不同企業規模與行業屬性,採購UTM設備的考量點將會有不同。小型企業較重視採購成本,效能和功能夠用就好,假如公司本身未建置郵件伺服器,所採用的UTM設備就不一定需要垃圾郵件過濾功能。
.中小企業優先考量成本
在中大型企業中,當多種資安功能同時啟動時,對效能的要求會比中小企業更高;由於對內外的網路服務類型多,環境中也存在不同應用的網路設備,企業會更要求功能完整,以及UTM設備與其他網路設備的溝通協同能力良好。
.從功能數量估算所需效能,注意硬體規格
在UTM開啟越多功能,代價就是拖慢整體處理效能。廠商提供產品規格效能資料未必可信,有些數值只是理想效能值,而非通用流量狀況,可以參考此次我們的測試數據。
UTM設備是否要一次開啟所有功能、取代所有設備,也是企業必須先思考的第一個問題。如果企業打算把UTM設備當作企業網路進出的第一道關卡,防火牆、防毒、VPN和IPS等功能全開,當然要有一定的效能表現和夠充裕的處理負擔,預留給突發狀況或網路用量成長。
.改善效能,硬體架構各顯神通
UTM設備的硬體處理架構,各大廠通常採用ASIC加上PC處理器,或是FPGA加PC處理器等組合方式。這四種架構以效能高低排列,分別是ASIC、FPGA、網路處理器、PC處理器。
ASIC、FPGA和網路處理器的主要功用在協助加解密或掃毒。為了解決UTM防毒效能不彰的處境,除了從軟體面改善掃毒效能,一些廠商也從硬體加速改善,Astaro目前在ASG 425硬體上搭配ASIC晶片加速,病毒掃描不論是網頁或郵件都會交給ASIC處理,合勤ZyWALL UTM也有ASIC硬體加速處理。硬體加速晶片除了用來分攤處理器的負擔,過去更常見的是專門用來提升加解密速度,使VPN傳輸更順暢。
.選擇適當的UTM部署模式
一般常見的網路配置方式包括,路由模式(Routing Mode)、透通/橋接模式(Transparent/Bridge Mode)和代理模式(Proxy Mode)。
大部分企業在閘道端會採用路由模式和NAT的方式。這樣的狀況要特別注意傳輸的效能,假如設定不好的話,特別是動態路由(Dynamic Route),傳輸效能將受到極大的影響。
如果不想動到企業原有的網路架構、保留原有防火牆,UTM設備就須以透通/橋接模式建置,多一層防火牆或防毒牆來管控內部出來的攻擊和病毒。但假如企業想要替換掉防火牆,就不需要用這種模式,等同於重複投資。至於代理模式是公認最能完整檢查網路流量,但架構改變的幅度最大,DNS或員工電腦要配合修改設定值,同時傳輸效能一定會受到影響。
.管理便利性和政策制定不可忽視
要求UTM設備本身的防護能力和效能到達水準後,系統周邊的管理便利性同樣不可或缺。設備管理者平時除了要注意政策調整、定期產生與檢視系統與威脅管理報表、病毒碼、IPS特徵碼與韌體更新,以及設備OS近期是否升級改版外,簡易的管理設定及多部設備的中央控管機制,也是中小企業IT人員需要的功能。
.延長借測時間,徹底檢驗
再多的規格比較和模擬測試,還是不如實際上線測試,唯有這樣才能了解這套設備放在公司網路是否會影響效能。真正上線測試前,用戶要準備應有的處理程序,定義問題發生時的應變方案,降低測試時導致無法提供服務的風險。
將UTM設備建置在閘道上,基本上只測試一到二周,時間太過匆促,有些突發狀況非短時間內測試會遭遇到。一般來說,效能調校如果遇到瓶頸,至少需要一周以上的時間來解決,當設備上線後,廠商還是要持續掌握用戶運作狀況,找出網路特別忙碌的周期,藉機觀察出設備的負荷量,徹底檢驗效能、功能與相容性。
.續約更新,常保產品防護能力
UTM設備價格購買時,通常會內附一年的更新授權,不過企業往往會忽略到這部分的成本,一方面是因為雙方當初沒有溝通清楚,臺灣的企業用戶沒有續約服務需要額外付費的認知。
