小型企業網絡安全解決方案范文

導語：如何才能寫好一篇小型企業網絡安全解決方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

對于傳統的防病毒廠商，防病毒軟件和新近推出的硬件防毒墻是旗艦產品;對于郵件安全廠商，首推郵件安全網關產品，以反垃圾郵件為主，防病毒和反間諜軟件為輔;對于存儲廠商，大型的服務器、數據庫備份和恢復無疑是存儲方案的核心，傳統的磁帶備份仍然是目前存儲市場的主流，服務的客戶都是大型企業和機構。然而，所有這些企業安全解決方案其實都只有一個共同目標: 最大限度確保數據安全和業務的連續性。

大型企業在資金和技術人員上往往有足夠的投入，因此大型企業的完整的安全方案涵蓋“防火墻”+“VPN”+“IPS”+“防病毒”+“反垃圾郵件”+“內網安全”+“數據存儲備份”等等，有些企業還有反間諜軟件，專業抗DDOS攻擊設備等等。

其中VPN包含把多個分公司與總公司網絡連接的IPSec VPN和專門為遠程移動用戶接入設計的SSL VPN。

防病毒除了在服務器和客戶機部署防毒軟件之外，還包含硬件的防病毒網關設備放在網絡的出口，以最大限度地確保內部網絡PC和服務器的安全，因為我們不能寄希望于每個服務器和PC都及時打好安全補丁。中小型企業的安全問題和大型企業沒有任何區別，不能因為中小型企業的網絡規模小而降低安全防范的標準。

然而，對比較完善的安全解決方案，需要購買和維護眾多廠家的產品，對中小企業來說，從資金到人力上往往無力負擔。

SonicWALL針對用戶的需求，設計了一套完整的企業安全解決方案。

下面拓撲圖涵蓋了企業安全解決方案的幾個重要組成部分。

企業安全解決方案拓撲圖

對于擁有眾多分支機構的企業和單位，需要備份的數據還可以通過連接各個分支與總部的IPSec VPN隧道安全地備份到總部的CDP(Continuous Data Protection，直譯為持續的數據保護)存儲設備上，實現統一的數據備份。

有關調查表明，企業有超過50% 的關鍵業務信息并非存儲在公司服務器，或者及時地與服務器同步，而是儲存在員工的個人計算機內，因此員工計算機上的重要數據備份和快速恢復越來越受到關注。CDP的出現解決了這個問題。

此外，無論是總部還是分支機構的網絡，除了把數據備份到本地CDP設備當中，還支持遠程的異地數據備份，通過購買服務，用戶CDP設備當中的數據還可以備份到數據中心，所有的備份是經過256 Bit AES加密傳輸和存儲，確保數據的私密性。

篇2

獲獎理由

合勤推出的ZyXEL ZyWALL 70 UTM綜合網絡安全設備系列產品以其產品設計和豐富的功能引起人們的關注。該系列在為企業用戶搭建網絡安全屏障、打造全方位防護體系的同時，其過硬的技術，前沿的設計水準和極高的產品性價比都充分展示了合勤科技(ZyXEL)在網絡安全產品方面所具有的突出市場競爭優勢和實力。

性能描述

該防火墻通過高性能一體化設計的防火墻來保護網絡的安全，在提高網絡效能和企業生產力的同時，可方便地實現遠程接入網絡，并能通過單一配置界面來進行管理。值得一提的是，站在技術的前沿，ZyXEL ZyWALL 70 UTM系列產品通過擴展ZyWALL Turbo Card，能夠增強ZyWALL系列安全性能。該系列產品運用了合勤科技(ZyXEL)獨創的ZyNOS操作系統，同時融合了世界著名的卡巴斯基公司的防病毒技術，是能提供整合防火墻、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件等8項功能的安全平臺。這項新技術的運用使得新一代All-in-one網絡安全設備能夠將原有內容過濾、防病毒、反垃圾郵件和入侵檢測等多套系統通過單一設備替代。獨家ZyXEL SecuASICTM加速技術，阻擋間諜軟件、網頁仿冒、病毒和垃圾郵件 IM(Instant Messaging，即時信息)、P2P(Peer-to-Peer)應用程序更細粒度控制，具有極佳的產品性能和全面的安全特性，是一系列非常優秀的8合1 UTM綜合網絡安全產品。

成功案例

中新藥業集團采用ZyXEL網絡安全設備配合其搭建全網解決方案。

中新藥業采用ZyXEL作為其安全網絡融合的網關設備來建立IPSec VPN連接并保證網絡通信安全。ZyXEL的產品網絡整合能力很強，能夠很容易地整合到中新藥業的網絡環境中。用戶無需擔心因為有不同廠商的設備在網絡中而擔心互通問題。ZyXEL產品設計實現了跨區域的企業 ERP 系統網絡，使得位處各地的客戶端能夠安全、方便地訪問到中心端的服務器，保證了數據高速、安全地傳輸。重要的是，這種應用并不需要做過多設置。只要在設備上進行一次設置，就可以讓內網用戶直接享受到VPN及寬帶上網的方便。對最終用戶來說，不需要在自己的電腦上做任何改動，最大限度地簡化了操作的復雜程度。ZyXEL提供的價值高出了用戶的期望。

