如果你运营一个小型企业,你有很多安全解决方案可以选择。可以买一个300块钱的路由器,也可以花几万块买一个企业级防火墙,或者在这二者之中做出一些选择。
这就是统一威胁管理(UTM)的市场。UTM整合5项基础安全功能:防火墙、IDS/IPS、反病毒/反垃圾邮件、VPN和内容过滤。UTM可以提供一个25人的小型企业的安全保护,并且平均价格只有1万块钱。
我们测试了8款产品:Check Point Software's 640, Dell/SonicWall's NSA 250MW, Elitecore Technologies' Cyberoam CR35iNG, Fortinet's FortiGate-100D, Juniper Networks' SRX220H-POE, Kerio Technologies' Control 1100, Sophos/Astaro's UTM 220, and WatchGuard Technolgies' XTM 330.
下面是我们的一些重点发现:
1. 除了五项基本UTM功能之外,所有设备供应商都提供了额外功能。举例来说,戴尔/SonicWall与Check Point就在设备中加入了无线接入点,WatchGuard与Fortinet则在自己的外部Wi-Fi接入设备中添加了管理软件。
2. 某些厂商还在产品中融入了Web应用程序防火墙,旨在阻止特定应用运行于内部网络中。另一些常见配备功能还有流量或带宽管理,用于消除网络环境下的资源占用大户或者至少在一定程度上限制可能出现的带宽滥用情况。
3. 来自Check Point、Fortinet以及Kerio的产品能够用于接入两条不同的上游互联网连接,例如线缆调制解调器以及DSL链路,从而借助连接多样性节约开支。除了降低成本外,这种机制还能在一条链路发生问题时实现故障转移,或者用于在两条连接之间实现动态负载平衡。戴尔/SonicWall甚至能够同时支持四条连接。
4. 一些供应商已经开始将各种云服务纳入设备当中,用于打理安全处理任务。举例来说,这些服务能够以自动化方式完成固件与病毒定义库下载、日志上传(用于实现深度分析)以及进行反病毒扫描。
5. 某些设备只配备四个千兆以太网端口,另一些则提供更多端口:如果大家还没有购买网络交换机,但却需要使用大量有线连接,则需要在两套方案中进行选择——要么购买一台独立的网络交换机,要么购买端口数量更多的大型UTM设备。
6. 在某些情况下(例如Check Point或者瞻博的设备),任何端口都会被定义为任何网络类型:WAN、LAN、DMZ或者特殊的访客限定网络等。而在其它供应商这边(例如Fortinet),大家只能在每个端口中使用特定的网络类型。Kerio、Sophos以及Check Point等设备拥有一套简单的“LAN交换机”设定,在它的帮助下我们可以借助一套单独的扁平网络拓扑结构向端口接入任何设备——这也正好满足了大部分客户的实际需求。这套机制的出现使设备更易于设置也更易于管理。只要提前做好设置,我们将再不必为接入线缆的类型而苦恼。
UTM的定价与采购
选择正确UTM设备时,最困难的一步在于弄清其整体成本。每家供应商都提供数十款尺寸有异、性能不同的设备型号,另有一大堆令人眼花缭乱的许可选项及功能清单。在本次测试中,我们要求每家供应商只提供一套典型设备方案用于支持一个容纳25位员工的办公室,某些发送设备还需要内置或者配备独立管理的无线接入点。
每台设备所配备的功能中,都有一部分需要单独购买授权或者支持合约,通常周期为每年一次。这意味着汇总各设备的最低使用成本将相当复杂。根据我们的整理,各家供应商的首年设备使用支出相差悬殊,最低的为Check Point的900美元、最高的则是Fortinet的2900美元。
下列汇总表格显示了各款产品的附加功能、不同端口数量、扫描工具、过滤工具以及各自支持哪种VPN。
