【IT168 专稿】现在，所有的中小企业都在想方设法度过这个寒冷的经济严冬，而降低成本是一个最快捷的解决方法。由于统一威胁管理（UTM）产品能在同一装置当中提供防火墙、WEB内容过滤、病毒防范、间谍软件防范、垃圾邮件过滤和入侵检测（防御）系统等各种功能，当使用UTM网关后，企业对单功能安全产品的依赖程度就会大大降低了，也就是花最少的钱得到更多的服务，因此受到了广大中小企业的喜爱。

　　中小企业在选择UTM产品时，一般者将设备的性价比放在首要位置，即要求UTM设备硬件价格低廉的同时提供高性能和高稳定性的品质。但实际上在设备硬件价格一定的情况下，真正最大的成本支出却是它们在运行过程当中的电能消耗。因此，选择一台绿色环保的UTM设备就更加能减少企业在正常运行过程中的IT总体拥有成本，同时，还响应了我国提倡绿色IT的趋势。

　　UTM系统将多种特性和功能集成到一个产品中，包括入侵检测与防御、网关杀毒、垃圾邮件过滤与Web内容过滤以及防火墙等传统功能。

UTM的选择

　　 如果企业正考虑部署UTM系统，以下是一些需要考虑的事情。

　　 一、企业真正需要什么?

　　 在分析这个市场上的产品之前，确定企业的具体安全需求。

　　 尽管在购买许多类型的IT安全产品时也会提出这样的要求，但对于像UTM设备这样的技术尤其如此，因为UTM将许多安全功能集成到一个系统中。

　　 目前市场上有几十种UTM产品，它们在特性、功能和价格上存在着很大的差异。

　　 并不是所有的企业都需要某些可能会增加总成本和部署复杂性的安全特性与功能。

　　 Crotty说：“如果你打算评估UTM设备的话，从基本的问题入手：你需要什么?你的公司有多大?你公司规模将扩大吗?仅这些问题就有可能把产品清单减少三分之二。一些产品主要是针对大企业的，另一些是针对低端市场的。”

　　 二、了解其他用户对厂商产品的看法

　　 在从Fortinet购买UTM之前，加州Vista市全球医疗设备提供商DJO拜访了多家公司，他们使用过来自不同厂商的UTM设备。

　　 DJO企业基础设施副总裁John Iraci表示，公司希望了解运行这类产品所需要的管理水平、使用它们的难度、防火墙与VPN配合得如何以及其他问题。

　　 Iraci说，这种付出得到了回报。DJO成功地将Fortinet产品部署到它的全球环境中，并看到了增强的安全性的好处。

　　 该公司在总部以“高可用性模式”部署了两台UTM设备，它们被用于帮助提供防火墙、IPS、VPN和Web过滤安全性。DJO能够很容易地将IPS功能部署到它的网络中，无需添加额外的硬件，也不会超出它的安全预算。

　　三、调查与测试

　　 Crotty认为，许多机构，尤其是较小的机构，没有内部测试产品的时间和资源。但它们可以利用发表的产品测评和使用来自像ICSA Labs这类机构提供的测试服务。而拥有这类资源的大企业“应当选择3~4家厂商，在试验室中测试它们的产品。

　　 他建议企业进行两类测试。第一类是根据企业计划使用的配置和启用的那些特定功能来测试产品的性能。另一类测试是在启用UTM上所有特性的情况下测试产品。Crotty说：“如果你最后希望支持比你现在更多的应用，这将使你了解产品的性能。你需要发展空间，应当在第一次购买时分析这些功能。”

　　 DJO在试验室中对UTM设备进行了很多的测试，以确保UTM设备可以与公司已经安装的不同硬件一起使用。

　　 Iraci说：“我们购买了很多设备，我们必须确保系统间的互操作性。在今天，企业往往拥有众多的设备并且基础设施变得十分复杂，测试就显得非常重要。”

　　 四、测试应当在发布升级时进行

　　 Mid-America Overseas公司是芝加哥的一家运输与后勤提供商，它使用Astaro的UTM产品。公司CIO Mike Mierwinski说：“虽然可能从发布升级的通知看好像他们没有进行重大变化，但对于UTM来说，会出现影响到‘好的’传输流的某种类型的流量模式或过滤器变化。如果不提前测试就盲目升级的话，你可能遇到一部分网络瘫痪的问题。”

