【IT168专稿】管理IT安全软件和设备并没有因时间的推移变得更容易起来。大多数公司在经营时，IT系统面临的风险似乎不断变大：这不仅包括遏制网络和应用可用性的拒绝服务攻击，也可能是东欧某个国家的一个小子在攻破防御体系；当然，还有各种典型的蠕虫和病毒，以及每日大批的其他“普通”威胁，这些已经困扰了公司近十年之久。

    防御系统采用的传统方法就是，在IT基础设施的每一层都部署专用的安全产品：网络和应用防火墙、隔离区（DMZ）里面的入侵检测和预防探测器，以及关键的内部网络段。另外，Web网关处使用内容过滤技术，确保员工没有访问被禁止的网站或者恶意网站。

    尽管大多数公司付出了最大的努力，但安全事件引起的损失仍然很大。据计算机安全学会（CSI）在2007年发布的《计算机犯罪和安全调查》显示，今年与安全事件有关的损失额平均达到350424美元，比2006年的168000美元增加了一倍多。

    为了保护系统可用性和专有信息的机密性，许多公司每年把T预算的3%到10%用于安全。

    为了降低成本、提高可管理性，诸厂商开始把各种级别的安全防御机制整合到单一设备中，包括网络防火墙、虚拟专用网、入侵检测/预防系统、Web内容过滤和反垃圾邮件。这种设备名为统一威胁管理器（UTM），最初面向中小企业，不过它们的功能和可管理性一直在稳步增强。

    UTM厂商包括Crossbeam、Fortinet和Secure Computing，而像思科和Juniper这样的传统网络设备生产商也在提供内置安全功能的网络设备。比如思科公司的3800集成业务路由器就包括了防火墙、IP安全、安全套接层VPN和入侵预防等功能；Juniper的ISG系列提供了全面集成的防火墙、VPN和入侵检测及预防。

    安全咨询公司Neohapsis的首席技术官Greg Shipley说：“如今，《财富》500强当中越来越多的公司对思科的3800 UTM系列产品表示出了兴趣，不但用于核心网络，还用于更轻松地管理分支机构的安全和网络。这款设备把防火墙、入侵预防及更多功能直接集成到了路由器中。那么，你在进行通常的网络升级时干嘛不采用它呢？”

    据IDC公司声称，UTM设备在今年第一季度的收入达到了2.71亿美元，比2006年第一季度增长了近30%。这些设备大部分将充当中小企业的首道防线，对旨在缓解与保护分支机构有关的安全管理及成本的大公司来说也是如此。IT咨询公司Opus One的合伙人Joel Snyder说：“至于这种设备是否具备应用到大企业的功能――也就是说，它们能否对主要网络边界提供足够有力的保护？答复并不总是很明确。不过它们肯定在一些方面能够提供安全、减轻复杂性。”

    CheckFree公司的安全主管Richard Isenberg同意这一说法。他说：“UTM这个词语首次冒出来的时候，这项技术面向市场的低端部分。但厂商们已把更强的扩展性和高可用性加入到了这种产品中。不过，你仍要做必要的准备工作。”

    询问网络架构师：

    贵公司的网络上有没有防火墙、IPS探测器或者其他安全技术可以合并到单一设备上？

    询问首席财务官：

    有没有留出一部分预算用于购买可降低保护及管理网络流量所需成本的设备？

    不到十年前，芝加哥库克县巡回法院一律使用瘦客户机终端和传统纸张来办公，当时没有互联网接入。这种情况在2000年开始有所转变，当时巡回法院新任命的书记员Dorothy Brown积极利用技术来提高效率，这家法院共有2100名雇员，还有1亿美元的经营预算。但随着技术在法院的应用日益广泛，IT安全方面的需求也随之增长。

