时应该寻找的主要功能:

1. 杀毒、反间谍软件和反钓鱼攻击工具

通过在互联网网关阻止病毒和恶意软件,你能够减少单个计算机的负担,阻止入侵你的网络的多数攻击。杀毒工具还能够在你的单个PC的病毒检查软件之外提供第二层保护。有些用户也许会关闭自己PC的安全软件,有些粗心大意的用户不经常更新这些安全软件。然而,网管检查软件不能发现所有的恶意软件,因为它们缺少仿真每一台PC上运行的应用程序的能力。因此,你应该保留每一台PC上的杀毒和反间谍工具。

发现UTM设备使用的品牌厂商的杀毒和反间谍软件也是值得的。一些设备使用自己的软件,但是,大多数设备都依赖McAfee或者卡巴斯基等公司的第三方工具,甚至依赖ClamAV等开源软件工具。

2. 内容和关键词过滤

采用内容和关键词过滤,你能够通过使用厂商的不合适的网站和各种类型关键词的数据库封锁具体IP地址、域名和URL的访问。你还可以通过增加和减少自己的内容来量身定做这种网站和关键词列表。内容过滤器并不仅仅是过滤淫秽内容。例如,你还可以封锁网络电子邮件网站和视频流服务网站。你能够过滤出网和入网的数据,因此,你能够防止你的网络内部的人员发送敏感的电子邮件或者即时消息。检查你考虑购买的UTM设备拥有你需要的内容过滤功能。

3. 垃圾邮件过滤

一些UTM设备拥有反垃圾邮件过滤器。但是,大多数提供的垃圾邮件过滤都是需要额外支付费用的选购功能。由于垃圾邮件过滤能够对防火墙的吞吐量产生重大影响,许多IT专家喜欢在邮件服务器上使用一个单独的垃圾邮件过滤器。你的ISP可能会以执行一些这种功能,或者通过收取额外的费用提供这种服务,如果你使用这个ISP的电子邮件服务的话。如果你在自己的防火墙后面使用自己的电子邮件服务器,基于UTM设备的反垃圾邮件过滤器也许是合适的。

4. 入侵检测与防御

入侵检测超越了所有的防火墙进行的简单的数据包头文件检测。入侵检测工具实际上也检查数据包的内容。与深入数据包检查一起使用,入侵检测和防御系统使用不断发展的规则和行为算法封锁可疑的攻击,如杀毒软件的攻击。

5. 数据防泄漏

数据防泄漏(DLP)工具不是普遍提供的,但是,对于中小企业是很重要的。数据泄漏是指通过电子邮件在网络上泄漏、电子邮件附件、即时消息和网站上载等途径泄漏的专有的信息和文件。法律和医疗部门特别需要这种工具阻止泄漏客户或者患者的数据。如果这种数据泄漏,这些部门会遭到起诉。

DLP软件使用内容过滤或者简单地封锁传输文件和包含附件的电子邮件。你可以使用正常的内容和端口过滤工具模拟DLP功能。但是,你需要能够预测数据可能泄漏的方式。安全设置方面的知识是特别有价值的。一位安全顾问在这里有很大的帮助。

6. 网关吞吐量

你在任何UTM设备数据单上看到的第一个技术规格之一就是防火墙的性能或者数据吞吐量,以MB/每秒表示。这些数字能够提供一个大概的性能指南。但是,这些数据没有考虑你使用的UTM数据产生的影响的因素。这些工具最多能够使数据吞吐量减少50%,尽管由于处理器速度更快一些或者使用效率更高的软件一些网关处理数据的速度比其它网关要快一些。反垃圾邮件过滤器通常对数据吞吐量的影响最大。

大多数厂商都提供在购买之前试用的计划。因此,你要利用这个机会确保你最终选择的UTM设备拥有你需要的功能,同时还不能降低你的网络的负荷。当你计算你的网络用户数量时,要记住这个数量要包含网络附加存储、打印机和掌上电脑等外围网络设备,因为这些设备也许会计算到“建议的”用户负荷中。

7. 接入控制和身份识别

为了阻止非授权用户访问你的局域网,大多数UTM设备支持一种或者更多的身份识别方案,如Windows主动目录、LDAP(轻型目录访问协议)、 RADIUS(远程认证拨入用户服务)或者一个内部用户数据库。它们还提供MAC地址过滤以防止没有注册的设备访问你的局域网。遗憾的是,MAC地址很容易被假冒。