隨著信息化應用的不斷深入，網絡應用日漸頻繁，在不斷加快網絡融合、提高效率的同時，網絡安全事件也呈現出多樣化、復雜化的發展態勢，面對變化多端的網絡攻擊，選擇到性能優越，功能強大的網絡安全產品成為用戶的期待。合勤科技(ZyXEL)全線出擊，推出的DSL局端及客戶端接入設備、路由器設備、網絡安全設備、無線局域網接入設備、網絡語音電話及以太網交換機等系列產品，為中小企業提供了全方位的寬帶網絡應用整合解決方案，全面反應出了合勤豐富的產品線和研發實力。

在網絡市場日益發展的今天，用戶對網絡信息的需求量日益增大，因此，網絡安全也被用戶越來越看重。合勤科技在提高網絡系統及設備的安全防御能力及整合性能的基礎上，實現安全與網絡的深入融合，進而有效地應對網絡威脅，為用戶帶來更全面、體貼的安全應用與感受。

WatchGuard Firebox Peak X8500

獲獎理由

對于那些有著高速、大流量網絡運行的企業而言，需要可靠、高冗余、可管理流量，并具高端口密度的安全解決方案。這些企業需要配有專家指導和支持的UTM解決方案，簡化網絡安全管理，滿足不斷增長的業務需求，而Firebox Peak X8500設備可以很好地滿足他們的需求。

Firebox Peak X8500提供全面集成的安全性，將狀態包防火墻、VPN、深層應用檢測、網關防病毒、入侵防護、防病毒、防間諜軟件、防垃圾郵件及URL過濾均整合到了單一設備中，節省了多點方案管理所需的時間和成本。

性能描述

Firebox Peak X8500提供高達2.0 Gbps的防火墻處理能力和600 Mbps的VPN訪問量，具有較高性能和較佳可擴展性，即刻提供真正的預防御，集成了強大的安全功能和高級網絡特性，提供能滿足最苛求網絡環境要求的優越整體解決方案。具有8個10/100/1000Gbps以太網端口，支持高速局域網骨干基礎設施以及千兆廣域網連接。八個端口均可配置為內部、外部或可選，以實現端口利用的最大化。

Firebox Peak X8500將狀態包防火墻、虛擬專用網、真正預防御、網關防病毒、入侵預防、防間諜軟件、防垃圾郵件和URL過濾等功能集成于一臺設備，提供全面的安全防護，同時降低了管理多點解決方案所需的時耗和成本。

Firebox Peak X8500 的智能分層安全(ILS)可即刻提供真正預防御，在發現漏洞和漏洞攻擊程序創建和運行之前對新出現的未知威脅進行防御。許多廠商只提供基于攻擊特征的防護，而且還需要單獨收費。這類解決方案，實際上使其客戶在廠商把攻擊特征納入防護軟件的新版本之前，仍面臨各類新出現的威脅。

Firebox Peak X8500的網絡功能可實現資源的智能管理，優化流量，延長網絡正常運行時間。多廣域網負載共享和接口故障轉移提高了性能和可靠性，動態路由、流量管理和優化為關鍵數據及整個網絡通信提供優質網絡功能。

Firebox Peak X8500附帶的WatchGuard System Manager (WSM)可簡化網絡安全管理。WSM具有圖形用戶界面、快速配置向導和智能默認設置，簡化了安裝過程。WSM還包括全面的日志和報告、交互式實時監控以及拖放式VPN創建功能，無須增加成本。

每項WatchGuard安全服務均與Firebox Peak X8500中內置的預防御配合工作，提供無懈可擊的安全防護能力。這些功能與Firebox Peak X8500高度集成，因此無須其他硬件。訂購按設備數量而非用戶數量計價，因此沒有遞增成本。所有安全服務均會持續升級，為用戶提供最新的防護功能，并通過WSM集中管理，可實時觀察所有安全功能的運行。

作為一款針對高端用戶的UTM產品，Firebox Peak X8500配置有Firebox Pro、WatchGuard先進的網絡安全系統，提供多廣域網負載共享和接口故障轉移、流量管理和優先級設定、高可用性、動態路由選擇。用戶可以智能管理資源，并實現順暢高效的網絡運行。

同時WatchGuard獨有的全套產品均可升級擴展的特性保護了企業的安全設備投資。只須簡單的授權碼，就可實現Peak產品系列內的升級，無須花費額外成本購買新的硬件，即可增加容量、提高性能。用戶還可以下載授權碼，輕松添加強大的防護功能，包括入侵防護、網關防病毒、防間諜軟件、防垃圾郵件及URL過濾等。

使用WatchGuard System Manager 8.3，用戶可以對該設備實現輕松配置和管理。WatchGuard System Manager 8.3可以提供實時互動的監測、全面的安全日志和報告、基于特征的安全策略管理、拖放式VPN設置和日志管理，簡化了IT人員的網絡安全操作。

