iThome

這次我們一共測試了3臺中階等級的UTM設備,功能方面,皆具備防火牆、閘道防毒、IPS、VPN、內容過濾,及垃圾郵件過濾等UTM定義中的項目。除了操作各款設備的主要功能之外,也經由FTP傳檔的方式,來測試各款設備的處理效能起伏情況。

除了集中式報表,遠端管理能力也是評估要項

此次測試的設備,硬體上皆提供了多組的網路埠,並且能夠視需求而彈性變更角色,提供多WAN線路備援,或者是多個DMZ,以便區隔多種不同性質的伺服器。除此之外,除了一般常見的NAT模式,許多設備也具備透通模式的部署能力,以便於上線初期的測試,或者是利用內建多重過濾引擎的特色,提供安全檢測的服務。

廠商一般都會提供管理軟體,以便收集、分析設備的事件記錄,有些產品還直接將這項功能內建於設備,就像我們這次所測試的Check Point UTM-1 270,協助企業分析設備收集所得的事件記錄,同時長期保存,做為日後備查之用。

對於需要在網路環境中部署多臺UTM的企業來說,集中式的報表功能只是基本需求之一,能否提供遠端設定的能力也很重要。

以我們這次接觸的廠商來說,像是合勤的Vantage CNM、SonicWALL的GMS就有提供遠端管理的能力,可由遠端操作UTM的各項設定,甚至更新韌體。

當設備發生故障,需要處理時,遠端管理的功能更能顯現出好處,因為IT人員不需千里迢迢地到現場處理,僅需寄送一臺已經做好網路基本設定的設備,由分公司人員自行替換,之後就能從遠端進行設定。

SSL VPN已逐漸成為UTM基本功能之一

這次我們測試的設備皆提供了SSL VPN的連線功能,雖然這不是UTM定義中的功能項目,但隨著企業需求的增加,因此後來許多設備也加入了這項功能。和單一功能的SSL VPN相比,多數UTM所提供的存取功能只是前者的一部份而已,最常見的使用方式是透過連接器建立VPN通道。

要注意的是,SSL VPN是一項相當耗用系統資源的服務,大多數的UTM設備在硬體上並不具備專用的VPN加密晶片,有些型號較舊的設備是透過韌體更新的方式才具備這項能力,性能上因此不適合用來提供大量人數的SSL VPN存取。

搭配專用ASIC晶片仍有必要性

隨著硬體架構的演進,無論是一般的x86泛用型,或者採用網路處理器(Network Processor)的專用平臺,在處理封包的能力上,皆比上一代產品要有所提升。不過從我們實測所得的數據來看,這3臺設備開啟多項功能之後,仍舊會出現很明顯的效能波動,尤其閘道防毒這類需要解析封包內容的服務更是如此。

 

【相關報導請參考「UTM設備採購大特輯」】

熱門新聞

Advertisement