不續約會怎麼樣?有些產品就只能發揮防火牆和VPN功能,內容過濾的部分聊勝於無,有些產品宣稱不續約更新防毒,設備上有提供免費的Clam防毒。在這樣的觀念下,結果可能比當初分開購買設備更糟,讓UTM無法達到預期的防護,形同雞肋。
相關報導:
防禦網路邊界多威脅 UTM一機搞定中小企業優先考量成本
在中大型企業中,當多種資安功能同時啟動時,對效能的要求會比中小企業更高;由於對內外的網路服務類型多,環境中也存在不同應用的網路設備,企業會更要求功能完整,以及UTM設備與其他網路設備的溝通協同能力良好。
價格上,IDC將UTM分成1000美元、3000美元、6000美元、10000美元、25000美元及50000美元等7個價格區間。而我們這次採購特輯,針對中小企業所設定的價格門檻是30萬元內(也就是10000美元以下),服務人數為50人,需含一年的軟體更新服務。企業第一次購買UTM設備的價格,其實並不是這套設備的整體成本,必須加上第一年後每年續約價才是UTM的全部支出,例如以使用五年來計算,除了第一年的設備成本,還要加上後四年的更新與維護費用。
在產品售價上,UTM設備(甚至整體資安設備)存在著奇怪的現象:建議售價和真實售價的落差極大,企業最後買到的價格可能是產品原定價的五折、六折,甚至一折。廠商為了爭取利潤,導致臺灣的產品建議售價偏高,超過全球的產品建議售價,同時卻又給企業範圍很大的優惠折扣,造成價格非常混亂。廠商不會明講幾折,如果你聽到市面上同產品有更優惠的價格,他們會以專案報價等理由告訴你更低的價格。
好的產品和售後服務背後都是有代價的,廠商讓你拗到極低的折扣,你最好有心理準備面對後續不周到的服務,或者應該心知肚明,這樣殺價最後可能根本沒佔到便宜。羊毛出在羊身上,廠商很可能會想辦法從用戶身上把費用省回來。當大家都要求最優惠的折扣,服務品質很可能會無法維持,如果廠商真的無利可圖而倒閉,等你用了一段時間、出現問題,最後很可能找不到廠商來處理。
當然,這是臺灣整個IT生態的問題,並無法在一朝一夕解決,建議大家找一家信譽可靠、開價合理,並能提供良好服務的廠商。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
從功能數量估算所需效能,注意硬體規格
在UTM開啟越多功能,代價就是拖慢整體處理效能。廠商提供產品規格效能資料未必可信,有些數值只是理想效能值,而非通用流量狀況,可以參考此次我們的測試數據。
該開啟哪些功能?
UTM設備是否要一次開啟所有功能、取代所有設備,也是企業必須先思考的第一個問題。如果企業打算把UTM設備當作企業網路進出的第一道關卡,防火牆、防毒、VPN和IPS等功能全開,當然要有一定的效能表現和夠充裕的處理負擔,預留給突發狀況或網路用量成長。
假如企業只是為了強化內容過濾,例如網頁/網址過濾、垃圾郵件過濾,甚至想做到郵件稽核,奕瑞科技資深技術經理黃茂勳表示,在閘道端啟用這些個人化功能並不恰當。特別是垃圾郵件的個人黑白名單與個人隔離區功能,設備本身勢必得開放部分權限讓一般使用者存取,為了增加設備可用的功能,反而降低設備本身的安全性,有可能得不償失。
這也是大部分UTM產品在垃圾郵件過濾功能有限的原因之一,除了佔用的系統資源增加,使用者能直接登入UTM設備系統管理隔離信件,也不是妥當的作法。
效能往往不如預期
系統記憶體、快取記憶體的容量以及網路處理器等級,和設備效能有很大的相關,同樣也是企業採購UTM設備時不能忽略的項目。
雖然UTM設備是一種標準化產品,效能高低多半與UTM設備硬體等級、價格成等正比,不管企業用戶採用的是國外設備或國內產品,我們都曾經耳聞他們抱怨效能不如預期,在所有功能打開的狀況下,設備效能會降至只開單一功能的30%至40%。
