iThome

以廣告設計為主的智城國際,原本使用的UTM設備是SonicWALL的PRO 3060,由於機齡超過3年,需要汰舊換新,加上這時公司出現SSL VPN的使用需求,因此在5個月前,將設備更換為同廠牌的NSA 3500。

該公司藝術總監徐宏德表示,目前使用的設備在建置上,主要是由公司本身的資訊人員自行設定,評估新設備的過程中,智城也曾經想藉此機會了解一下其他廠牌的UTM設備,但由於他們對SonicWALL的設定及操作邏輯均非常熟悉,加上使用前款設備期間,除了硬體曾經發生過一次故障之外,軟體方面並沒有太大的使用問題,經過考慮之後,最後還是決定採用同一廠牌的新款設備。

在網路的規畫上,他們將內部網路畫分為LAN及DMZ兩個區域,其中後者主要是用來放置Web、Mail及FTP伺服器,由於他們在業務上非常仰賴透過FTP傳送設定圖檔,如何維持資料傳輸的不間斷就非常重要,所以他們在同一臺設備上連接了3條對外線路。

透過SSL VPN簡化遠端存取

SSL VPN是智城國際採購NSA 3500的原因之一。徐宏德表示,過去他們是利用原廠提供的Global VPN Client軟體建立VPN通道,用戶端方面需要由資訊人員手動設定之後才能撥號連線,為了省去這項手續,因此決定改用SSL VPN做為存取內部網路的主要方式。

利用UTM,有效提供閘道端安全

徐宏德表示,早期他們也曾經以Linux架設而成的防火牆做為閘道端硬體使用,當時經常受到網路病毒的攻擊,讓他們相當困擾。就該公司長期使用SonicWALL的經驗來說,透過UTM的過濾,個人端電腦的警告事件明顯減少許多,顯示設備的確可以發揮功效,在整體效能可以接受的情況下,由UTM擔任閘道防毒的防護設備。

由於企業規模不大,因此設備是採直接上線方式部署,之後視使用情況手動調整設定,徐宏德說,他們前後約花了10天的時間調整新機的設定,其中網頁過濾是主要項目,相較於有些企業會搭配排程器的機制,在特定時段開放員工瀏覽所有網頁的權限,他們的作法較為嚴格,任何時段均禁止員工在公司內瀏覽限制類別的網頁。

對於垃圾郵件,智城國際也是透過UTM來從事過濾,利用查詢RBL資料庫的方式,直接丟棄垃圾郵件,不過RBL對於IP信譽的認定較為主觀,容易產生誤判而使得正常郵件無法順利寄送,因此當我們問到該公司是否曾經發生過重要郵件誤判的問題,徐宏德表示實際的使用狀況尚在可以接受的範圍內,加上重要的圖檔直接以FTP上傳的方式放置到DMZ區的伺服器,之後再透過電話等其他方式確認,因此沒有發生過特別嚴重的誤判情況發生。

 

【相關報導請參考「UTM設備採購大特輯」】

熱門新聞

Advertisement