8. 广域网容错/冗余

标准的防火墙路由器和许多UTM设备之间的一个非常重要的区别是后者有第二个(有时候有第三个)广域网端口。在中断的时候,你可以在两个正常的连接之间平衡网络负载,如一个DSL连接和一个线缆连接。你可以设置一个端口是主要的连接选择,第二个是发生中断时的备用连接,或者你还可以采取轮叫调度或百分比的方式分配网络负载。这是不用投资昂贵的T1线路建立中断保护的一种非常好的方法。

9. VPN网关

如果你要在办公室之间建立安全的连接或者向旅行者和远程办公人员提供一种远程连接到你的办公室的安全途径,虚拟专用网(VPN)技术是必须的。大多数UTM设备能够用作入网连接的VPN网关。远程用户能够连接到这个网关以便在一个加密的隧道中安全地访问局域网资源。

10. 无线安全

大多数小企业需要Wi-Fi网络接入。因此,UTM设备拥有无线安全功能是非常重要的。一些设备拥有内置的路由器,使他们能够让Wi-Fi通讯穿过他们在用于互联网通讯的强大的过滤器。其它一些设备使用第三方Wi-Fi接入点为无线网络创建特别的安全区。每年订阅费

一般来说,如果你需要一台能够提供基本的防火墙过滤功能以外的更多功能的UTM设备(包括杀毒、反间谍软件、内容过滤、入侵检测和垃圾邮件检查工具等功能),你必须要支付每年的订阅费。你也可以不支付订阅费仅仅使用这个硬件。但是,如果你这样做的话,你将失去这种设备的大多数安全价值。因此,在选择一台UTM设备之前,你要调查病毒定义和软件/防火墙更新的每年的订阅价格,看看这个价格是不是随着用户数量的增多而提高。有些厂商是按照用户的数量收费的,有些厂商不按照用户数量收费。

此外,你还要查看最初的购买价格是否包含第一年的订阅费。由于订阅费最多可达每年500美元或者更多,单独支付第一年的订阅费是一个值得考虑的重要因素。你要对比你计划使用这台设备的年限的拥有总成本,包括设备费用和每年的维护费用。如果你要雇用一个顾问安装这台UTM设备,安装费是另一个值得考虑的变量。

上面简单地评估了UTM设备的关键功能。但是,你也许要考虑其它的功能,如支持VoIP功能、设置由不同安全等级管理的区域的功能、动态DNS支持功能、打印机共享和监视和报告工具功能等。这种监视和报告工具能够提前提供重要的信息,即使兼职的IT人员也能理解这种报告并且根据这种报告采取行动。

1000美元以下UTM设备

下列所有的UTM设备都提供了基本的功能:具有杀毒和反间谍软件保护功能以及入侵检测、内容过滤和监视工具的商业级VPN路由器。许多UTM设备拥有额外的功能或者在其它方面有特殊的优点。大多数UTM设备包括初始的为期一年的杀毒软件和反间谍软件更新的订阅费。建议的网络容量为8至25个用户。但是,所有这些厂商也为大型企业提供高端的型号。

SonicWall TZ 180、Fortinet FortiGate-50B和D-Link NetDefend DFL-CPG310等入门级UTM设备销售价格不到500美元,非IT专业人员也可以安装。尽管如此,如果可能的话,雇佣一个安全专家正确地进行设置也是一个好主意。一个网络的最薄弱的地方安全了,这个网络也就安全了。这个最薄弱的地方通常并不是路由器。

更高级一点的UTM设备,Check Point公司的UTM-1 Edge Appliance、Secure Computing SnapGear公司的SG580和合勤科技(ZyXEL)的ZyWall 5 UTM等产品价格在500至700美元。Calyptix AccessEnforcer AE500、eSoft InstaGate 404e和Juniper Networks公司的Secure Services Gateway 5等产品价格都是1000美元。企业级功能、更多的软件选择和不用购买新硬件升级更多用户的功能都需要额外付费。例如,InstaGate 404e提供一种模块化电子邮件和超过许多基本杀毒工具功能的网络“ThreatPaks”。同时Juniper SSG5相当于该公司企业级安全系统的分支办公室版本。