強大性能友善介面　集中管理如新使臂
延伸型架構　UTM功能隨需擴充

▲Check Point台灣區技術顧問陳建宏指出，XTM為新型態可延伸式的UTM，不是僅止於一個單純新的命名，而是以軟體模組架構，提供彈性的建置及更高的效能表現。

「UTM發展至今，下一代XTM會是未來整合式安全閘道的另一個走向。」Check Point台灣區技術顧問陳建宏指出，所謂的XTM（Extendable Threat Management）訴求的即是可延伸的UTM，根據客戶的需求增加功能，以客戶的角度來看資安的管理。企業客戶都希望藉由單一方案處理所有的資安問題，因此，建置UTM的企業客戶會期望，遇到的網路攻擊、VPN連線是否都可由同一台設備解決，同時針對網站入侵置換、網頁安全的問題也能解決，甚至將來出現新的攻擊，也可以直接在設備上延伸建置防護機制。  

以設計面來看，很多技術和需求依賴高效能的硬體，必須能以Multi Processor的運算方式應付多功能。陳建宏表示，Check Point已經與Intel合作多年，針對使用在UTM上的處理器作效能最佳化的調整與研發，因此當Intel開發出更新一代的CPU時，Check Point的設備也能相對同時獲得提升，因此在邁向延伸式的UTM時，不只考慮功能不斷提升，同時硬體支援能力也能夠不斷跟進，得以充分發揮最新硬體的運算效能。  

此外，新推出的Software Blade軟體刀鋒型架構，將防火牆、防毒、VPN、IDP、政策管理等功能，以Software Blade的方式，讓企業能彈性選擇所需之刀鋒模組，擴充符合企業規模的UTM，並且可直接部署在企業現有的Check Point UTM-1設備上，節省企業建置設備的成本。

中央控管優勢　數量不是問題  

Check Point的中央管理功能向來受到好評，強調當UTM設備擴增到20∼30台，管理者還是如同管理1台一般容易，即使擴增到100台時，還是能夠將所有的UTM設備產出資訊，統一收集到系統上集中管理。以銀行為例，當有超過3、4百個分支據點時，如果每一個據點都建置UTM，統一修改部署政策就會相當重要，管理人員不用舟車勞頓管理設定，如果是跨國企業，更是如此。「Check Point經過16年的經驗，收集從客戶端來的回應，發現中央控管的機制，是中大型企業客戶部署多個UTM於不同企業分點時，所需求的關鍵功能。」陳建宏表示。  

「UTM要回歸管理層面，提供的管理機制，從前端的管理設備，到後端管理軟體，一次提供給客戶。買到UTM功能已經不是關注的焦點，要看放多台上去能不能馬上使用。」陳建宏說，假設今天客戶部署一台UTM，將來增加部署到多台時，所有UTM完全自動納入到原本的管理介面中，所有的報表、流量管制、政策制定，還是全都只要由原本單一管理介面控管，帶給MIS管理人員相當大的方便。  

陳建宏發現，現在許多企業在評估資訊安全成本考量，以及經過UTM測試階段後，便直接將舊有建置的單一功能防火牆從閘道上卸除，替換上新的UTM設備，原因不在於舊有防火牆吞吐量不敷使用，而是無法達到企業要求的資安功能。而且對於管理人員來說，當涉及管理問題，與其同時管理兩台設備，寧願將防火牆直接替換成UTM，不但增加資安防護，還簡化了管理。  

「資訊安全設備的關鍵在於管理性！只要設備管理機制的呈現不夠明確，就會造成企業網路管理上的缺失。」陳建宏說，Check Point在管理設定介面上，以智慧型的方式協助管理人員設定、管理以及訂定政策，並且考慮到使用者直覺使用的概念，幫助企業IT管理人員，使用圖形化介面，所有圖示都能使用拖曳的方式來執行管理動作，雖然目前在台灣還沒有中文介面支援，但簡單的操作也能夠讓MIS人員輕易上手。  

智慧型設計，也讓管理更有效率。「曾經有企業客戶在同一地點先後架設了5台UTM，分別是不同時間採購越來越大台的新機器，UTM會自動運算設定通過流量的優先順序，將最新的機器擺在優先順序第一位。」陳建宏指出，針對管理的規則，UTM-1能自動判斷其合理性，讓規則不會造成邏輯衝突，即使管理人員異動時，也能夠易於接手。

Check Point投入防火牆以及UTM研發迄今超過16年，專精於軟體研發強調「Total Security」的概念，提供完整的產品線、全新的XTM概念、創新的刀鋒型服務架構，未來將把更多更完整Web Security的機制納入UTM架構中，阻擋SQL injection等網頁攻擊。Check Point人員結構多半是研發人員，針對防火牆和UTM功能的研發的團隊，分布在4個研發中心，分別位於以色列、俄羅斯以及美國東西岸。

▲圖中為Check Point UTM-1 570，提供1.1Gbps的防火牆吞吐量，以及250Mbps的VPN吞吐量，能夠應付同時間500,000個Sessions傳輸，適合250人以上的企業規模大小建置。