    这包括需要保护耗资500万美元的集成财务系统，该系统包括库克县的所有现金交易，比如交通违章罚款和申报费用、案例管理系统及记录管理系统。

    最初，首道防线是使用诺顿公司的反病毒软件以及不断打补丁。

    尽管采取了这些预防措施，仍然时不时遇到麻烦。库克县巡回法院与该县的其他许多部门通过广域网共享其网络，各网段由IP地区来分隔。巡回法院的CIO Bridget Dancy回忆道：“最后出现的情况是，要是其他部门感染上病毒，我们也会受到感染。我们只好加大保护自身环境的力度。但还是遭到一次次攻击；我们刚清除了一个病毒，另一个病毒又来了。”

    Dancy当时建议，巡回法院书记室应扩大安全保护力度，而不是仅仅借助于反病毒和补丁管理；应当部署基于硬件的UTM，其中包括入侵防护功能。Dancy说：“要是另外安装不同的反病毒、入侵预防和网络防火墙，这会大大耗用我们的预算。”最后，库克县决定投入25000美元，部署Fortinet公司的Fortigate 1000。这个UTM设备使法院的17个地方受到反病毒、入侵预防和网络防火墙的有力保护。该设备的反病毒功能还保护了巡回法院2100名雇员的电子邮件收件箱，并为内联网和技术支持应用提供了入侵防护。

    考虑采用UTM的公司最担心的一个问题是，网络性能可能会因多种安全应用在一个设备上运行而受到影响。不过巡回法院的体验却是积极的。由于清除了无用和恶意的流量及带宽，服务器的可用性随之猛增。

    在安装UTM之前，库克县的服务器利用率达到95%是司空见惯的事。Dancy说：“但我们安装了这种设备后，利用率降到了10%。从这一刻起，我们就产生了兴趣。虽然有人试图对我们的网络发动攻击，多达381407次，但Fortinet解决方案阻止了每一起攻击，从而为我们起到了保护作用。”

    实施的这项技术还帮助法院人员不多的IT支持团队提高了效率。之前，一旦出现网络安全事件，管理员就得奔到不同地方的每台计算机跟前，而计算机多达800台。现在，他们可以集中管理网络。

    盛龙翔律师事务所（Sonnenschein Nath and Rosenthal）就发现了这一好处。这家总部设在芝加哥的跨国律师事务所在美国、欧洲、亚洲、中东和拉美地区雇有700多名律师。

    该事务所主要依赖IBM公司的Proventia网络多功能安全UTM设备来确保其大部分基础设施的安全，另外在网络上安装了入侵预防系统，还部署了IBM RealSecure Server Sensors，从而为服务器提供了额外的抢先式入侵预防机制。

    盛龙翔律师事务所使用IBM的Site- Protector来集中管理这每一项安全技术，该产品简化了监控全部安全流程和网络运行状况的工作。盛龙翔律师事务所的安全主管Adam Hansen说：“我们现在能够集中管理所有这些设备。事实证明这是我们的明智之举。吞吐量不成问题。”

    Hansen表示，除了可以简化安全管理外，改用UTM还帮助该律师事务所为客户提供更迅速、更灵活的服务，而安全不像过去那样常常成为公司的瓶颈。他说：“我们没必要为了安全而减慢业务的处理速度。”

    该事务所后来决定为数百名律师部署VoIP、以便他们能够更有效地在家办公时，确实如此。因为事务所无法控制雇员如何使用家用电脑、如何访问网站，甚至无法执行这些家庭办公室电脑的安全机制，于是在为迁移到VoIP做好安全工作时，要作一些艰难的选择。Hansen说：“当初我们分析了管理每一个家庭办公室的设备安全？还是在公司内部集中管理安全？”

    使用IBM的Proventia UTM设备后，这点显而易见：最明智的选择就是集中保护设备的安全。Hansen说：“这样一来，我们可以提供嵌入式反病毒和入侵预防功能。”Proventia UTM放在该事务所位于两个数据中心的VPN集中器后面，这样流量先经过UTM的解密及分析，然后发送到关键的内部系统。他说：“要是UTM发现了恶意流量，就会阻挡或者清理流量。到目前为止，这种方案保护我们远离通过网络上进入的任何恶意软件。”

