【IT168 资讯】随着网络应用的发展，企业面临的安全威胁不仅仅来自于网络层，更多的是应用层的威胁（如病毒、黑客基于应用层攻击、内部员工通过BT下载、员工浏览不良Web内容、员工在上班时间玩游戏、聊天等降低生产力）。网络安全的需求也在发生变化，用户需要能够防御混合型威胁的安全设备

    阿姆瑞特UTM系列产品正是在如此复杂多变的恶意攻击和网络应用下孕育而生的，该产品将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体，提供从物理层到应用层7层安全防护的产品。

    一、企业用户网络特点

    对于企业用户，网络建设一般具备如下特点：

    成本限制比较严格，需要最少的投资来做最多的事情。

    对于一般企业来说，网络建设属于基础建设，属于提供服务的部门，不是企业的盈利部门，因此在网络建设中成本控制尤为重要。因此要求多种功能集成在同一个网关设备上，路由器、流量整形、防火墙、VPN、IDS/IDP、防病毒、内容过滤、应用控制等等。

    网络结构简单，用多个VLAN来在同一个物理网络上来隔离不同的组织机构。

    很多中小企业部门之间通过VLAN进行划分，但因为成本的原因，部分企业内部没有三层交换机，因此要求网关设备可以作VLAN之间的路由、访问控制工作。

    企业自己的HTTP、Mail服务器，经常受到攻击

    大多数企业都有自己的HTTP、Mail服务器，对外提供服务，因为这些服务器是面向Internet提供服务的，而这些服务器的操作系统为windows或者Linux，会有很多漏洞，因此经常受到黑客攻击和病毒侵扰，如果保证这些服务器的安全性，是网管比较头痛的问题。

    很多企业在不同地方设有分支机构，需要进行生产数据交换

    现在很多企业都不只一个办公场所，而是有总部、分公司、办事处、工厂、仓库等多个业务点，各个业务点之间经常要进行生产数据交换，因此需要在各个业务点之间建立穿越Internet的隧道，因此网关设备需要具备VPN功能。

    内部员工通过利用BT、EDONDEY等P2P软件下载视频等文件，耗费大量带宽。

    内部员工通过利用BT、EDONDEY等P2P软件下载视频等文件，耗费大量带宽，导致其他人正常上网也出现问题，是目前企业用户面临的比较大的一个问题。因此需要安全网关设备对BT下载能够限制，保证企业带宽得到最合理应用。

    内部员工上班时间浏览与工作无关的网页、玩游戏，降低企业生产效率

    随着互联网滥用，员工在上班时间经常浏览与工作无关的网页、网上聊天、玩网上游戏，造成生产力下降。同时，网页数据流也是安全问题的一个主要来源，同时也是滥用公司时间和资源的主要因素。不恰当的网上冲浪行为可以把企业的网络暴露在众多的安全威胁之前，同时也会引起法律法规方面的问题。

    如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，成为企业迫在眉睫的紧要任务。因此要求安全网关设备对员工上网内容进行管理和控制。

    网络病毒泛滥，病毒多数是通过邮件、HTTP/FTP下载进入局域网

    计算机病毒主要是通过复制文件、传送文件、运行程序等操作传播，在日常的使用中，有以下几种传播途径：软盘、硬盘、光盘、U盘、网络。其中90%以上的病毒是通过网络传播的，因此要求网关设备具有较强大的病毒查杀能力。

    网络的设计能力变化快，随着企业的发展而发展

    企业的网络建设随着企业的发展在不断变化，目前购买的安全网关设备必须具有强大的升级能力（性能和功能升级），来满足企业用户对网络升级的需求。

    二、阿姆瑞特UTM在企业网络中的应用

    阿姆瑞特的UTM解决方案提供了业内非常好的的入侵检测和防御、网页内容过滤、反病毒和反钓鱼功能以保护您的业务和珍贵的IT资产。该综合的解决方案特定为易于使用、维护成本低，并可以允许您随意扩展自己的网络。

    下图是一个典型的企业网络，该企业的总部使用阿姆瑞特UTM-600千兆设备，分部使用阿姆瑞特UTM-100百兆设备。通过IPSEC协议，总部与分部建立起一条穿越Internet的隧道，用于企业内部数据交换；同时为了对企业的服务器和员工进行最好的保护，开启了IPS和防病毒规则；为了保证工作效率，开启了内容过滤功能，对员工上网进行控制。

    总体来说，通过阿姆瑞特UTM的部署，提高如下安全功能：

    防火墙：通过防火墙组件，提供强大的抵御DOS/DDOS功能和访问控制功能；通过接口、IP地址、协议、端口、时间、用户等参数对数据包进行过滤，提供网络安全的第一层保障。

    VPN功能：企业的总部使用阿姆瑞特UTM-600千兆设备，分部使用阿姆瑞特UTM-100百兆设备。通过IPSEC协议，总部与分部建立起一条穿越Internet的隧道，用于企业内部数据交换，通过进行数据加密，保证数据在传输过程中的安全性。

    流量整形：通过阿姆瑞特UTM专业的带宽管理功能，对用户的网络进行流量整形，例如：对企业生产数据和ERP数据等业务性非常强服务进行带宽保证、对于员工浏览网页、FTP下载等非生产数据进行带宽限制、对非重要部门的每一个员工进行带宽控制、以及通过VPN传输数据的带宽管理等。

    入侵防御（IDP）：为了达到对服务器非常好的保护，阿姆瑞特UTM可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库，当数据包进入UTM设备，首先经过IPS检查，可以确定100％的攻击，UTM可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，UTM对该数据进行审计，从而达到IPS和IDS的统一，保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。

    对员工BT下载控制：开启阿姆瑞特UTM的P2P限制功能，对员工聊天、BT下载等进行控制；

    实时的反病毒网关：依托卡巴斯基强大的病毒特征库和基于特征和启发式的扫描阿姆瑞特UTM可以在网关处过滤各种已知和未知病毒,提供针对未知病毒、蠕虫、特洛伊木马和其它恶意内容的高性能保护。

    内容过滤：网页内容过滤则为企业提供了一个管理服务，使得企业可以控制员工对Internet资源的访问方式，同时屏蔽互联网上恶意网站和“钓鱼”网站，最小化了恶意内容所带来的危险。通过提高生产力并降低带宽成本，它有助于帮您节约资金，同时使得您的网络更加安全。

    灵活升级：阿姆瑞特UTM在同一系列中可以灵活的进行性能和功能的升级，来满足企业用户对网络升级的需求。

    自从该企业使用阿姆瑞特UTM安全解决方案以来，困扰其已久的病毒、攻击、员工访问不良内容网站、BT下载等安全威胁大大减少，网络流量得以净化，带宽得到最合理的应用，企业的安全水平和工作效率得到了明显的提高。