Check Point Safe@Office500系列

獲獎理由

Check Point Safe@Office UTM設備能夠提供模塊化的小型企業安全解決方案，可以根據企業要求，為擁有3～100名用戶的辦公室提供經濟高效的解決方案。Safe@Office 500W采用了Check Point下屬SofaWare Technologies公司技術，整合了108Mbps擴展范圍無線訪問點技術，其無線安全保護與客戶熱點功能對用戶吸引力較大。另外，向導驅動的設置選項能夠幫助中小企業快速簡單地定制防火墻和VPN設置，使其符合公司安全策略。

性能描述

這款網絡安全設備集合了防火墻、VPN、防病毒、入侵防御、通信量模式分析及Web過濾等多種功能。

從功能上看，Safe@Office500系列支持多種附加在線服務，包括防病毒、安全和固件升級。此外，該系列產品擁有內置界面，使得用戶可以將安全管理工作外包給可信的第三方。

從技術上看，Safe@Office500基于全新的Check Point Embedded NGX6.0安全軟件平臺，該平臺以Check Point的Firewall-1(r)與VPN-1(r)為基礎，集合了多種新增功能。

狀態病毒防御保護功能配合高吞吐量網絡使用的防病毒掃描功能，可為電子郵件、Web、文檔下載或任何其它用戶定義的端口提供防病毒保護。企業辦公室網絡因此可以提高對電腦病毒與“網頁仿冒”等攻擊的防御能力。

入侵防護運用到Check Point的Application Intelligence技術，能夠為網絡與應用層提供保護，確保網絡不受蠕蟲、拒絕服務攻擊的破壞，同時對即時信息與對等應用進行安全控制。

企業利用保護熱點功能可以管理員工對網絡的訪問，這包括可設置Web身份鑒別、臨時用戶賬號及RADIUS整合等功能。

企業可以通過使用內置流量監控及數據捕捉工具來控制及監控接收、發出的信息流，確保辦公室的寬帶連接維持高效的使用率。

上班族和出差員工可以通過該產品全面的VPN功能實現對企業網的遠程訪問，從而提高其生產力。

該設備的雙重WAN、撥號備份、自動故障解決(automatic failover)功能，能提高企業的網絡運行能力。TrafficShaper能協助優化信息流量，并確保關鍵應用能取得所需帶寬使用。

成功案例

多倫科技是一家從事軟件開發的公司。前段時間，公司網絡經常性掉線，甚至出現網絡不通或者網絡堵塞的現象，換過新的路由問題依然存在。為了保證網絡的穩定，多倫公司采用了Check Point公司推出的為中小企業定做的Safe@Office UTM系列設備。

該設備背板整齊排列著電源、復位按鈕、管理口、10/100M自適應WAN口、DMZ/WAN2口以及四端口LAN小型交換機，對于小型SOHO辦公的企業完全可以省去一臺10/100M交換機以節約投資成本。隨設備提供的一條標準的5類屏蔽雙較線、一套專用設備電源、一張產品光盤以及快速安裝手冊，完全可以滿足用戶設備安裝調試的需要。

在防病毒方面，Safe@Office設備提供了防病毒功能設置開關。病毒庫提供定期自動更新和手動更新兩種模式，提供完整的網關型防病毒功能。在防病毒策略設置功能上，系統提供靈活的設置方式，可以滿足網絡安全管理員結合網絡實際應用，在掃描能力和掃描效率上達到平衡。

通過高級設置功能，結合Check Point公司在網絡安全方面的成功經驗，多倫科技可以對電子郵件中潛在的不安全文件類型進行阻止，對安全的文件類型不須掃描而直接予以通過；對于壓縮文件，系統在保證效率的情況下，通過設置最大嵌套層次和最大壓縮率來對壓縮文件是否掃描進行控制，同時根據管理需要可以采取適當的安全措施。

多倫科技在使用該系統后正常攔截了所有病毒，公司的網絡又開始暢通了。公司IT主管查看了公司20多臺電腦，都沒有中毒跡象，訪問速度也提升了不少。

對于小型企業網絡而言，也許最大的威脅就是企業所有者對網絡安全的認識錯誤，缺乏保護網絡的熟練技能。Check Point Safe@Office UTM設備提供模塊化的小型企業安全解決方案，可以根據要求為小型企業網絡量身定制，將企業級全狀態檢測(Stateful Inspection)防火墻保護、網絡網關反病毒、IPSecVPN功能與定制選項和易用性結合起來。無需安全專家，用戶即可進行設備的安裝和配置。

Fortinet千兆級UTM產品FortiGate-1000A

性能描述

美國Fortinet公司的千兆級UTM產品FortiGate-1000A可為大企業提供高性能的解決方案。高可用性(HA)和冗余熱插拔電源模塊，可以實現對關鍵業務的不停機操作。并隨時可以通過FortiGuard實時響應服務網絡,實現攻擊特征庫更新升級，確保FortiGate 24小時防御最新的病毒、蠕蟲、木馬和其他攻擊。

FortiGate在體系結構設計上做了相應的全面考慮，以硬件設備為平臺，集成網絡和內容安全。FortiGate的UTM系列產品實際是網絡安全平臺，是基于ASIC的硬件設備，具有全面實現策略管理、服務質量(QoS)、負載均衡、高可用性和帶寬管理等功能。