日前IDC提出UTM市場熱度減緩的說法,一方面因為UTM設備廠商或經銷/代理商沒有和企業用戶溝通清楚,教育市場時偏重宣導UTM設備功能很多、效能好,但實際上卻在規格呈現的數值有所保留。不了解這類型產品而導入的企業,被廠商單向灌輸UTM有多種功能又省錢,有許多資安防護好處和便利性,卻沒有預期到真正上線的狀況。
認清個別功能是否符合需求
使用UTM設備要先認知到一件事,產品規格上所列出的功能其實暗藏所多玄機,有些功能只做到常用的部分,是否能滿足你的需求,有些設備偏重某些功能,甚至做到專屬設備的程度。是否需要最完整的功能,或只部分功能即可,需要靠管理者從成本、管理難易度和短長期需求規畫上,做出睿智的判斷。
為了系統安全著想,閘道上不提供過多的垃圾郵件功能,固然是非戰之罪,不過在閘道防毒方面,用戶很容易產生功能上的認知歧異,例如某些UTM設備/防毒牆只檢查電腦安裝的防毒軟體更新狀態,或是閘道防毒只支援SMTP協定的掃毒,能囊括SMTP、POP3、HTTP、FTP、IMAP等通訊協定的病毒掃描算是標準,有些防毒過濾還可以深入IM、P2P和NetBIOS,甚至支援非標準的網路埠。
在入侵偵測與防禦功能上,各家的做法差異更大。有些UTM設備收集的入侵特徵碼很少、不完整,有些只能偵測而無法阻擋,或是針對部分可辨識的入侵行為自動丟棄封包、發出TCP Reset來阻擋
在入侵防禦系統功能的要求上,UTM設備還有一種做法,即以防火牆搭配入侵偵測系統(IDS),假如IDS以特徵碼比對偵測到網路異常,再通知防火牆阻擋,這樣的做法是將兩者界接。有些廠商認為這些設備的整合度不足,IDS可能來不及通知防火牆即時阻擋,無法做到真正的整合式安全管理,而且購買UTM設備的主要目的就是要擁有整合式的防禦功能,偏重偵測或經常需要管理者介入,將會失去UTM的精神。
IM/P2P控管方面,有些UTM設備只能允許或放行少數幾種一般人常用的軟體,例如MSN Messenger、eMule和BT,有些設備支援類型雖多,但不能依IP、使用者或指定時間內開放例外。
當你被UTM的眾多功能所吸引的同時,建議先試用評估是否符合所需,其中不乏是你用不到或很陽春功能,也許仍需搭配專屬功能的產品,千萬別陷入「多功能」的迷思之中。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
改善效能,硬體架構各顯神通
UTM設備的硬體處理架構,各大廠通常採用ASIC加上PC處理器,或是FPGA加PC處理器等組合方式。這四種架構以效能高低排列,分別是ASIC、FPGA、網路處理器、PC處理器。
ASIC、FPGA和網路處理器的主要功用在協助加解密或掃毒。為了解決UTM防毒效能不彰的處境,除了從軟體面改善掃毒效能,一些廠商也從硬體加速改善,Astaro目前在ASG 425硬體上搭配ASIC晶片加速,病毒掃描不論是網頁或郵件都會交給ASIC處理,合勤ZyWALL UTM也有ASIC硬體加速處理。硬體加速晶片除了用來分攤處理器的負擔,過去更常見的是專門用來提升加解密速度,使VPN傳輸更順暢。
利基網路產品工程師莊育鈴表示,以掃毒來說,許多以晶片強化掃毒效能的解決方案其實有一個缺失:遇到壓縮檔,處理器通常不會解開後再掃描。這樣做是考量效能與安全性的兩難,並不能說刻意作弊。企業在採購時可以從中判斷是否符合需求。
功能規格本身是否固定、標準化也是一個考量點。VPN因為有很明確的加解密標準,例如3DES和AES等,所以有必要以硬體晶片提高效率,至於其他網路安全功能,如防火牆、IPS、閘道防毒等功能,因為威脅日新月異,經常需要修改系統程式才能應付,若採用ASIC或FPGA反而會限制新程式的開發速度;網路處理器能加速網路傳送,PC處理器則可以處理較複雜的應用,兩者具備較大彈性,皆是值得採用的方法。