　　 五、成本Vs可伸缩性

　　 在选择产品时，需要考虑多种因素，包括成本、可伸缩性、集中式管理和厂商支持。

　　 密歇根州Birmingham市IT研究机构IT-Harvest公司首席研究分析师Richard Stiennon认为，成本、可伸缩性和可管理性是评估UTM设备的关键标准。

　　 Stiennon说：“需要考虑购买价格和订购价格，因为URL过滤、IPS和AV(杀毒)都需要不断地更新。厂商是进行他们自己的研究还是使用来自第三方的数据库?管理界面应当与实际设备统一。”

　　 可伸缩性和性能是另一些关键因素。拥有很多分支机构的企业必须确保UTM设备能够支持远程用户。Crotty说：“可伸缩性和性能正是在拥有几百或几千名用户时才真正发挥作用。”

　　 研究UTM设备的管理控制台也很关键。Crotty说：“这对UTM非常重要。它具有采集和分析来自不同系统的日志数据的SIEM(安全信息与事件管理)吗?你可以很容易地启动应用吗?你可以进行通用的政策配置和变更吗?系统升级情况如何?这些因素与设备执行的功能同样重要。”

　　 有效的集中管理对于需要支持很多用户的大型企业至关重要。Stiennon说：“根据特定的用户组来定义URL、IPS和杀毒特征的保护配置文件应当与防火墙规则管理器相集成。更新应当很容易，只需从一个中央管理控制台推送给多台设备。”

　　 厂商如何支持和维护UTM统是企业考虑的另一个关键因素。Crotty说：“一些厂商一直在积极提供客户服务，我们看到很多的客户只是因为这点才购买他们的产品。”

　　如果这样的绿色环保UTM网关还能够通过自己动手定制的方式来打造，例如使用某种低价高性能绿色服务器加免费UTM网关软件的方式，那么，就能进一步为企业节省UTM设备的软件许可成本，却仍然能够享受到服务器厂商提供的后期维护服务。在本文中，笔者就要给大家介绍一种使用华硕RS100-X5/PI2(XEON3040)服务器加上Endian 软件，来打造一台适合中小企业需求的绿色环保高性能UTM网关的方法，希望能给一些想减少IT投入成本的中小企业多一种选择。

　　六、硬件平台

　　一旦确定了网络环境，以及了解使用UTM网关要达到的目标，就可以为要定制的UTM网关选择硬件平台。在本文中，我选用的是全球著名3C解决方案提供商华硕的RS100-X5/PI2(XEON3040)1U机架式服务器。选择此款服务器的原因是由于它具有以下这些独特的功能：

　　（1）、服务器的机身长度不足15英寸，比普通的标准1U机架式服务器短了不少，这样能为用户节省宝贵的机架空间。

　　（2）、标配了1个主频为1860MHz，有着2MB二级缓存的Intel Xeon 3040处理器，能为数据处理提供强劲的动力。同时还支持双核Intel Core2Duo 及 Intel Conroe-L 400 系列，可以由用户自己选择。

　　（3）、使用Intel 945GC/Intel ICH7R芯片组的主板上有二条DDRII533/667的内存插槽，最大支持2GB的内存，并且标配了1GB的内存。

　　（4）、主板上有二个SATA硬盘接口，并已经标配了一个容量为160GB的硬盘。

　　（5）、服务品已经具有二个Marvel 8056的千兆以太网卡接口，支持负载均衡和实效自动转换保护，并且还可以通过主板上的PCI-EX8插槽增加千兆以太网卡的数量，来满足不同的网络环境和网络性能的需求。

　　（6）、在节能设计上，华硕RS100-X5/PI2(XEON3040)服务器电路设计相当出色，使得服务器运转时负荷低于1A，整体能耗在100瓦以下。同时，服务器使用了铜管来作为散热材质，再加之华硕独家的Smart Fan II智能风扇技术，能让风扇根据用户所设定的服务器设备温度上限来启动和停止风扇，这样能在保证系统稳定性可靠运行的前提下将噪音降低到30分贝左右，比一台投影机的噪音还低，已经非常适合中小企业用户办公环境的应用要求。