FortiGate系統采用高級檢測技術和獨特的網絡內容處理技術，集成了多種安全技術于一身， 通過集中的管理平臺，構筑完善的安全架構。面對日益增強的混合型攻擊的威脅和社會工程陷阱，UTM設備成為用戶的重要選擇。Fortinet公司的UTM產品能夠通過簡單的配置和管理，以較低的維護成本為用戶提供一個高級別保護的“安全隔離區”。 它檢測病毒、蠕蟲入侵，阻擋來自郵件的威脅，進行Web 流量過濾。 所有的檢測都是在實時狀態下進行，不會影響網絡性能。FortiGate-1000A支持最新的技術，包括VoIP、IM/P2P, 能抵御間諜軟件、網絡釣魚和混合型攻擊。該系統無須安裝任何用戶軟件，提高了企業的安全和管理能力。

國內某著名大銀行采用了FortiGate-1000A 作為網絡系統的安全防毒網關。該產品不僅性能高，而且不會影響網絡正常運行，系統工作穩定。防火墻阻斷了許多攻擊行為，使服務器遭受黑客的攻擊減少，用戶收到病毒郵件事件也少了很多，還阻止了網絡內部的病毒、蠕蟲的傳播。總之，達到了預期的安全防護效果。

聯想網御Power V-5200 UTM防火墻

性能描述

聯想網御Power V-5200 UTM防火墻是基于ASIC的硬件系統，在網絡網關處提供實時的保護。其ASIC內容處理器，能夠在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其他基于內容的安全威脅。

Power V-5200 UTM防火墻集成了防火墻、VPN、入侵檢測、內容過濾和流量控制功能, 提供的是一個高性價比、使用方便的而強有力的解決方案。

Power V-5200 UTM防火墻設計使用Power V-5200 機箱，并裝有1個或2 個模塊(可選)， 以提供各種不同的吞吐量、 冗余量和接口要求。

Power V-5200機箱支持冗余熱交換式電源模塊， 以保證高可用性和不間斷的運行。對于可擴展的吞吐量，Power V-5200 UTM機箱具有2個插槽，以適應PM-5201和PM-5202母板式模塊，每一種母板模塊都裝有ASIC內容處理器芯片和提供高性能防火墻、VPN、反病毒、入侵檢測、Web過濾、電子郵件內容過濾、流量控制功能以及流量控制功能。每一種母板式模塊具有4Gb小型規格尺寸插拔式(SFP)端口和4個10/100/1000M自適應以太網端口。

Power V-5200 UTM防火墻提供細粒化安全防護，能分別對每一組或部門予以設置唯一的策略， 支持獨立的安全區和映射到VLAN標簽的策略。Power V- 5200UTM于今年3月份正式上市，可在企業、政府機關、電信、金融行業的網絡邊界處提供實時的安全防護。

該產品可以關閉脆弱窗口， 在網絡的邊界處阻擋病毒蠕蟲入侵網絡；可以提高企業的生產力和效率；可以提供安全可靠的系統防御，以及良好的性能和穩定性；可以在老設備上增加新功能，方便老系統的集成和投資保護。

SonicWALL PRO 4100 高速綜合UTM

產品描述

SonicWALL PRO 4100是一款將防病毒、防間諜程序、入侵防護、防垃圾郵件、防網絡釣魚以及內容過濾技術集成在一臺設備中的高速互聯網網關。其核心是一個功能強大的深度包檢測引擎，它能實時掃描網絡流量，并在惡意威脅入侵網絡之前在網關處將其屏蔽。

通過從SonicWALL數據中心自動下載安全更新可實現動態的網絡保護，無需管理員干預即可為網絡提供對最新威脅的防護。可以提供橫跨10個千兆以太網端口的穩健的“可信網絡”保護，可提供足夠的端口密度來將網絡劃分成多個域。例如，用戶可以用其中的端口來創建單獨的LAN或DMZ、第二WAM以及其它定制網絡安全域。用戶也可以配置一個硬件故障切換端口來獲得連續的網絡正常運行時間。

對于更復雜的網絡部署，PRO 4100可將安全擴展至虛擬及實際連接的無線LAN，從而免受來自企業網內部、聯網各部門或數據中心區之間的網絡威脅。

通常，遠程連接雖能提高員工的生產力，但也會將您的網絡暴露于任何可能的威脅下。PRO 4100具有創新的SonicWALL Clean VPN技術，可在移動用戶及分支機構連接威脅網絡之前對其進行凈化。除掃描遠程流量中的威脅外，Clean VPN技術還能提供告警，使用戶能及時隔離并控制潛在威脅。

PRO 4100以一臺設備提供企業級聯網、路由及防火墻功能。通過在一臺設備中綜合采用多種技術，PRO 4100可減少部署時間，使現行操作自動化并提高網絡的可靠性。PRO 4100允許在當今高性能及復雜網絡環境下進行靈活部署、無縫集成及精細訪問控制，用戶可以依靠它來獲得絕對的網絡保護、效率與控制。

這款高速綜合安全網關具有功能強大、實時防護、易于部署和操作等優點，可以滿足企業級聯網、路由及應用層安全防護的需求，價格也比較合理，創新的SonicWALL Clean VPN技術使用戶能及時隔離并控制遠程接入的潛在威脅。

