我们即将到来的10次供应商枪战在企业统一威胁管理防火墙中的早期测试表明,部署企业UTM拥有自己的陷阱。以下是帮助您避免网络中这些问题的一些提示。
1.不要试图在一个盒子里完成一切。
虽然你可以购买UTM防火墙几乎无限的权力,这并不意味着您应该尝试将所有防火墙巩固到一个系统中。由于难以构建单一,协调,企业的政策,因此逻辑分发防火墙功能非常重要。尽管防火墙供应商在集中化方面取得了巨大的进步管理,在单个策略中,没有产品轻松处理许多控制区域,并在单个策略中使用不同的防火墙规则,网络地址转换规则和VPN隧道。添加入侵检测/预防系统(IDS / IPS)或其他UTM功能的轴,并且策略变得更加可管理。UTM设备可以支持整合,但它很容易走得太远。确保不要将“过度整合”到无法管理的设备中。
2.仔细检查表现。
性能是UTM设备中最大的Gotchas之一:当您打开功能时,性能可以剧烈地降低 - 或根本没有。安全产品供应商不会隐藏这些性能成本,但它们并不容易理解启用不同UTM功能的影响将在您的系统性能上。确保您确切知道您的UTM配置将是什么,并测试它以确保性能与您的要求匹配。75%至90%的速度下降与单个复选框很常见。确保您也有充足的余规。例如,IPS规则只会随着时间的推移获得更复杂,因此您的IPS会随着时间的推移而变慢速度较慢。
3.不要短路管理。
UTM防火墙有很多话要说,每层防火墙记录有关流过它的流量的信息。越来越多地要求企业捕获并保留这些庞大的防火墙日志数月或数年。确保为具有大量磁盘空间,内存和CPU电源的专用管理服务器计划处理这些聊天框。虽然一些企业供应商仍允许管理层通过Web GUI或通过管理处理服务器与防火墙共同居民,不要旨在跳过适当分离的和大小的管理系统。
4.验证高可用性和可伸缩性功能。
由于防火墙采取更多功能并成为更正网络操作的核心,确保高可用性和可扩展性也更为重要。由于性能更可能是UTM中的瓶颈,所以主动/主动配置比主动/被动更具吸引力 - 但是这种配置更难以构建和测试。模拟所有不同的失败,并确保在集群的所有不同状态中测试它们,可以是为期五天,而不是五分钟的工作。我们还发现,我们的UTM设备中的每个功能都以同样的方式工作。例如,基本防火墙和VPN函数通常在群集中干净地共享,但动态路由可能不太想到。如果VPN隧道延住单个设备故障,但群集不知道如何路由数据包,那不是“高度可用”。
5.复杂的配置很难验证。
在我们的测试期间,我们发现防火墙通常没有做我们认为我们所要求的,特别是在UTM附加组件如防病毒和IP等领域。您应该准备好对系统管理和配置的第二轮培训,因为您认为您知道您的企业防火墙可能不足以获得适当的UTM配置。即使您认为您知道您在做什么,运行简单的测试是有价值的,以验证您要求的保护实际上被激活。术语和协议覆盖范围在不同的产品上繁重地变化,并且UTM功能的简单复选框可能需要一个小时的测试来理解。
- 乔尔斯奈德