需求中的矛盾
对很多中小企业和大企业的分支机构而言,由于自身人员、技术、水平的限制,信息安全措施往往受到限制。一方面,企业由于业务发展的刺激,对IT应用和数据安全的依赖程度显著提高;另一方面,由于条件限制,企业无法负担多种IT安全基础设施的庞大开支和高额的运维成本。
理想和现实无疑是一个矛盾。其实早在2003年,IDC就提出过综合防火墙、反病毒、入侵检测功能的UTM概念。其目的就是为了解决广大中小企业和大企业分支机构缺乏安全维护能力的难题。
UTM 的概念解决了企业必须管理多项单功能产品的难题。通过单一的操作系统与管理接口,提供一个能够满足多方面安全需求的全功能架构。对中小企业而言,这不但在学习新系统方面节省下可观的时间,也提高了 IT 人员在防御攻击时的有效性。
然而,UTM 绝非是企业管理网络的灵丹妙药。许多企业抱怨,UTM 装置的防病毒功能不如其他单一功能的防病毒产品、防垃圾邮件功能错误百出。许多的使用问题不禁让人对 UTM 的价值产生了怀疑。只是我们应该知道,企业网络与一般的学术网络相比是具有相对好管理的网络环境。也就是说,企业网络的存在是有目的性的,其终极目标是在协助企业赚钱、协助企业更有效率地完成各项工作; UTM就是在有目的的 IT 资源分配、系统规划的企业网络环境之下产生其存在的意义。
UTM 的价值在于简化管理,即以最精简的单一设备来得到企业所需要的网络管理水平,并具有快速迁移、集中管理、节省成本的优势。
UTM 对于总公司、分支机构与中小企业的意义不尽相同。UTM 可以满足分支机构或者中小企业人员较少、 IT资源有限、需快速移动、常使用各种不同网络基础设施的特性。对分支机构而言,UTM 可以协助公司在有限的预算内最有效地运用信息人力,协助企业减轻信息工作负担,也可以让企业的信息安全工程由分公司开始做起,再延伸至总公司。在分公司设置UTM 装置,可以简化管理工作来解决信息人员大多配置于总公司的问题。不难看出,借助适合的UTM 解决方案,中小企业与分支机构可以过滤掉80%的安全问题。剩下的20%则可通过个别的单一安全功能产品来解决,并可与总公司的安全网络连接。
解决企业的问题
既然UTM 能够解决中小企业和大型企业分支机构的安全问题,那么如何让它有效发挥强大的功能,以及如何改善其中的不足,正确部署, 已成为企业应用中的关键一环。
使用UTM 最大的用意是在减轻信息工作的负担,让企业在 IT 资源运用最佳化的情况下,在简化管理、节省成本的前提下完成企业的工作任务与需求。许多企业用户曾经反映,同时开启 UTM 的各项功能,似乎会增加设备工作量、减慢运作速度,这也常成为网络传输中的瓶颈。所以在部署 UTM 系统之前,了解网络平时以及在高负荷情况下的运作速度,才能避免超载而导致的网络堵塞。
企业使用者也可将网络分割成不同区域,再把不需要的功能关掉。如果公司营运只需要使用网页服务器与电子邮件便可以设定策略来阻挡其他协议的接入,那就只检查网页或电子邮件的部分,如此便可减轻设备的负荷。
首先,UTM 比较适合在企业的分支机构部署,像保险公司、银行等具有很多业务分支的单位,就很适合利用UTM来简化管理。保险业或证券业等营业模式都具有营运单位经常搬迁移动、又常需要设置开放的网络环境来让客户使用的特色。利用 UTM 装置可部署不同的网络安全区域,并制定不同的策略来区分各区域的安全等级。许多类似汽车产业经营模式的企业,大量的业务员带着与他们四处奔走的笔记本电脑回到公司内部,为了避免中毒与遭受入侵的可能性,传统做法都是通过IPSec加密以保护分支据点与分支据点间或与总公司之间通过因特网或是 VPN 传输数据时的安全性。现在有了 UTM 装置,可以将其置于分公司与总公司之间,这样,除了具有加密的效果,还具有防病毒、内容过滤等功能,让信息安全更有保障。
其次,对中小企业来说,部署的关键点在于公司的信息环境与目标。如果老板很清楚自己公司与信息相关的业务需求仅限于上网找数据以及利用电子邮件与客户往来,此时使用UTM 就很合适,可以完全解决基本的信息需求,也不会让网络性能影响到公司的营运。不过,若是像网吧或网络拍卖这种类型的公司,营运行为会受网络带宽与性能影响,还得特别防范黑客入侵系统。一个可弹性定义策略、又具有备援性功能的防火墙,甚至是IPS,就是企业需要考虑的了。(本文作者为Juniper网络公司中国区总经理)