整體網絡安全系統架構
隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網絡層以下的安全解決方案已不足以應付來自各種攻擊了。例如，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。結合中小企業的網絡特征，我們建議采用基于三星Ubigate IBG ISM(集成安全模塊)的UTM整體安全網絡架構方案。

498)this.style.width=498;" border=0>

如圖1所示，這種多層次的安全體系不僅要求在網絡邊界設置防火墻&VPN，還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業內部網之外。對于內網安全，特別是移動辦公，client quarantine(客戶端隔離)將對有安全問題的機進行隔離，以免其對整個網絡造成更大范圍的影響。這給整個企業網絡提供了安全保障。基于 Samsung Ubigate IBG ISM的UTM可以檢測到任何異常操作并立即關閉可疑的途徑。
基于Samsung Ubigate IBG 系列整合平臺及其集成安全模塊 (ISM) 的UTM整體網絡安全方案
網絡安全平臺的設計由以下部分構成:
防火墻& VPN系統:用基于狀態檢測的防火墻系統實現對內部網和廣域網進行隔離保護。 VPN 為遠程辦公人員及分支機構提供方便的VPN高速接入，保護數據傳輸過程中的安全，實現用戶對服務器系統的受控訪問。
IDS/IPS簽名檢測:ISM采用高速模式匹配實現高速簽名篩選，從而保證網絡性能最優化。IPS系統能夠對所有數據進行實時檢測。對于可疑攻擊行為，IPS系統采用靈活的策略進行相應處理，大大降低了IPS系統誤報和漏報給內部網絡帶來的風險。
病毒檢測:ISM 中的代理將每個會話的有效負荷組裝至文件，然后將該文件發送至系統的防病毒引擎檢查該文件，若感染病毒，則修復文件，然后將文件傳輸至其原始目的地。支持對HTTP、SMTP、POP3、FTP等協議的病毒檢測。
通訊異常檢測:包括掃描檢測，會話限制，TCP/UDP/ICMP洪泛攻擊檢測和阻止。ISM具有強大的防DOS/DDOS功能，不但可以防御外網的DOS/DDOS，同時對于內網用戶發起的DOS攻擊，UTM 安全網關也可以進行防御。
客戶端隔離:隔離是抑制蠕蟲和病毒爆發的最有效方法。為實現此目標，ISM 將安裝 Desktop Agent 并與所有內部客戶端的Desktop Agent進行通信。 如果檢測到異常通訊，ISM 就會發送一個命令，阻止源計算機生成更多的通訊。
Web應用程序防火墻:Web應用程序防火墻提供高效的防御，防止與Web系統相關的攻擊。
URL 篩選:ISM可以依照有害站點數據庫檢查目標URL 來阻止內部用戶訪問特定的網站，管理員還可以選擇預訂Websense 數據庫，只需加點費用即可。
通訊調整:ISM 可以根據網絡管理員設立的策略來控制特定通訊的帶寬。
UBigate3026UTM的特性:
整機模塊化設計，所有模塊支持熱拔插功能,用戶可量身定制自已的配置，升級、維護極靈活，具備很強的可擴展性。
防火墻(ISM模塊)、VPN(VAC卡) 防火墻吞吐量:1.9Gbps
Concurrent Session:最大200，000(1G)
VPN吞吐量:360 Mbps,
VPN最大通道數:最大 2000，
IPS吞吐量:1.5Gbps， IPS簽名數:超過2,000
支持防病毒網關、防垃圾郵件、URL過濾、Web應用層防火墻、終端安全性
路由交換:
支持RIP，OSPF，BGP協議，QOS機制，二、三層企業級交換能力，21G的吞吐量，最多支持54個千兆端口，4個光纖端口
VoIP
為模擬和數字電話提供接口，配備了帶有IP電話和PoE的以太模塊，能夠提供靈活多變的企業級語音服務。并通過廣泛的QoS使企業語音和數據業務真正整合，支持模擬、數字和IP電話。
Samsung Ubigate iBG 系列整合平臺及其集成安全模塊 (ISM) 提供了具有以下顯著優勢的“最佳方案”防御措施:
在路由器(通向內部網絡的網關)處有多個先進的安全功能;
用于阻止來自端點設備的 Desktop Agent;
通過專用 CPU 和內存獲取高性能安全性;
自動簽名更新和用于傳染的緊急推入服務;
使用基于 Web 的圖形化設備管理器進行輕松配置、管理、監視和故障排除，可通過https實現遠程管理，降低管理成本;
IBG集成交換和路由功能，以及VoIP功能，將大大降低中小企業的整體網絡的造價成本;以及企業運作成本;
Samsung Ubigate iBG 系列整合平臺及其集成安全模塊 (ISM) 的UTM整體網絡安全方案完全滿足中小企業網絡安全方案的安全需求。提供了當今最高級別的安全性。