天融信TopGate網絡衛士安全網關

產品描述

天融信TopGate網絡衛士安全網關產品是天融信公司基于天融信安全操作系統TOS(Topsec Operating System)和多年網絡安全產品研發經驗開發，最新推出的集防火墻、VPN、防病毒、防垃圾郵件、內容過濾、抗攻擊、流量整形等多種功能于一體的UTM(統一威脅管理)網關。

TopGate網絡衛士安全網關是高性能與多功能的完美結合，它采用TOS優秀的模塊化設計架構，在提供防火墻、VPN、防病毒、防垃圾郵件、內容過濾、抗攻擊、流量整形等功能時，保證了優異的性能。

TopGate同時具備防火墻、VPN、防病毒和內容過濾等功能，并且各種功能融為一體，能夠對各種VPN數據進行檢查，攔截病毒、木馬、惡意代碼等有害數據，徹底保證了VPN通信的安全，為用戶提供放心的“Cleaned VPN”服務。

篇3

北京科能騰達信息技術股份有限公司（以下簡稱科能騰達）是一家成立于2000年的網絡安全公司，一直致立于網絡安全行業的技術研究與市場擴展，成立15年來穩步發展，產品應用范圍已經涉及能源、電力、銀行、證券、民航、互聯網、連銷經營諸多行業和知名大型企業，目前已經和多家行業機構，科研機構保持密切聯系與深入合作，從起初的銷售型企業逐步發展為創新型技術研發+市場經營銷售和綜合性安全服務商，2012年企業獲得資本市場許可，成功登陸新三板（簡稱：科能騰達 代碼：430148），2014年企業又完成了新一輪融資，總股本增至2000萬，市值近3億元，發展勢頭迅猛。

在2015年第十六屆中國信息安全大會上，北京科能騰達信息技術股份有限公司榮譽產品CNGate-USG 綜合安全網關獲得了與會人員的高度認可。這款設備的市場定位主要在于解決中小企業網絡安全，其特點為，應用范圍廣泛，功能全面，操作簡易，CNGate-USG集成了防火墻、IPSec 和 SSL VPN、入侵防御、防病毒、防惡意軟件、防垃圾郵件、 P2P 安全及 Web 安全過濾，可識別多種安全威脅，同時，它的高密度接口也使得它可以做為企業內網安全交換機使用，方便對內網資源集中安全管控，堪稱在中小型企業和分支辦公室環境下極為完美的網絡安全解決方案。

本次中國信息安全大會上，北京科能騰達信息技術股份有限公司旗下產品CNGate-USG 綜合安全網關一舉獲得了“2015年度中國信息安全優秀產品”殊榮，科能騰達獲得了“2015年度中國信息安全極具影響力企業”。安全實用的產品，良好的企業信譽讓這家歷經十五年的企業再次贏得了市場和同行業人員的一致好評。

CNGate-USG 綜合安全網關的明顯優勢在于，這款產品的市場設計定位和高度聚合化的功能；綜觀現在紛繁復雜的安全市場，大多數安全產品的設計還處于一種很專業化、定向化的氛圍中，即一個產品解決一個專業定向的問題，企業出了這種問題，就找這種設備去防護、檢測等，企業是在一種相對被動的防護環境做出的選擇，而且隨著問題的越來越多越來越復雜，企業要去做的防護也會相應的多起來，隨之而來的就是企業網絡拓撲越來越復雜，可維護性降低與維護成本不斷提高，對于所有應用網絡的企業來說，這或許企業發展壯大中的一個不可避免的問題。

但對于中小企業來說，面對如頻繁復雜的網絡局面，又要做到保證足夠的信息安全防護級別，那將是一件很麻煩的事，復雜的網絡部署，加之不斷增長的安全設備成本與維護成本，愈發讓這些中小企業感到無奈，因為時下的企業管理者大都認為，用戶已不同以前像個單點，而是遍布網絡各處，企業信息安全問題早已經深入到了企業日常管理中，越來越普遍的安全威脅已經涉及他們迫切需要一個即能通盤解決時下主流信息安全威脅的設備，又能在維護上做到盡可能的簡單易用，不致辭于投入過多的安全維護成本。科能騰達正是看到了眾多企業問題，應合市場需求，設計了這款 CNGate-USG 綜合安全網關，為這些中小企業打造了功能集中方便管理維護的網絡安全設備，可以滿足中小企業對安全的基本應用，在有限的企業網絡中，為企業日后網絡發展預留了相當大的網絡擴展空間，稱得上是一款市場所需、企業所想、投入產出比較高的安全產品。

篇4

2004年9月，IDC首度提出了統一威脅管理的概念，將防病毒、入侵檢測和防火墻等安全設備劃歸為統一威脅管理(Unified Threat Management，簡稱UTM)。自此之后，國內市場上打著UTM旗號的安全產品就如雨后春筍般不斷涌現。

UTM產品為網絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施，以往困擾用戶的安全產品聯動性等問題也能夠得到很大程度的緩解。相對于提供單一的專有功能的安全設備，UTM在一個通用平臺上提供了多種安全功能。

