当前位置:首页 > 机房建设 > 正文

拨开一层迷雾 放心来选购UTM防火墙

2010-01-17 中国IT实验室

  随着业务不断地扩大,网络也在无形中变大了,有过去几十台到如今的几百台计算机,这么大的一个网络越来越难管理了,最近一段时间,下面的分公司经常反映网络不正常,经常出现丢包、卡、网速慢等现象,问题出了,又没有找到问题根本原因,让领导很失望。

  在这种束手无策的情况下,正好有个厂商电话,让我心中有了目标。他们给出一个建议:在原有的网络中,增加一台安全性能比较好的防火墙。

  我们也知道,不断变化的安全威胁和新的安全挑战使得维护网络安全愈加困难。为应对这一困境而实施的新的安全产品和安全策略不仅大大增加了复杂程度,更重要的是,增加了维护自己的网络和用户安全的成本。作为一个中小企业来说,购买一台防火墙需要领导下很大决心的,毕竟它的价格不菲。

  然而,作为一名网络管理者,面对这种情形,进退两难。说实话一直以来就想过在网关这一层架设防毒过滤产品,综合来,比较去,“性能”这个参数长久以来没有说服我这个负责人。担心购买后,并不是产品说明那样神气。这年头让厂商或托忽悠的不知道该相信谁?作为购买者,都希望物有所值。现在,我困惑了,究竟该如何选择?

  增加防火墙的目的为了更好地让网络安全。防火墙的选择归根结底还是要落到应用上面来,因为所有的安全措施乃至产品必然是为了促进应用而衍生出来的,如果不是网络应用的需求,网络安全也无从谈起。有的用户在选购防火墙时把产品的架构因素放在首位,即选用x86、ASIC、NP架构或是它们的某种组合。

  应该说,产品的架构决定了该产品的潜力,但并不代表该产品的能力。x86平台的防火墙不是低性能的代名词,ASIC +NP架构也不代表着防火墙有强大的性能和丰富的功能。好的产品是厂商在硬件平台的基础上进行卓越的开发才形成的。用户要根据实际应用情况和经济实力,判断自己应该买性能够用的产品还是要兼顾未来的升级。

  如今,由于支公司网络中并没有防火墙这个设备,大多的安全策略是在路由器或者三层交换机的上联端口上配置的,所以该采用偏重流量检测的防火墙,还是采用偏重病毒防御的防毒墙,又或者是采用集各种功能于一身的UTM. UTM具有高度集成、经实践检验的安全功能,包括防火墙、入侵防御、防病毒、防间谍软件、网络应用防病毒、VoIP安全、即时通讯、二层隔离网络安全、 URL过滤以及实现安全的站点到站点和远程接入连接。在使用UTM时,依靠自己来判断产品的好坏显得太主观,建议企业前去购买时,提前要到互联网找一些防火墙相关的技术参数;否则,会让厂商或经销商忽悠了,最好带上自己的网络管理员,可以为购买后的使用免去不必要的麻烦。

  根据笔者多年从事维护设备经验,选择UTM防火墙时,应该注意以下四点:

  一、UTM的性能及稳定性

  由于UTM将所有的安全功能置于一台设备之内,无形中也带给了我们更高的风险。一旦UTM设备出现问题,所有的安全防御措施将陷入停顿;而一旦UTM设备被成功侵入或突破,整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙,其他功能再好也是空谈。

  二、UTM的易用性

  易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外,很重要的需要考察是否有详细的日志乃至数据中心。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂,最好能支持中文操作界面。日志特别重要,好的日志系统应该有详细的记录,包括防火墙日志、流量日志、网络监控日志等,日志应该便于分类和排序,最好能以饼图、柱状图等进行显示,方便统计和对数据的分析。

  三、UTM的功能模块及性价比

  通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。并不是每一个功能都是需要的,用户不必要为了一些不需要的功能花冤枉钱。功能并不是越多越好,而是要看其是否实用。当在一个防火墙服务器上实现太多的服务,结果就是这些服务对硬件资源的吞噬,最后导致防火墙性能的下降。在防火墙上,往往不会部署过多的应用服务。

  这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障,那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话,越加不能够把多个服务集成在防火墙服务器上。

  四、不要过于依赖相关技术参数

  不要太过于相信实验数据。对于他们从实验室得出来的数字,笔者往往会给他们打个对折。打折后的数据,可能水分会少一点。所以,实验数据只能拿来参考。在有条件的情况下,网络管理员要结合自己的公司网络环境,对防火墙产品进行测试。这测试出来的结果,对于我们防火墙选购才会有参考价值。

  除以上四点关键外,还要厂商或经销商做好产品技术支持。我们知道,任何安全产品始终是网络应用的一个补充。不过可以肯定的是UTM是未来安全设备的一个发展方向,随着技术的成熟这一切的问题都会迎刃而解。

  在这里我不推荐什么品牌防火墙,因为它们各有千秋,每种设备性能也不一定适合你。购买前,把你的需求方案提交厂商或技术部门,给你做几份方案。看那种方案最适合你所在企业网络需求。只要拨开这一层困惑迷雾,我相信你就能选择你满意UTM火墙设备,为你网络安全保驾护航。

大家都爱看
查看更多热点新闻