    盛龙翔律师事务所考虑过使用一套不同的设备来管理反恶意软件、入侵预防及其他安全技术，但结果发现这种方法不具有成本效益。Hansen说：“从我们的角度来看，UTM就是天赐之物。这种设备配置、集成到控制台只需要15分钟。配置时间居然比规划工作、试运行设备所用的时间还要短。”

    询问首席安全官：

    安全是不是某些项目的一个瓶颈？

    咨询操作团队：

    哪些安全功能太费时间？

    三年前，产值8.794亿美元的电子账单支付和兑现服务商CheckFree处于高速发展的时期。安全主管Isenberg说：“我们的基础设施老是承受不住压力。”该公司不断添加各种设备、服务器、防火墙和入侵检测系统，但管理负担“变得很大；而且根本不能够扩展，”Isenberg说。最后，CheckFree积累下了20种不同的入侵检测系统探测器、20种交换机和26种防火墙。

    防火墙和入侵检测系统架构变得如此笨拙，以至公司得不到所需的吞吐量。Isenberg说：“我们根本跟不上吞吐量方面的要求。”于是，CheckFree开始寻求高可用性的统一解决方案。

    该公司最终选择了Crossbeam公司的X-series，它集成了防火墙和入侵预防功能。Isenberg说：“我们发现，我们能够把所有这些设备合并到单单七个机架上。”此举还解决了公司寻求扩展性的长远难题。“如今，要是我们开始增长，再也不必添加各种设备。我们只要添加所需的刀片。不用移动线缆，不用变更控制，也不会给网络带来另一个故障点。”

    另一个好处便是：如今需要打补丁、升级及管理的系统数量更少了。Isenberg说：“不然，每个设备都有不同的控制台，那样CheckFree就只好不断添加人手来管理。”总的来说，每年可以节省约194000美元，三年内就获得了资本回报。

    暂且不说统一威胁管理设备是否功能强大到足以充当你的首要网络防御机制――对库克县和CheckFree来说是这样，它们至少可以帮助大多数公司降低经营及管理成本、减少网络故障点，并且削减软件许可费和维护费。

    在采用UTM之前，一定要根据网络流量数量和可能要合并的安全技术，弄清楚UTM对贵公司而言放在何处最有用。专家们认为，大公司在性能方面的要求对UTM设备来说可能过高，因而无力满足，不管厂商公布的性能规格有多高。安全服务公司Vigilar的营销主管Joseph Blankenship说：“你绝对有必要使用特定的网络连接和具体的模块（反病毒、入侵检测和预防系统和内容过滤等），对这种设备进行一下测试，以便大致了解一下它在实际环境下会如何工作。”

    在评估期间，你会发现UTM设备能不能满足作为你网络首道防线的要求。Snyder提醒：“其中一些产品会导致性能大受影响。你也许能得到一个新的IPS特征，但性能突然急剧下降。”原因在于，专业厂商常常做得比较好。他说：“IPS专业厂商在得到IPS特征方面往往会比提供多种功能的厂商来得更在行。”

    Neohapsis公司的Shipley补充：“许多大公司不会把UTM用于主网络，原因在于他们有资源来维护使用非常好的技术。但要是看一下远程办事处的价格、性能和优点等综合关系――UTM设备在这种环境不会引起性能问题，还能提供很高的安全性，就会发现这种情况正在发生变化。”

    在改用UTM之前，专家们建议应当认真评估以下方面：网络流量性能方面的要求、入侵预防系统的效果（没有比出现太多误报或者漏报更为糟糕的了）、提供故障替换和高可用性；确保站点到站点安全访问可管理性的VPN功能。

    盛龙翔律师事务所的Hansen说：“你需要的是集中管理的机制；你可不想逐个登录每一个设备，以便进行改变或者更新。”他认为可管理性是很重要的一个方面。“要是不能集中管理，UTM就失去了意义。”

    询问首席安全官：

    UTM设备能够充当网络的首道防线吗？

    询问网络架构师：

    不妨考虑为网络设备更新方案添加内置了安全功能的UTM设备或者网络路由器和交换机。