【用ＵＴＭ构筑安全的小型企业网络】小型企业不重视安全

　　对于很多小型企业而言，网络很不安全。通过企业内部署的无线网络，或者是来自被黑客破坏的公司网站，甚至在员工下载某些网络资源的时候，各种威胁悄然地渗入到企业网络中。面对资源有限的情况，该如何帮助小型企业来对付这么多的安全威胁？
　　
　　网络安全对规模较小的企业来说是个棘手问题，因为他们一般缺少价格昂贵的网络安全设备和专职的IT安全管理人员。但企业网络安全太重要了，尤其是对这些小企业而言，单单一次客户数据泄密就可能轻易毁掉自己的发展。即使平时，病毒、间谍软件和垃圾邮件的骚扰，已经让很多小型企业的员工丧失了“战斗力”，甚至整个企业的生产效率都有所下降。
　　值得庆幸的是，原本应用于大型企业网络安全的统一威胁管理（UTM） 技术已应用到了小企业。这些UTM安全设备提供了一站式安全保护机制，连兼职的网络管理员也能部署。
　　UTM设备基本上是防火墙路由器，辅以其他一些功能，如防病毒与反间谍软件功能、入侵检测、垃圾邮件过滤和Web内容过滤（可阻止**网站和下载软件等非正常网络流量）等功能。
　　以前UTM属于财力雄厚的大型企业的专用产品，如今用于8～25个用户的UTM设备售价低至400美元（约合人民币2800元），这其中包括针对产品补丁、病毒与恶意软件定义服务的全年订购费。许多厂商提供的功能更加齐全的UTM产品，价格也不过才1000美元。
　　虽然说，UTM产品是物有所值，但是与标准的防火墙路由器不同，UTM设备在特性和功能方面相差很大。所以，企业在选择UTM产品的时候，一定要注意它所提供的功能有哪些。总体而言，一个成熟的完全可满足小型企业需求的UTM产品至少要具备以下的功能:
　　●防病毒、反间谍软件和反网络钓鱼工具
　　通过在互联网网关阻止病毒和恶意软件，就能减轻每台计算机的负担，并防止大多数威胁入侵网络。除了每台PC的病毒检查软件外，反病毒工具还提供了第二层保护。虽然有些用户可能会关闭病毒检查软件，还有一些粗心大意的用户不会经常更新这些软件，但是网关检查软件发现不了每个恶意软件，因为它们缺少模拟每台计算机上所运行程序的功能。因而还是很有必要在每台PC上保留防病毒和反间谍软件工具。
　　另外有必要弄清楚你考虑购买的UTM设备使用哪个品牌的防病毒和反间谍软件。有些设备只与自有软件协同工作，但大多数设备依赖Macfee、卡巴斯基甚至ClamAV（开源方案）等公司提供的第三方工具。此外还应当确保这些防病毒和反间谍软件可以获得日常升级支持。
　　●内容和关键字过滤
　　要确认考虑购买的UTM设备拥有所需的内容过滤功能。利用内容和关键字过滤，就能通过使用厂商提供的列有不良网站和各类关键字的数据库，自行增删不良网站和关键字，阻止对某些IP地址、域和URL进行访问。内容过滤不仅仅针对**网络内容，另外还能阻止网络邮箱网站或者视频流服务网站，入站数据和出站数据都能过滤，所以就能防止网络内部的人员发送含违法内容的电子邮件或者即时消息。
　　●垃圾邮件过滤
　　有几款UTM设备拥有反垃圾邮件过滤器，但大多数提供的垃圾邮件过滤需要另外付费。由于垃圾邮件过滤会对防火墙的吞吐量带来巨大影响，许多IT专家喜欢在邮件服务器上使用单独的垃圾邮件过滤器。如果企业使用某家ISP的电子邮件服务，对方可能会执行这项任务，几乎不需要额外费用。如果在自己公司防火墙后面自己运行电子邮件服务器，基于UTM设备的垃圾邮件过滤就很合适。
　　●入侵检测和防御
