企業防火（毒）牆的使用經驗

企業防火（毒）牆的使用經驗
到iT邦幫忙

return（iT邦初學者9級）發問：
客戶最近想要添購企業內部的防火（毒）牆，架在用戶端與伺服器之間，減少用戶端中毒後對伺服器的影響。預算約3～4萬左右，請問大家推薦哪些廠牌型號？CP值越高越好。

tombo（iT邦初學者1級）：
BlueCoat Proxy SG + Proxy AV。UTM 功能很多，但是處理器和記憶體根本撐不起所有服務都啟用。如果有足夠的預算，還是規畫買專用的設備會比較好。

BlueCoat ProxySG除了可以快取、管制上網之外，還可以搭配ProxyAV做病毒過濾，而且可以選擇很多家廠牌的防毒引擎。

ghost（iT邦初學者9級）：
使用防火牆，第一個要做的就是把伺服器跟LAN隔開。然後看防火牆有沒提供防毒功能，有的話就將它啟用。

第二個是讓伺服器與用戶端使用不同防毒軟體，避免同一套防毒軟體被破，前、後端全死。

第三個才是考慮要不要再加過濾硬體設備。

當然，要看你的伺服器跑什麼服務。有些服務，防毒軟體是算使用者數，萬一算下去，要五萬、十萬的，那的確是慢慢找3～4萬的防毒牆比較划算。

onoroff（iT邦初學者10級）：
公司多少使用者，在購買防火牆時也需要考慮進去。防火（毒）牆，架在User端與伺服器之間，我是沒用過，切VLAN會不會好一點？另外，Cyberoam使用狀況不錯，不過超出你的預算。

edwardso（iT邦初學者10級）：
建議你先在源頭開始，查看為何用戶會中毒？上網中毒？電郵？USB儲存裝置？用戶端的防毒軟體為什麼沒作用？沒有搞清楚，只是在伺服器增加防毒軟件／UTM，不一定有作用。

以我自己公司來說，早期用戶之電腦安裝了Norton防毒。有一次在公司內部中了病毒，影響到檔案伺服器，用Nod32才可以清除。隨後在檔案伺服器安裝了另一個牌子Avira防毒作測試。後來檔案伺服器上的防毒發揮了作用，把公司中毒的檔案都鎖了。之後再改用了IronPort和Sophos防了廣告信＋有毒電郵。

更後來，更換成Blue Coat Proxy和AV（Kaspersky），大致運作很好。公司的電腦中毒少了很多了。

raytracy（iT邦大師7級）：
選購時要注意防火牆的最大產出效能（Throughput，或稱最大頻寬）。3～4 萬元的防火牆，產出效能大約只有100Mbps～300Mbps左右，但是內部LAN運作時，往往超過這個數字許多倍，動輒上Gbps。所以當你置入防火牆之後，要考慮是否影響內部網路的通訊效能，甚至造成某些AP的反應變慢。

尤其是經常使用大量檔案傳輸，或有 ERP 在運作的環境，大部分防火牆如果開啟UTM（防毒，入侵偵測……等）之後，效能會降至只剩下1/3。