这不是产品推荐的论坛。但是给你一些需要注意的事情:
- 短语和流行语:UTM、NGFW、IPS、IDS、防火墙、安全网关……只是文字,对所使用的技术及其局限性只字未提。而且有很多限制:有时是因为底层技术,有时是为了让它更快、更便宜。
- 营销:每个人都声称自己是最安全、最快和最便宜的。通常不是最好的产品胜出,而是营销最好或价格最低的产品胜出,因为普通用户无论如何也分不清:这是一个柠檬市场。
哪种产品最好取决于您需要的安全级别。如果您不处理敏感数据,则可能足以防止勒索软件和将您的公司集成到僵尸网络中的恶意软件。一旦您处理客户数据,进行有趣的研究,可能与政府组织建立联系,攻击者就会对您更感兴趣,因为从您那里窃取数据或将您用作攻击某些更重要组织的蹦床可能是值得的。
对低级 DOS 的保护与保护网上冲浪的用户不同。首先需要一个快速的数据包过滤器,其次需要应用程序级别的过滤。不仅设备是否可以做网络(甚至像很多人声称的那样是网络 2.0)很重要,而且他们对流量的深入了解也很重要。简单地将 URL 列入黑名单比实际分析有效负载要容易得多,但安全性也较低。设备对流量的调查越深入,它可以提供的保护就越多,但速度越慢,成本也越高。这个简单的事实并没有什么神奇之处,即使它被称为“下一代防火墙”或“统一威胁管理”、“云安全”……
没有 NGFW、UTM,任何可以完全保护网络的东西。因此,您需要在网络的不同部分之间使用隔离来限制恶意软件的影响。不要简单地让移动设备进入关键的生产网络,因为您不知道它们的感染程度。想想如果您知道来访您的人可能患有传染病,您会如何表现。
您对网络了解得越多,就能更好地保护它,因为您可以将其限制在您认为应该做的事情并检测任何违规行为。安全性不仅仅是安装一些设备然后忘记它,而是监控网络中发生的事情,调整规则以使其尽可能严格等。您可能必须聘请某人为您执行此操作或外包管理防火墙。如果维护它的人对问题没有真正的了解,最好的防火墙将无济于事。
也许您最好不要直接从供应商那里购买,而是去一家独立的安全公司,该公司销售竞争产品,并且通常还可以为您做管理。他们会比单个供应商愿意告诉您的更多地了解每种产品的能力和局限性。但是,当然有些人会简单地尝试向您出售他们能够获得最大利润的产品,而不是最适合您环境的产品。
听起来又难又贵?它是。您只知道,如果您的数据丢失、您的身份受到威胁并且客户希望有人可以更安全地保护他们的数据,那么投资于更好的安全性(产品和培训)可能会更明智。
我在谷歌上搜索了很多关于 UTM 的有效性,但我似乎找不到中立的文章,...
UTM 没有普遍的有效性,因为 UTM 在功能和质量上都存在很大差异。今天,您不会发现很多产品既不是 UTM 也不是 NGFW(或两者兼有),尽管它们与同一公司以前的防火墙、IPS 或安全网关产品没有太大区别。从技术上讲,您经常会在低端发现简单的数据包过滤器(如 Linux iptables),可能带有一些 IDS(如 Snort)和一些代理(如 Squid),添加了防病毒和黑名单,但也有更高级的解决方案。从开源 ClamAV 到不同质量的商业产品,它们的质量差异很大。黑名单的质量、IDS 签名以及供应商对新威胁的响应速度也是如此。
绕过 UTM 的组件通常是微不足道的,因为在协议的边缘情况下,数据在 UTM 和客户端(浏览器等)中的解释不同 - 这是外围防火墙的普遍问题。有时这种绕过已经可以在数据包层完成(参见Stonesoft Evader 2013),有时在应用层完成(参见我的研究 2015),或者也可以在反病毒分析层完成,如2012 年的这项研究。
因此,您不应期望这些设备提供太多安全性,并更好地实施深度防御,即额外使用基于主机的防病毒和隔离具有不同安全级别的网络。但无论如何,它们中的大多数都可能是对你现在所拥有的东西的改进。