　　（7）、在购买此服务器后，随机赠送华硕基于WEB浏览器的ASWM（Asus System Web－based Management）管理软件。此管理软件可以远程监控和管理服务器，包括服务器CPU、内存、硬盘使用率、风扇转速、操作系统、FRU、网络接口卡等的运作状态。ASWM管理软件不仅功能强大，而且易于操作， 这给一些没有专门的IT技术人员的中小企业的后期服务器管理带来了最大的方便性。

　　不管怎么说，华硕RS100-X5/PI2(XEON3040)服务器秉承了华硕一贯的“坚若磐石”的优良血统，能保证设备7×24小时不间断运营，同时具备“节能、环保、静音”的特点，真正符合绿色IT的要求。而且其价格与一台普通的家用计算机相当，也完全符合了中小企业用户对IT设备追求最大性价比的要求。这些也完全满足了中小企业对UTM网关的稳定性、高网络性能、可扩展性、低能耗、低噪音、易使用性和可管理性的要求。

　　七、Endian软件的安装与设置

　　在进行Endian软件安装前，先要将下载回来的映像文件刻录到了光盘上。另外，由于华硕RS100-X5/PI2(XEON3040)服务器标配是没有安装光驱的，因此，我们还要自己准备一台SATA接口的DVD光驱，并且在安装软件之前已经连接到服务器的一个空闲的SATA接口中。

　　Endian的安装分两个阶段来完成，在第一阶段，主要是将其必要的文件复制到服务器硬盘分区中的相应位置。在此阶段最初的安装过程中，由用户参与的操作不多，我们只要按照Endian安装程序给出的安装提示，回答YES或NO就可以继续下一步的安装。当Endian第一阶段的安装进行到最后阶段，我们就要为它连接局域网的以太网卡指定一个固定的私有IP地址，以便我们能够通过与它同一网段中的计算机来管理它。当Endian所有必要的文件都复制完毕后，安装程序就会要求重新启动服务器。

　　当服务器重新启动后，我们还必需使用WEB的方式来完成Endian第二阶段的安装。我们可以选择与此UTM网关同一网段中的任意一台计算机，打开安装在其中的WEB浏览器，然后在浏览器的地址栏中输入：https:// Endian网关主机名或内网IP地址：10443，就会出现继续安装界面。

　　接下的安装过程其实就是完成Endian网关的初始设置，此阶段的安装会要求我们完成Endian网关的WEB管理员密码、Shell根帐户（root）密码和WAN连接方式，以及DMZ等内容的设置。第二阶段的安装也是以向导的方式来进行，当我们根据向导提示完成对WEB管理员和根帐户密码的设置后，就会出现一个设置网络的界面。在接下来的安装过程中，我们可以完成对Endian的网络设置，包括对WAN和LAN的设备的选择和设置等。在这里需要说明的是，Endian使用Red来表示与外网的连接类型，用Green来表示与内网的连接类型，用Orange来表示与DMZ的连接类型，用Blue来表示WIFIl连接类型，这样，能通过相应的颜色就能够将几种主要的网络连接类型鲜明地区分开来。

　　Endian支持许多种类型的WAN连接，包括DHCP、PPP0E、ISDN和ADSL连接。在本文中，指定以PPP0E的连接方式后，再继续完成网关和DNS服务器的设置，就可以完成第二阶段的安装。至于其中某些内容具体的详细设置，例如对PPP0E拨号方式的设置，就可以在其后的WEB管理界面中完成。

　　八、通过WEB方式管理和设置Endian网关

　　现在，Endian的安装已经全部完成，我们就可以通过WEB的方式来管理和设置我们所需要的各种UTM功能。在开始通过WEB浏览器连接Endian网关时，会出现一个要求输入帐户和密码的登录界面，在此界面中输入在安装过程中设置好的WEB管理员帐户“Admin”和密码，就可以出现WEB管理界面。并且，通过WEB方式建立的会话是通过SSL加密的方式来进行的。

