7.除了在网关处配置以外,在内网中部署多台UTM是否可以弥补性能下降带来的损失?
Juniper:有好的,也有不好的。关键还是看用户的需求,结论不能下。有些时候,企业中传的设备越多,对流量影响很大,有些时候把UTM放在内部,确实可以减少一定压力。需要根据客户需求来讨论方案。
联想网御:这种方案有意义,但仅仅是解决问题的一种方法,但性假比不高。有些厂商的高端产品价格很高。子网里边放多台好,难说。我相信如在不同的网段打开必须的功能,在其它地方适当地减少,可以带来更高的性能。
深信服:高端用户一般不会去考虑这方面的需要。电信等客户,大多对UTM感觉不好,有足够的预算,还是去买单独的产品。多台UTM产品,用的比较少。UTM看重功能与降低部署成本,一个设备一个人管理。如果单台UTM,考虑单点故障,多台冗余怎么做?
神州数码网络:网络中病毒爆发与传播的速度越来越快。从漏洞到病毒爆发已经缩短到不到10天。短周期导致了病毒的方法,以及通过利用防病毒工具、通过利用深度检测是最重要的。传统上用户来不及对所有的客户端进行升级,虽然部署了防病毒,也难以保证每个客户端都及时升级或者安装了。而UTM的高实时性,可以很大的满足这种用户需求。而UTM与3D-SMP的配合,分布式部署UTM可以很大程度上解决性能问题。不过兼顾到用户的投资,一般建议用户在服务器群的前面可以配置UTM。
Sonicwall:全网安全的问题,属于性能达不到没有办法。目前的东西放在网络的总出口,下面10个部门都上互联网,都走病毒过滤、IPS,处理不过来,就开始分布式部署。总的大的火墙进来仅仅检查规则,完了财务部门、技术部门等逐个依靠UTM检查应用层安全。
WatchGuard:现在,有些客户也用WatchGuard的产品实现这种架构。我们公司有很多不同的内网,不同的内网受到的攻击不一样,这个防火墙的功能全部要开通。但是例如,有一些内网是不需要email service的,所以在这些内网中,可以把anti-virus和anti-spamming的功能关掉,有email service的内网再来开通这种服务。这样,不需要太快的UTM也可以满足网络要求。