為了提升硬體效能,資安設備的外觀可能也必須改變。刀鋒(Blade)化或插卡化的架構已經出現在市面上,思科和Crossbeam都有一些成果,然而還是有人會質疑UTM以刀鋒的形式成為產品,不見得能做到在一臺硬體設備上同時整合多種功能的效果,同樣會繼承設備個別建置的缺點,例如授權更新時,需洽不同的供應商;也有一些廠商推出PCI介面卡的嵌入式系統,可以直接安插在伺服器上。去年我們曾經在產品報導中介紹過的mGuard,就是兼具上面兩種形式的解決方案,此外還有CyberGuard SnapGear 屬於PCI介面卡類型的防火牆。
另外,資安設備有沒有可能採用64位元處理器?目前並沒有聽說這方面的消息,不過假如UTM設備的作業系統採用Linux為核心,會比較有機會先推出。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
選擇適當的UTM部署模式
一般常見的網路配置方式包括,路由模式(Routing Mode)、透通/橋接模式(Transparent/Bridge Mode)和代理模式(Proxy Mode)。
大部分企業在閘道端會採用路由模式和NAT的方式。這樣的狀況要特別注意傳輸的效能,假如設定不好的話,特別是動態路由(Dynamic Route),傳輸效能將受到極大的影響。
如果不想動到企業原有的網路架構、保留原有防火牆,UTM設備就須以透通/橋接模式建置,多一層防火牆或防毒牆來管控內部出來的攻擊和病毒。但假如企業想要替換掉防火牆,就不需要用這種模式,等同於重複投資。至於代理模式是公認最能完整檢查網路流量,但架構改變的幅度最大,DNS或員工電腦要配合修改設定值,同時傳輸效能一定會受到影響。
假如企業不想傷這個腦筋,在採購UTM設備時,選擇技術與服務能力較好的廠商,請他們針對公司環境網路需求提供專業的規畫建議,找到適合的UTM設備規格,可能的話,最好能趁這個機會重新調整網路架構,以避免日後的效能瓶頸。有些企業在建置UTM時,並沒有注意到伺服器的位置,賽門鐵克亞太區技術顧問林育民說,他曾經看過有些企業把檔案伺服器直接接到UTM設備端,並未遷移到內部網路的網路交換器上,這樣的連接方式將增加UTM設備的處理負擔。
當然,不當架構對效能影響的比例,畢竟還是比不上同時開啟多種功能的問題。開啟的功能越少,經過的網路流量越少,效能就越好,這是UTM的天性。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
管理便利性和政策制定不可忽視
要求UTM設備本身的防護能力和效能到達水準後,系統周邊的管理便利性同樣不可或缺。設備管理者平時除了要注意政策調整、定期產生與檢視系統與威脅管理報表、病毒碼、IPS特徵碼與韌體更新,以及設備OS近期是否升級改版外,簡易的管理設定及多部設備的中央控管機制,也是中小企業IT人員需要的功能。
報表伺服器和中央控管系統,目前都需要在其他電腦獨立建置。UTM設備本機提供報表,除了本身整合完整垃圾郵件過濾功能、需處理個人隔離區與黑白名單的設備外,大多無法長期儲存,產生報表也會影響到系統效能,因此國內外產品都會搭配由原廠、代理商或第三方軟體公司的分析報表軟體,消化設備產生出來的各種資訊幫助管理用者判讀,減低管理負擔。
為因應目前多據點的企業經營形態,UTM設備建置後,如果使用上很穩定流暢,加上IT預算充裕,用戶通常會繼續購買同品牌的設備,國內外的UTM設備廠商都已經或計畫提供多部設備中央控管的系統,讓管理者用單一介面同時管理多部遠端的UTM設備,集中執行病毒碼更新和政策設定。