　　在Endian WEB管理界面的上方有一排功能选项卡，通过这些选项卡，我们就可以完成对Endian网关的所有设置。下面，我就对这些选项卡中最主要的几个选项卡中的内容做一个简单的描述，以展示它的主要功能。

　　1、Services选项卡

　　在此选项卡中，我们可以完成下列功能的设置：

　　（1）、DHCP服务设置

　　（2）、动态DNS设置

　　（3）、Clamav反病毒设置

　　（4）、Snort入侵检测系统设置

　　Endian使用Snort来进行入侵检测，在使用此功能时，我们要为它指定一个用来监控的接口，以及它的状态库更新方式。如果我们是Snort的注册用户，我们就可以使用它的Vulnerability Research Team (VRT)漏洞规则库来进行入侵检测；如果我们不是它的注册用户，那么我们仍然可以使用一些通用的漏洞规则库来进行入侵检测。

　　（5）、垃圾邮件过滤

　　Endian使用SpamAssassin来作为反垃圾邮件过滤器，不过，它只能进行简单的垃圾邮件过滤，但是，这对于中小企业来说应该够用了。

　　2、Firewall选项卡

　　Endian的防火墙配置方式与其它类似的硬件防火墙产品一样，可以通过它来配置端口转发及防火墙策略。Endian的防火墙策略配置非常简单，我们只要指定一条策略的源IP地址，目的IP地址，使用的协议、端口及动作的类型即可。它默认允许HTTP、HTTPS、FTP、SMTP、POP3、IMAP和DNS服务通过，因此再设置防火墙规则是，应当根据自己的实际网络连接需求，禁用不使用的服务通过Endian防火墙。

　　3、Proxy选项卡

　　Endian的主要安全特性集中在代理服务器这一块。它通过DansGuardian来为它的代理服务器提供WEB内容过滤、指定URL和IP地址过滤，以及指定某种类型的文件（如MP3、jsp等）不可以下载等功能。Endian的代理设置也非常容易，它与WEB过滤模块都已经预先由DansGuardian服务器设定好了。如果需要更改，我们可以检查这些已经设置好了的模式，将它们重新归类或增加新URL地址。

　　4、其它设置

　　对于Endian中的其它设置内容，例如验证方式，Endian就可以使用本地、轻量级目录访问协议（LDAP）、活动目录访问协议（AD），以及远程身份验证拨号用户服务（ RADIUS ）的方式来验证。

　　另外，我们还可以根据自身的实际需要来设置远程VPN连接。Endian支持IPsec和OpenVPN方式的VPN连接，不过，它不对PPTP及L2TP这两种早期VPN协议提供支持。

　　Endian可以将所有的事件都作为日志记录下来，包括入侵检测和阻止的页面。Endian还能监控所有的网络流量。并使用NTOP的方式来记录所有的事件，我们可以通过这些日志来查看谁访问了阻止的页面。

　　唯一遗憾的是，目前Endian还没有提供对P2P和即时通信软件过滤功能的支持。但总的来说，通过华硕RS100-X5/PI2(XEON3040)服务器和Endian软件的强强联合，就能够轻易地打造出来的一台高性能、低能耗的绿色UTM网关，应当能满足现在一些正处于起步阶段或成长阶段的中小企业的信息化应用需求。

    束语：

　　现在尽管所有厂商都声称自己的UTM解决方案成效显著，但有些厂商在市场上销售的解决方案并未经过实践的验证。这些厂商不是采用业界非常好的的技术，而是试图开发他们自己的防病毒、防垃圾邮件和防网页仿冒系统，然后把这些系统拼凑到过时的防火墙产品中。这些未经验证的产品存在潜在的安全风险，给最终用户造成一种安全的错觉，实际上不能真正防止攻击。

　　因此，以上种种都是需要购买者在购买前了解清楚的。不过可以肯定的是UTM是未来安全设备的一个发展方向，随着技术的成熟这一切的问题都会迎刃而解。现在大家在购买时，最好是先了解清楚市面上的品牌实力，以及设备的性能。例如美国飞塔（FORTINET）、WatchGuard、启明星辰、卓尔InfoGate、易尚等，都国内外知名的品牌，在购买时可多留意一下。