【IT168 专稿】作为有着十年历史、定位于市场咨询和渠道服务的专业公司——北京市中瑞信信息咨询有限公司（CRIC），网络设计带宽10Mb，每天数据流量大，高峰时更是惊人。仅北京总部就拥有百余台PC、多台服务器，加之分布于全国7个办事机构，160多个重点城市的渠道网络服务。同时，还要兼顾和维护重要客户的外网访问任务。如此规模庞大的网络架构，如何能保证数据进出畅通，保护网络安全可靠，不受到攻击，这几乎是每一个IT主管首要考虑的问题。

    负责公司整体网络运营策略架构师、高级工程师、技术部王经理，针对目前的应用特性和业务需求，结合十多年的经验，给出了我们值得参考的多项专家级建议。

    一、选择防火墙还是UTM？
  
    较早发展起来的一批小型企业，部分仍然在使用传统意义上的硬件防火墙，它实际上就是一种隔离技术。但随着需求提升、业务量的增加、网络环境等因素的变化，这堵“墙”对于漏洞攻击、网络病毒、垃圾邮件等袭扰就显得无能为力了，尤其是VPN等功能的应用。因此，随着对外业务量的增大、内部网络流量的增加，自然催生出UTM。

    H3C的UTM U200-C系列，恰好就可以解决以上困扰。UTM U200-C采用高性能的多核、多线程安全平台，保障安全功能开启时不降低性能。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护，达到“四合一”的功能。

    因此，企业从传统的硬件防火墙，转而采用所有功能集合为一体的UTM，是公司IT环境提升、网络安全保障的必经之路。H3C恰恰为这批中小企业网络健康的维护提供了可靠的平台。
 

    二、选型UTM该考虑哪些因素呢？

    当谈到UTM的选型问题时，王经理结合中瑞信公司业务发展特点，一语道出三点选型标准。

    首先是价位。硬件网络安防产品，在数年前价位较高，部分国产产品竟达到几万元。时过境迁，网络安全产品发展迅猛，如今价格仅万元左右，就可以采购到一台性能不错的UTM机。H3C的价格在同类产品中具有一定竞争优势，U200-CS标机价格在9,500元，U200-CS标机价格在13,000元。价格优势是IT主管们制定预算时，最先考虑的因素。

    其次是带机点位，即客户端数量。H3C的三款产品U200-CS、U200-CM和U200-CA，可分别支持100个、200个、300个端点。前两款的产品定位于中小企业和分支机构，企业可以根据自身的客户端数量来选择。

    再有就是流量。在选择合适的型号前最好要咨询厂商，这里给出H3C的免费咨询电话—— 400-810-0504。

    三、UTM的解决之道

   UTM带来诸多好处，这里我们仅举两个实例来说明，日常工作中H3C U200-C所体现出来的优异之处。

    1）提高带宽利用率

    使用硬件防火墙的一些企业，在网络日常安全维护中，经常令网管头痛的是：普通防火墙性能不够，必须同时结合软件来做维护，如“诺顿、卡巴”等。“墙”支撑的服务数量有限，数据包进出网络关口，都要受到检测。因此，影响了整体网络性能，流量受到限制，使得访问速度变慢。

    当遇到上述问题，一些企业会屏蔽掉一些流量较大的网络应用功能，如BT、电驴、迅雷等下载软件，再如视频多媒体Media Play、PPLive在线视频等。这种措施，除了引起一些热议外，网管们还会遇到，诸如“流量分配、点位权限”等实际问题，即如何制定策略来保护带宽，不得不取舍一些功能。而U200-C专业的集成卡巴斯基病毒库的防病毒功能，可有效阻止外网各种病毒传播。

    事实上，H3C U200-C的功能表现神勇之一，在于带宽管理与流量监控方面。给企业带来实际的应用好处。

    2）NAT解决地址映射问题

    在支持外部网络用户的过程中，访问内部服务器时，公司会遇到“一一对映”的映射问题，U200-C可以提供NAT多种映射关系，如：支持多个内部地址映射到同一个公网地址、支持外部网络主机访问内部服务器等，有效地解决了公司内网，与服务对象外部客户端的沟通和安全问题。因此，CRIC可以凭借良好的网关安全，满足国内外客户的网络培训、语音电话等全天候工作需求。

    3）开拓新业务 提供网络增值服务

    通过网络部署，中瑞信公司在咨询领域内，实现数据、语音、视频等更多的网络增值服务。在渠道领域内，缔造了中国大陆160个城市多级网络监测点，300多人的研究及一线渠道服务团队。同时在新业务的开拓上，可以承接更多专业服务：如CATI、数据库营销、调查录音取证、培训专家视频、会议主持风暴等。

    四、组网建议

    作为多年的IT专业人士，王经理给出了中肯的三点建议，首先安全网络的搭建，要制定整个网关的周全策略，一定要思维缜密，总体考虑全局安全。一旦搭建完成，尽量少改动配置和功能；其次，如果必须要改动，网络会全程扫描当前的配置，有时会中断内部局域网络；再有就是对一些功能的开启，不必一下子全部开启。原则上在略制定功能策略时，不易太复杂，要突出主要功能。这样做的好处是，统一Web界面，降低管理复杂度和意外风险。

    就H3C UTM U200-C的组网搭建，这里给出中小企业较为常见的搭建方式，可供参考。

    总体上看，需求催生变革，网络安全的提升是企业正常运营的保障。中瑞信业务的提升和数据可靠，正是在网络安全的这张大网下得以实现。