管理功能簡單明瞭是UTM設備介面設計的第一守則,然而國內外廠商的做法差距甚遠。國外品牌大多提供設定精靈,同時在政策上透過威脅等級分類提供高中低選項;系統的管理介面大多未中文化,但都會搭配盡量中文化報表軟體,符合本地管理者需求。國內廠商對管理介面的設計偏重工作直覺性,以主要功能選單引導設定,大多只要勾選項目即可,雖然看起來陽春,但也有人認為這樣比較貼近臺灣IT人員的習慣,並具備中文管理介面、網頁報表和報表軟體。
但不論使用國內還是國外產品,用戶對目前產品的報表功能仍不夠滿意。在我們採訪的五個企業案例中,報表伺服器所產生的結果往往是歷史資料,只能給MIS追蹤事態之用,缺乏最迫切需要的即時性報表;其次,他們也希望報表能分析得更仔細,能呈現出關鍵資料,而不是給老闆看的花俏圖表。他們經常面臨「為什麼我不能連進去」、「為什麼對方連不過來」的問題,這都要靠更低階的即時記錄,才能判定當下發生的狀況。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
延長借測時間,徹底檢驗
再多的規格比較和模擬測試,還是不如實際上線測試,唯有這樣才能了解這套設備放在公司網路是否會影響效能。真正上線測試前,用戶要準備應有的處理程序,定義問題發生時的應變方案,降低測試時導致無法提供服務的風險。
將UTM設備建置在閘道上,基本上只測試一到二周,時間太過匆促,有些突發狀況非短時間內測試會遭遇到。一般來說,效能調校如果遇到瓶頸,至少需要一周以上的時間來解決,當設備上線後,廠商還是要持續掌握用戶運作狀況,找出網路特別忙碌的周期,藉機觀察出設備的負荷量,徹底檢驗效能、功能與相容性。
有些國內的UTM設備會內建遠端協助功能,簽訂保密合約後,允許廠商的技術人員連到設備上排除障礙,從遠端幫用戶設定;有些用戶則是直接請廠商建立他們專屬的管理帳號,以便隨時登入。值得注意的是,企業最好能更改預設系統管理帳號和密碼,鎖定管理者登入的IP位址,否則可能會成為管理上的大漏洞。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
續約更新,常保產品防護能力
UTM設備價格購買時,通常會內附一年的更新授權,不過企業往往會忽略到這部分的成本,一方面是因為雙方當初沒有溝通清楚,臺灣的企業用戶沒有續約服務需要額外付費的認知。
不續約會怎麼樣?有些產品就只能發揮防火牆和VPN功能,內容過濾的部分聊勝於無,有些產品宣稱不續約更新防毒,設備上有提供免費的Clam防毒。在這樣的觀念下,結果可能比當初分開購買設備更糟,讓UTM無法達到預期的防護,形同雞肋。
如果中小企業買了UTM卻不願意續約,抱持著不會中毒和駭客入侵的僥倖心態,認為沒有太多需要保護的資料,其實根本沒必要購買資安設備。
此外,廠商在續約時才提醒企業「服務有價」,而且還不便宜,於是用戶乾脆就不續了,這種現象也反應出中小企業只能以「無言的抗議」方式放棄這些設備,對UTM廠商和用戶都造成很大的傷害。
採購UTM設備,每個企業都想要「便宜又大碗」,要求產品功能、效能、穩定性之餘,可別忘了這些功能背後需要源源不斷的技術支援、特徵碼資料庫收集,如果企業願意每年購買防毒軟體的更新授權,UTM設備似硬實軟,外觀雖然是伺服器,但骨子裡具有可不斷延展的性質,更近似軟體,而不只是家電概念式的Appliance,這是企業應用UTM設備不可或缺的認知。
相關報導:
防禦網路邊界多威脅 UTM一機搞定
熱門新聞
2024-04-29
2024-04-29
2024-04-28
2024-04-29
2024-04-29
2024-04-27
2024-04-26
2024-04-26