以Cisco的SDN和神州數碼網絡3DSMP為代表的全網安全方案,都在今年推出了方案的細化版本—以UTM作為網絡出口與企業子網的邊界,從而既彌補了UTM的性能下降問題,又保證了安全性。
“我相信如果在不同的網段打開必須的功能,在其他地方適當地減少,可以帶來全網更高的性能。”王景輝表示,網絡中病毒爆發與傳播的速度越來越快,從發現漏洞到病毒爆發已經縮短到不到10天。短周期導致了傳統上對病毒的防御遭到了挑戰。從目前的應用來看,深度包檢測技術是最有效的防御手段,其實時性的優勢已經超過了防毒客戶端,而且可以保證隨時升級。因此,正是基于UTM的高實時性,可以滿足大企業用戶的安全需求。而UTM與3DSMP的配合,采用分布式部署的方式,可以很大程度上解決性能問題。不過兼顧到用戶的投資,一般建議用戶在重要的服務器群與子網的前面配置UTM。
這種方案的原理非常好理解,當邊界的壓力過大時,可以僅僅用啟用網關防火墻來檢查規則,而在子網中根據用戶不同的需求水平,啟用防病毒、入侵檢測等功能。
不過對此方案,業內廠商的反應并不一致。蔡永生認為,全網安全方案與UTM的結合,是一個性能折衷的選擇。不過在說服大企業用戶使用上,確實具有優勢。畢竟很多企業規模大,但是網絡流量不大。企業業務數據多,但是上網的人少,用BT、QQ的人少,因此分布式的模式也許是適合的。
事實上,當前市面上的UTM產品支持萬人規模的企業沒有太大問題。梁小東表示說,方案的關鍵還是看用戶的需求。有些時候,企業中串聯的設備越多,對流量影響越大。但有些時候把UTM放在子網里面,可以減少一定邊界的壓力。
這種方案需要用戶配置多臺UTM設備,因此性價比不是很好。王延華認為,這種以全網安全配合UTM的方案有意義,可以達到滿足大型企業應用的目的。但他也表示,這只是解決問題的一種方法。
不過在全網方案中部署UTM,仍然會存在單點故障問題。葉宜斌認為,很多電信、銀行等客戶對于UTM的感覺不好,如果有足夠的預算,他們會去購買單獨的設備。另外,全網安全方案雖然可以保證性能,但在一些重要子網上是否要考慮冗余,仍然值得商榷。