企業網路應用需重視流量、安全管理

隨著網路應用越來越多元，企業網路管理與安全也備受挑戰，在頻寬有限的環境中，與企業業務相關的ERP（企業資源規劃）、視訊會議、網路電話（VoIP）…等系統要和即時通訊（IM）、P2P、垃圾郵件等員工的網路應用搶頻寬，為避免浪費企業網路頻寬，及讓企業網路更有效率地的運作，可預見網路流量與安全管理是未來企業網路應用的重要議題。

日前iThome電腦報舉辦「企業網路應用發展研討會」，參與的網通設備商一致提出負載平衡、流量管理、垃圾郵件阻擋等是未來企業網路重要的網通設備採購方向，目前也有不少網通設備商提供網路安全、網路流量管理相關的產品，包括合勤科技（ZyXEL）、亞盛科技、兆盛科技、群環科技、逸盈科技及宏碁等。

企業網路將面臨頻寬、使用者、安全管理問題
大臺北寬頻網路公司技術部經理傅冠彰說，網際網路已是全民化運動，面對這個情勢，企業的網路有許多問題必須解決，例如頻寬管理，企業網路的頻寬有限，必須依照不同等級和標準來管理。另外有使用者管理問題，包括使用者身分紀錄、使用者來源、使用者可用資源管理及活動紀錄等。安全管理問題則重在防止駭客、病毒及木馬程式，以避免企業網路運作停頓。最後是設備整合，現在各類網通設備各司其職，企業在使用與管理上其實不太方便，未來的網路設備，一臺機器將集各種功能於一身。　　

隨企業網路出現管理、安全上的需求，傅冠彰指出，未來網路設備也有不同的進展，比如說路由器（router）會結合QoS（Quality of Service），以往路由器僅提供封包轉送功能，但有設備商試過提供一些QoS功能，結果並不受歡迎，這是因為過去QoS功能是指利用封包上的tag來判斷優先權或路徑，實用價值比想像中低，未來QoS的需求必然會與使用者管理相結合，而且可精確辨別流量種類，比如單一使用者可用多少頻寬。 　

此外，現在的駭客及病毒是利用大量的TCP網路協定或半開放的連網方式來癱瘓網路運作，傅冠彰表示，未來大型路由器必須管理並防止此事，例如使用流量管理路由來管理每個IP可用的連結數量。

而在區域網路（LAN）交換器（switch）設備上，傅冠彰說，乙太網路自從使用光傳輸後，能力大增，許多廠商試圖將它用於取代現有TDM傳輸，以提高頻寬、降低成本，但是，乙太網路的VLAN（虛擬位址）數量太少，企業必須使用各種新技術才能解決，他並建議辦公室用小型乙太網路設備最好與防火牆等功能整合，以降低使用難度及成本。

單一設備整合各種網路安全功能
在網路安全設備上，傅冠彰說，現有的網路安全設備，由於網路安全跨越太多層級及項目，因此難以整合，不過，未來防火牆、入侵偵測、防毒、內容監控、電子郵件病毒偵測等各類型網路安全服務都將整合至單一臺設備中。

不過，傅冠彰也強調，單一設備無法改善企業內部網路安全，網路安全設備還要具備多埠接續以將企業內部區分災難區塊或全面防堵病毒，同時，企業也要深度分析封包內容，並搭配使用者管理觀念，除了可分辨各類型流量外，也可管控分配各類型流量可占的比例。

對於網路設備的整合，合勤科技業務行銷處國內部協理徐樹傑也持相同看法，尤其在資安設備上，他指出，目前最令企業頭痛的資安問題有四：「病毒及蠕蟲」會危及企業整體的網路安全，企業必須保護公司內部電腦網路，免於遭受病毒及蠕蟲的入侵。

「IM及P2P等網路行為」會導致企業經營效率的降低，企業需要控制員工使用IM及P2P的行為來增加員工的工作效率。徐樹傑說，P2P檔案分享的應用會消耗掉可觀的頻寬，也有可能洩露企業極端敏感的資料，而IM則增加企業潛在的法律侵權問題，也浪費個人時間及網路資源。此外，還有許多網路應用軟體是走Port 80、Port 443協定，而透過這兩個協定進入企業網路的應用，防火牆目前無法阻擋，無形中讓企業暴露於危險之中。

「間諜及釣魚程式」的猖獗，也讓企業必須過濾和工作無關及浪費員工產能的網頁瀏覽，以避免釣魚程式的威脅。另外，「垃圾郵件」的氾濫也令企業產生阻擋不需要的郵件來減少垃圾郵件量。

從企業面臨的資安問題來看，徐樹傑指出，企業對資安設備的需求是防火牆、防毒、主動入侵偵測（IDS），根據Yankee Group的調查，2004年56%的企業資安預算是花費在這3項設備的採購。

不過，未來企業網路要達到全面防護，不必再逐一採購各種功能資安設備，現在網路通設備商已發展出資安整合設備，合勤科技新一代的防火牆就訴求整合式威脅管理（UTM），一臺機器集防火牆、企業虛擬私有網路（VPN）、負載平衡、流量管理、防毒、入侵偵側、阻擋垃圾郵件、網頁過濾等功能於一身。IDC也預測，未來5年內，UTM設備的銷售將超過標準的防火牆。

除了企業端的安全防護，合勤科技也開始倡導個人行動安全觀念，並發展出全球第一臺個人用的掌上型安全閘道器（Gateway），徐樹傑表示，個人是組成企業的一份子，一旦個人的電腦網路受攻擊，很容易感染與擴大至企業內部網路，因此從個人端著手，可讓企業的網路安全防禦網更嚴密。

合勤的個人安全閘道器可與員工的筆記型電腦連接，並與企業VPN網路介接，員工出差在外的網路行為都可受到企業的監控。

已有解決企業頻寬瓶頸的設備出現
亞盛科技國際業務處專案經理何柏毅則從企業網路運作效率來看相關的設備發展，他指出，現在企業的頻寬瓶頸是發生在WAN（廣域網路）上（見圖一），目前單一連線的方式也容易發生斷線的風險，但企業承受不起斷線的損失，因為這可能讓企業失去業績、公司形象及客戶信心，加上現有的流量管理設備只能看到流量，不知道裡面有什麼應用程式，在在都顯示網路流量管理設備的功能有提升的空間。
目前亞盛科技的負載平衡設備在WAN網路端已可整合多條線路（見圖二），以避免瓶頸點，多線路自動容錯及備援的功能也可自動偵測線路狀態，並能整合不同網路服務業者（ISP）及多種線路，以解決單點故障所造成的斷線問題。

而流量管理設備則可進行雙向流量管理，功能包括可根據IP位址及應用程式管理、保障最小頻寬及限制最大頻寬、保障重要應用頻寬優先權、依時間排程管理等，在分析報表的產生上，也依企業頻寬政策提供長短期流量統計分析、依IP位址或應用程式、依流量大小或根據帳號來進行分析。

另外，亞盛也有防治垃圾郵件的設備，主要特色包括支援收信與送信雙向過濾、垃圾信與病毒一次過濾、垃圾信資料庫自動學習功能、支援多種垃圾信處理方式、同時支援多個網域名稱、大量郵件攻擊自動保護等。文⊙陳珮雯