以Cisco的SDN和神州数码网络3DSMP为代表的全网安全方案,都在今年推出了方案的细化版本—以UTM作为网络出口与企业子网的边界,从而既弥补了UTM的性能下降问题,又保证了安全性。
“我相信如果在不同的网段打开必须的功能,在其他地方适当地减少,可以带来全网更高的性能。”王景辉表示,网络中病毒爆发与传播的速度越来越快,从发现漏洞到病毒爆发已经缩短到不到10天。短周期导致了传统上对病毒的防御遭到了挑战。从目前的应用来看,深度包检测技术是最有效的防御手段,其实时性的优势已经超过了防毒客户端,而且可以保证随时升级。因此,正是基于UTM的高实时性,可以满足大企业用户的安全需求。而UTM与3DSMP的配合,采用分布式部署的方式,可以很大程度上解决性能问题。不过兼顾到用户的投资,一般建议用户在重要的服务器群与子网的前面配置UTM。
这种方案的原理非常好理解,当边界的压力过大时,可以仅仅用启用网关防火墙来检查规则,而在子网中根据用户不同的需求水平,启用防病毒、入侵检测等功能。
不过对此方案,业内厂商的反应并不一致。蔡永生认为,全网安全方案与UTM的结合,是一个性能折衷的选择。不过在说服大企业用户使用上,确实具有优势。毕竟很多企业规模大,但是网络流量不大。企业业务数据多,但是上网的人少,用BT、QQ的人少,因此分布式的模式也许是适合的。
事实上,当前市面上的UTM产品支持万人规模的企业没有太大问题。梁小东表示说,方案的关键还是看用户的需求。有些时候,企业中串联的设备越多,对流量影响越大。但有些时候把UTM放在子网里面,可以减少一定边界的压力。
这种方案需要用户配置多台UTM设备,因此性价比不是很好。王延华认为,这种以全网安全配合UTM的方案有意义,可以达到满足大型企业应用的目的。但他也表示,这只是解决问题的一种方法。
不过在全网方案中部署UTM,仍然会存在单点故障问题。叶宜斌认为,很多电信、银行等客户对于UTM的感觉不好,如果有足够的预算,他们会去购买单独的设备。另外,全网安全方案虽然可以保证性能,但在一些重要子网上是否要考虑冗余,仍然值得商榷。