從目前的市場需求來看，國內中小企業對安全產品的要求非常清晰：成本低、功能豐富、維護簡單、易于管理等。UTM設備恰好可以滿足這些需求。

顯而易見，如果中小企業要分別選購并維護防病毒網關、反垃圾郵件網關、內容過濾網關，再加上路由器和防火墻這樣的網關等，那無疑是太過復雜并且成本高昂了，它們需要的就是一體化網關設備。

客觀情況是，市場上不同品牌的UTM在實現上存在很大差異，用戶究竟怎樣選擇呢？下面，我們就通過對UTM的市場需求情況、產品功能、產品性能、易用性、性價比等方面的綜合分析，來對UTM進行全面總結，幫助企業用戶根據實際需求情況選擇最適合自身需求的產品。

需求：對安全全面管理

隨著網絡應用越來越復雜，安全問題以出人意料的速度增長，并且在攻擊方式、攻擊目標上呈現出多樣化發展趨勢。盡管來自企業內部的安全威脅正在增長，但木馬、蠕蟲及病毒仍是用戶需要面對的最大的安全威脅，垃圾郵件和應用程序的漏洞也給用戶網絡造成了嚴重影響。

近些年來，之所以整個網絡安全狀況日益嚴峻，是因為一些黑客及組織已經不再以破壞系統和網站為目的，他們更多是偷取一些個人信息和公司數據，并販賣這些信息和數據，以此來獲得非常可觀的利潤。

于是，各種木馬和垃圾郵件開始泛濫，惡意代碼也更加流行起來。復雜的網絡安全解決方案正成為人們關注的新的焦點問題，如何使復雜變簡單，給網絡管理人員帶來了困惑。

新技術總是會帶來人們工作方式的變革。伴隨著UTM設備應運而生，網絡管理員更多使用這種集中化的管理工具，逐漸放棄了傳統分散式的安全解決方案。他們可以通過在網絡中部署一臺UTM來實現原來的防病毒、防火墻、反垃圾郵件、入侵檢測及VPN管理等功能。

從表面上看，這種方法的確簡化了安全管理，但是從目前已有的UTM產品來看，也存在一些問題。某些產品忽略了用戶真正最關心的內容，把更多重點單純地放在了整合概念上，從而導致一些基本的安全防護工作并沒有做到位，為網絡安全帶來了更難察覺的安全隱患。

同時，也有一些UTM產品在更多關注安全問題的同時，又忽略了其他方面的關鍵問題，如綜合吞吐、系統管理、報表日志及升級等。當IDC在2004年開始對UTM市場進行預測時，它就為這些所謂的“全能工具”制定了一個標準。但從那時開始，這些定義就開始衍化出多種不同的版本。

功能：應關注病毒防護

隨著時間推移，用戶對UTM產品認識的問題更加凸顯。對于用戶來說，究竟一款UTM產品應該把關注點放在哪些地方，我們不妨通過一些統計結果來了解一下。

據公安部公共信息網絡安全監察局調查結果顯示：我國2005年至2006年間發現的網絡安全事件統計情況如圖所示。從圖中我們可以看出，病毒、蠕蟲和木馬仍舊是給企業網絡安全造成威脅的罪魁禍首。

目前，UTM產品普遍采用兩種防毒技術。一種是基于數據流的過濾，這種技術通常是用ASIC芯片來實現的，其實現方法與網絡協議無關，只是把已知的病毒規則加入到UTM中，對接收到的數據包的內容進行強匹配，因此速度非常快，可以有效地在骨干網絡上對當前最流行的病毒進行過濾。但缺點也很明顯，這種設備通常比較“笨”，無法對其“不認識”的病毒或格式復雜的文件采取任何分析措施。

另一種是基于文件的過濾，這種技術通常是在人們熟悉的x86平臺上實現的，其實現方法是基于協議，通過協議識別把利用某種協議進行傳輸的數據重新組合起來，做文件還原再查殺病毒。這種方法可以對壓縮包、復合文檔(OLE對象)、病毒的加殼變形甚至是未知病毒等進行有效的識別處理，適合用在Intranet出口保證企業內部網絡安全。但由于它要對傳輸的文檔進行緩存并掃描，其速度相對來說會慢一些。用戶在選擇的時候，不能只聽概念，應在實際環境中綜合評估。

除了認識病毒識別的方法，還應該關心一下UTM對病毒進行查殺的實際支持情況，主要考慮以下幾個方面：支持的病毒種類與數量、病毒庫的升級頻率、支持的病毒過濾協議、VPN通道殺毒以及防病毒策略的配置方式等內容。

目前來說，病毒總數已經達到40萬種。為了達到有效的病毒防護，病毒升級的頻率應能夠達到一天一次。另外，應支持對網絡中常用的應用協議如HTTP、POP3、SMTP、FTP進行殺毒，較好的產品還應支持IMAP、MSN等協議。對于病毒過濾策略配置的實現方式，一般應支持防火墻策略，允許用戶指定接口與區域，以便實現針對性防毒。

對于UTM的反垃圾郵件功能，實現方式同樣也可以分成兩種，一種是本地過濾，另一種是集中式過濾。

本地過濾是目前許多產品采用的方式。所謂的本地是指管理員需要手動地在本地計算機上添加反垃圾郵件規則，并對其不斷地維護更新。這種方法不僅管理成本高、消耗本地計算機資源，還容易發生漏報。

