集成化防护设备阻断网络威胁

说到企业分支机构未来的管理问题，大部分专家都认为，集成化的硬件防护产品是不可缺少的。

据市场调研机构IDC预测，到2008年，老式的防火墙/VPN路由器将被新型的all-in-one式的集成硬件所取代，而全球企业用于升级这类硬件设备的投资是每年35亿美元。目前厂商推出的这类集成式硬件产品包括统一威胁管理（UTM）以及统一服务网关（USG）。

除了提供传统的防火墙和VPN的功能，这些硬件系统还可以提供防病毒，防垃圾邮件，防间谍软件，内容过滤以及入侵检测和预防系统（IDS/IPS）等诸多功能。大部分厂商都将这些功能做成了独立的模块，并按年收取费用，因此企业如果一下子选择过多的模块或过长时间，可能会带来巨大的成本负担。

UTM系统的开发主要是针对目前企业所面对的安全威胁。比如，当企业员工在访问一个恶意网站时，间谍软件会被自动下载到电脑中，并在电脑里建立一个后门，以便黑客利用它将电脑变成所谓的僵尸电脑。UTM系统的反间谍软件功能在一开始就能够识别出间谍软件，如果没能识别出来，那么IDS/IPS功能也可以发现控制僵尸电脑的数据包。

如果企业的分支部门没有能力单独配置UTM系统，那么最好选择那些能够提供预配置系统的厂商，或者让企业总部的IT部门进行远程配置。当然，在配备UTM之前，企业应该通过一系列软件实现分支机构的安全。至于分支机构中是否有人能够熟练的安装和配置防火墙、IPS、反病毒软件、反垃圾邮件系统以及URL地址过滤策略等，就不清楚了。

Array Networks的Kevin Thiele认为，UTM系统对于企业的分支机构来说也许是不错的选择，但是对于企业总部来说，它的性能还不够强。如果企业需要添加应用层（Layer 7）的服务，那么应该需要性能更强的硬件设备。一些厂商在UTM系统中使用标准的Intel或AMD处理器，而另一些则使用自己开发的处理器，对于后者来说，一般可以提供更强大的性能，也更具针对性。

对于那些采用Intel或AMD处理器的系统来说，一旦处理器厂商更改了CPU接口，或者采用了性能更强的双核处理器，那么在处理器升级的时候，主板也必须随之更换。

说到集成化系统的新发展成果，Juniper Networks前不久承接了北约的一单生意，为北约的多个分支机构提供IDP 200和600系列入侵检测和防护系统，当然，这份合同应该不会包括北约唯一的移动分支机构——坦克部队，因为这个机构的硬件防护系统的主要任务是防护120mm口径炮弹打击。

（责任编辑：陈毅东）

查看本文的国际来源