大企业的选择--偏重于安全
金融,运营商等大型企业的办公与业务系统对安全非常重视,因为木马,间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损失,所以他们通常都有较完整的网络安全防护架构,防火墙中启用的访问控制策略也比较多,在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用,邮件有专门的邮件安全网关,web需要web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件,但是防护效果不一定满足这类用户的需求。例如对于防病毒的功能,大企业用户首要关心的是性能,其次是查杀防护效果,即识别率,最后还关心增强的功能,是否支持多种协议,是否具有多种部署方式等,当然功能上至少支持http,https,pop3,smtp,ftp这5种应用协议的扫描过滤。性能是否满足,一上线就能体现,同样对这类用户性能满足的同时,过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个,设备中内置的特征库应该可以找到至少500万个样本,这样才能保证识别1年内的所有威胁。牺牲特征数量,可以大幅提升性能,但却不能做到有效的防护。通常UTM设备会放2万个左右的特征,最多找到100万左右的样本。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全网关。
Web安全网关与防病毒网关实现的安全部分功能非常类似,但是web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制,这些都可以辅助加强企业的网络安全。例如对IM进行控制,同样可以阻断病毒的一部分传播渠道。
小企业的选择--偏重于管理
小企业并不是不重视安全,只是为了做到安全而采购防火墙,IPS,防病毒网关,邮件安全网关等一系列产品,投资与潜在风险危害不成比例,性价比不高。所以小企业更愿意选择管理类的上网行为管理与综合类的UTM。对于小企业的管理者或者网管人员,很容易看到上网行为管理产品的效果。可以迅速提高生产力与实现带宽的优化。同样UTM产品也是不错的选择,因为企业可以得到更多的功能而只花很少的费用。而且通常小企业用户数有限也不会碰到性能的瓶颈。当然也需要UTM厂商集成优秀厂商的病毒引擎,病毒库,垃圾邮件引擎,URL引擎与数据库,这样可以给小企业用户提供更完美的体验。
上面是基于用户需求所作的选择分析,下面将对这几类产品自身特点作简单分析。
首先性能方面:
让我们抛开产品的界限,以不同的应用功能来做其重点性能的分析:
网络层防火墙,性能体现在tcp连接与udp转发,目前市面上最高端的性能已经高达10G,因为在底层转发使用了专有芯片或网络处理器来加速。
带宽管理,性能瓶颈在于udp包转发,在此基础上要对协议进行识别,对于普通企业来说,1G的带宽管理已经足够。
URL过滤,性能瓶颈在于http proxy的处理速度,经过优化之后最好的设备可达线速。
网关防病毒的性能瓶颈在于基于特征的扫描与http的并发连接,通过硬件的扫描加速可以实现http 1G基于特征的扫描和实际环境中4万左右的http并发。
以上每个功能单独做到极致都会没有办法处理其他功能,但市面上优秀的web安全网关,例如安启华的web安全网关设备在千兆网络环境中可以启用多种功能,这对于大企业来说完全满足需求。
其次从功能上判断:
带有安全功能的是UTM与防病毒网关、web安全网关。带有管理功能的是UTM、web安全网关与上网行为管理网关。安全通常带有全球的特性,所以国际厂商通常从安全入手,增加管理功能满足用户需求。管理带有明显区域特性,所以通常国内厂商会占有更高的份额,因为对区域性的应用能够及时更新与控制。既做到全球性的安全,又做到区域性的管理功能是每个厂商追求的目标,只有市场才可以真正检验。