而集中式過濾由于采用了分布式技術，在互聯網上的所有檢測服務器實時、同步對郵件的發送行為進行監控，保證過濾規則的統一，因此過濾效果往往較好。另外，這種方法是基于郵件發送行為的，因此與郵件使用的語言無關，并且能夠有效處理圖片型垃圾郵件的問題，這都是傳統的本地過濾技術無法完成的任務。但這種方法也有自己的缺點，那就是在實際使用中會對網絡資源造成部分開銷。

接下來要繼續了解IPS功能。這部分主要需要關注UTM的誤報情況，因為中小企業的管理員通常沒有精力來分析是誤報還是真的有攻擊。另外還需要了解打開后對性能的影響程度，以便有選擇地對主要安全威脅進行過濾。

除了關注防病毒、防攻擊以及反垃圾郵件這三個對用戶網絡安全造成影響的因素，一款好的UTM產品同樣需要關注以下問題：

VPN管理

網關上的配置要盡可能簡單，應該能夠支持Windows的VPN客戶端撥號程序，這樣任何受信用戶在任何地點都可以連接到企業內部網絡。

內網管理能力

這主要是指MAC管理，包括能否自動學習到每個用戶的機器名信息、是否便于管理、機器名信息是否能自動帶入其他模塊。還要了解其流量控制與帶寬管理的細節，是否與用戶相關并能很方便地設置。最后還要了解一下，能否對應用軟件進行管理，如IM、P2P、游戲軟件、股票軟件等。

日志管理能力

UTM應該提供本地病毒、垃圾郵件隔離、日志審計、統計報表，且無需再配其他軟件或硬件來管理日志與報表。如果UTM無法對其管理的內容提供有效的報告，那么沒有任何意義了。所以，好的UTM設備都應該提供豐富直觀的日志報告，有些內容甚至是實時提供的，這些內容使得網絡管理員可以方便地監控網絡的狀態和安全狀況。

集中管理與聯動功能

優秀的UTM應該提供集中管理功能，不少UTM還能與網絡中的殺毒軟件網絡版進行聯動，阻止有安全隱患的計算機上網并發送管理員報警，讓管理員能很容易發現網內的安全短板，以便及時解決。在UTM的領域里，集中管理可以幫助管理員對網絡有一個全景的掌握。

系統升級功能

在過去，UTM設備捆綁的很多安全組件并不一定都能夠自動升級，因此管理員只能一一手動進行更新。對于維護來說，這是一項很讓人頭疼的事情。有的UTM甚至根本沒有提供升級功能，用戶還需要另行購買用來處理升級的程序。而現在，UTM幾乎都提供了專業的升級功能，它可以自動下載各種組件需要的最新簽名，并且管理員可以通過只單擊一個按鈕就能完成整個操作。

性能：別套用傳統指標

目前，防火墻已經具有較為完善的測試標準和測試結果，比如每秒新增、最大并發、各種包的吞吐情況、特定壓力下的情況等指標。但這往往只是60秒內的數據，且是在無規則情況下產生的。然而在實際的網絡環境中，肯定會有規則，并且會長時間不間斷地運營，因此那時獲得的性能數據肯定會打折扣。

防火墻的最大并發達到百萬已經很常見了，應用層的并發是否也需要這么大呢？其實，防火墻的最大并發主要是在維護包過濾的狀態信息，時窗往往達到5分鐘，因此需要很大的并發值。但對于應用層過濾，還主要看所采用的技術是還是流過濾。若采用技術，應用層的連接在還原數據后就可以復用，因此并不需要很多并發，一般來說每人5個就夠了。這時，應用層最主要的是看新增能力及吞吐能力，前者表示很多用戶在傳輸數據時新用戶請求的響應時間，后者表示反應請求的時延。

另外，應用層的吞吐受影響的因素更多，如文件的大小、文件的種類、文件的實際內容、服務器的帶寬、服務器的忙閑、出口的帶寬、經過的網絡設備、域名解析的情況。因此不能光看UTM設備的最大吞吐，而要看平均吞吐(在實際的網絡環境中，統計一周左右的數據，通過網關設備看其平均處理能力)。

對于防毒產品，還要看檢出率與誤報率。當然在現實環境中用戶不能直接評估此數據，因此只能看國家檢測機構的數據。但是我們可以模擬變形來看看安全網關的處理能力，如將文件放到復合文檔中，放到壓縮包中，使用加殼工具處理后看看是否能得到過濾。沒有通過國家權威機構檢測的UTM，建議消費者在選購時不要購買。

對于垃圾郵件來說也是一樣的，主要是看檢出率與誤報率。誤報會影響用戶的正常郵件，因此一定要低，一般能接受的指標是千分之一。同時檢出率要高，一般應達到85%以上，優秀的產品應該達到90%。

綜上所述，單純用一些測試防火墻的設備來評估UTM的性能是不客觀的。用戶應該理解廠商的性能參數的實際意義，建議在自己的實際環境中進行試用，并輔助實測，以便評估所購買的產品。

易用性：簡易且友好

UTM設備不同于交換機、路由器等網絡產品，管理員往往需要通過基于對一段時間內發生網絡事件的分析，對現行的安全策略進行修改，因此UTM產品的易用性就非常重要。我們在評價一款UTM產品的易用性時，主要從以下幾個方面進行分析：