　　入侵检测功能不仅仅是所有防火墙都能进行的简单的数据包头检查，实际上还能检查数据包的内容。结合深度包检查功能，入侵检测和防御系统如防病毒软件那样，使用日趋完善的规则和行为算法阻止可疑攻击。
　　●数据泄漏预防
　　数据泄漏预防（DLP）技术不太普遍，但对有些小企业来说很重要。“数据泄漏”指网上的专有信息和文档通过电子邮件、邮件附件、即时消息和网站上传等途径外泄出去。律师事务所和医生诊所尤其需要保护好客户或者病人的数据。如果这类数据外泄，他们可能会遭到起诉。
　　DLP软件使用内容过滤，或者仅仅阻止电子邮件附件和文件传送。可以使用普通的内容和端口过滤工具，其效果相当于DLP，但要预测导致数据泄漏的一些方式，而具有这方面安全配置专长的专业人员特别稀缺。
　　●网关吞吐量
　　在任何UTM设备数据单上最先看到的一项规格会是防火墙的性能或者吞吐量，用每秒兆位（Mbps）表示。这些数字大致描述了防火墙的性能，但可能没有考虑到所使用的UTM工具（入侵检测、防病毒和内容过滤等工具）带来的影响――这些工具最多会使吞吐量下降50%。但由于采用了速度更快的处理器或者效率更高的软件，有些网关比其他网关更能减小这种影响。
　　大多数厂商提供先试后买的服务，所以要好好利用这点，确保最终选择的UTM设备拥有所需功能，又不会因承受不住网络负载而陷入停顿。计算网络用户数量时，别忘了网络附加存储（NAS）、打印机和PDA这些网络外设，因为它们可能包括在“建议”的用户负载当中。
　　●访问控制和验证
　　为了防止非授权用户访问企业的局域网，大多数UTM设备支持一种或多种验证方案，如Windows活动目录、轻型目录访问协议（LDAP）、远程验证拨入用户服务（RADIUS）或内部用户数据库。它们还提供MAC地址过滤，防止未登记设备访问局域网。
　　●广域网故障切换/冗余
　　标准的防火墙路由器和许多UTM设备有一个很重要的区别，就是UTM设备连在第二个（有时第三个）广域网端口上。网络停运时，用户可以在两条普通连接（比如一条DLS连接、另一条线缆连接）之间平衡网络负载。可以把一条连接设置成主连接，只有网络停运时，才启用第二条连接; 也可以采用循环配置或百分比的方式来分配负载。这就不用购买昂贵的T1线路（及相应的服务级别保障），就能建立停运保护机制。
　　●VPN网关
　　如果用户想在办公室之间建立安全连接，以便出差期间可以访问，或者支持远程办公，虚拟专用网（VPN）支持就必不可少。大多数UTM设备能够充当入站连接的VPN网关。远程用户可以连接到这个网关，通过加密通道安全地访问局域网资源。
　　●无线安全
　　大多数小企业需要接入无线网络，所以UTM设备中的无线安全功能非常重要。有些设备拥有内置无线路由器，这样它们就能利用过滤互联网流量的同一过滤器过滤无线流量。还有一些设备让用户可以使用第三方无线接入点，为无线网络创建特别的安全区。
　　●订购费
　　如果用户要获得基本防火墙拥有的功能之外的各种UTM过滤功能（包括防病毒、反间谍软件、内容过滤、入侵检测和垃圾邮件检查等），通常需要额外支付每年订购费。虽然不用支付订购费也可以使用硬件，但这样一来，就享受不到这种设备的大多数安全功效。所以，在选择UTM设备之前，要调查一下针对病毒定义和软件/固件补丁的每年订购费，看看费用会不会随用户数量增加而增加。有些厂商按用户数量来实行浮动收费，有些厂商却不是这样。
　　还要查看最初的购买价是否包括了第一年的订购费。由于每年的订购费可能高达500美元或更多，第一年要不要单独支付订购费是个重要因素。要比较一下设备几年用下来需要多少总体拥有成本――包括设备费用和每年维护费用。