部署方便

對于中小企業用戶來說，UTM的安裝和部署應該足夠簡單，盡量不影響企業現有的網絡環境。在企業有多連接時應能夠做到負載均衡，并支持各種接入方式。

管理簡單

這部分包含管理、升級和調試三方面的內容。

管理方面，UTM產品應提供圖形化的自有管理系統，應對用戶本地語言提供詳細的管理手冊和設置范例，另外還應該對UTM采用分級管理，為不同的管理目的設定不同的角色。升級方面，UTM產品自身應該能夠方便升級。同時，對于UTM使用的各種組件的特征庫，如入侵特征庫、病毒庫、垃圾郵件庫以及惡意URL站點庫等應該做到智能升級。調試方面，UTM產品應該為用戶提供必要的網絡故障檢測手段和調試工具，方便用戶能快速定位故障，如Ping、Trace Route、數據包捕獲、Telnet、SSH、應用協議跟蹤等。另外，為方便得到更多的原廠商技術支持，UTM應該能提供遠程協助功能。

報表友好

UTM應該能夠圖形化地顯示出系統的各種信息，突出顯示管理員應該關注的內容，并能夠提供多種格式的報表，方便管理員進行文檔備份及報告。

性價比：合適才最好

對于UTM這種新興的網絡安全產品，目前業界還缺乏足夠規范的測試與評價標準。各個廠家對UTM概念理解不同造成了UTM功能方面的差異。

例如考察百兆級UTM產品在一個規模在100~500人之間的中小型企業的綜合防護能力，一定不要片面追求某項測試指標的高低，而應全面考慮各種因素。

目前市面上的UTM產品，全功能開啟后，防火墻有50%~90%的性能損失，這其實并不令人感到意外。

小企業的UTM產品，防火墻性能為80M，開網關防毒為15M，開IPS也是15M，兩個同時開變成12M。這種產品面對的就是100人的小辦公環境，這些辦公室往往是2M的企業ADSL，或是幾條AD線路，最多也就是10M專線，最大投資希望在2萬元之內搞定所有安全功能。

目前UTM的市場主要定位還是企業，很少有運營商使用。因此UTM的核心在于能夠滿足用戶的應用環境。

百兆的UTM產品，如果防火墻能夠達到200M，開網關防毒后處理能力達到60M，開IPS也能達到60M的話，完全能滿足300人以內的企業用戶。這種規模的企業即便是申請專線，外加上備份用的AD，總帶寬往往也不超過30M。即使開啟UTM的所有功能，處理能力也是夠用的。但這類規模的企業往往在投資上有嚴格的控制，一般來說總投資不超過5萬元。

此外，我們還要計算3年總擁有成本。首先要了解各個模塊的收費情況。目前的許多UTM產品，反病毒模塊、反垃圾模塊、VPN模塊、IPS模塊、內容過濾模塊是單獨收費的，當然也有部分廠商提供許多免費模塊。

其次，我們要了解其授權模式。目前業內有兩種授權模式，一種是基于每設備收費，不限制用戶數；另一種是基于用戶數收費，這樣企業在發展過程中，可能還需要額外的費用。

最后，用戶還應該了解各種服務的收費方式。一般來說UTM的服務更重要，在購買后能提供什么樣的升級服務以及產品售后服務。一般來說是按年進行收費，多數情況下一次性購買多年服務會享受一定的折扣。企業級用戶應該通過總成本與得到的功能與性能的綜合比較，來選擇適合自己的產品。

選型總結:撥開迷霧 按需選型

雖然各種UTM設備有不同的優點，但企業對UTM設備的選擇應該有一個基本原則：UTM設備的選擇應滿足企業安全策略所要求的安全目標，還應和企業現有的業務處理環境、管理制度、信息技術環境做到最大程度的兼容。

企業的業務處理需求是指企業對正常業務處理流程中可能存在的安全薄弱環節的加固，或對可能存在的入侵路徑進行控制的需求。對一個主要使用電子郵件與外界聯絡的企業，需要考慮UTM設備的反垃圾郵件功能是否滿足日常使用需求；對一個通過NAT企業網站的企業來說，防毒與入侵檢測功能應該成為選購UTM設備首要考慮的因素；對于有安全遠程接入需求的企業，UTM設備的VPN支持也應該進行考慮。總之，企業應該根據自己的業務特點，結合信息的輸入輸出來確定待采購的UTM設備應該具有的基本功能。

企業的管理要求是指企業需要用安全策略來指導內部用戶使用信息系統的行為，同時也需要通過技術手段來限制用戶實施某些行為的能力。因此，企業選擇UTM設備的時候也應該考慮UTM設備是否滿足企業管理要求。比如，企業要禁止用戶在工作時間使用某些IM軟件，選擇的UTM設備就應該包含IM控制功能;企業不禁止用戶使用P2P軟件，但需要限制用戶的使用帶寬，那選擇的UTM設備就應該有P2P帶寬限制功能;企業禁止用戶在工作時間瀏覽某些類型的網站，那選擇的UTM設備應該帶有Web內容過濾的功能。