规模指南
NETGEAR® ProSecure™ STM内容安全网关管理着企业的 Internet 应用并保护着这些企业的免受来自于 Internet 的威胁,如恶意软件、垃圾邮件、病毒和不良网页访问等。在企业与 Internet 之间部署 NETGEAR® ProSecure™ STM 内容安全网关需要严格要求 STM 的选型和性能适合企业的需求。
选型的时候没有任何工业标准。每个企业都是独一无二的,它们有着各不相同的 Internet 使用特性。因此,NETGEAR® 使用了一些规范来评估 STM 的适应性:
吞吐量
最开始需要评估企业内部网络和 Internet 之间的吞吐量。由于 STM 平台部署在内部网络和 Internet 之间,网络的吞吐量就是当 STM 工作时能够传输的总流量。
并发 HTTP 连接扫描
用户浏览 Internet 的时候所产生的活动 HTTP 连接一般为5个,并发率为60%(3个并发的 HTTP 连接)。这个数值也适用于当有些用户大量流览 Web 页面或者使用大带宽的应用程序的情况。注意,当出现特别大量的 Internet 带宽应用,或使用像 P2P 程序之类的大带宽应用时,连接数的峰值可能会超过评估值。
Email 吞吐量
各个企业的用户发送和接收邮件的情况各不相同,也取决于企业所收到的垃圾邮件的数量。比如,一个用户平均一个小时发送和接收30封合法的邮件,而还有70%是垃圾邮件,所以每个用户每小时需要处理100封邮件。这样,一个200用户的单位每小时将接收到20万的邮件。
STM 平台型号对比
| STM 型号 |
STM150 |
STM300 |
STM600 |
| 吞吐量 (兆/秒) |
43 |
149 |
239 |
| 并发 HTTP 连接扫描数量 |
1000 |
2000 |
4000 |
| SMTP吞吐量(邮件/小时) |
139,000 |
420,000 |
960,000 |
企业例子
当为企业选择 STM 时,需要针对企业的具体特征来评估吞吐量、并发客户数、并发连接数和 Email 处理能力。在下面的例子中,我们列举了几种典型的企业,及各种 STM 所适用的类型。
| 企业特征 |
建议采用的 STM 型号 |
10 兆/秒吞吐量
100 并发用户数
300 需要扫描的并发 HTTP 连接
100,000 邮件/小时 |
STM150 |
40兆/秒吞吐量
250并发用户数
800需要扫描的并发 HTTP 连接
300,000邮件/小时 |
STM300 |
120兆/秒吞吐量
500并发用户数
1600需要扫描的并发 HTTP 连接
700,000邮件/小时 |
STM600 |
部署指南
NETGEAR® ProSecure™ STM内容安全网关采用透明桥接的方式,以便在不需要改动网络原有设置或增加设置的前提下,部署到网络中的任何位置。
以下是 STM 平台最常见的部署情况,取决于企业网络环境和需要保护的区域而有所不同。用户可选择其中的一种方式或者混合的部署方式。
网关部署
在典型的网关部署时,将一台STM 平台部署在防火墙和核心交换机之间的网关位置,用于保护进入或离开局域网的 Web 和Email 流量。在这种部署方式中,STM 将同时扫描 Web 和 Email 流量。
注意: 网关位置的部署时,建议将 STM 安装在防火墙的后面,以便防火墙能够发挥对 DoS 攻击等的防御功能(这些攻击一般都不是通过 Web 和 Email 进行攻击的)。
图 1 网关部署
服务器组部署
采用服务器组部署时,将一台STM平台部署在网关的位置,另一台安装在服务器组前方。这种方式的部署有利于分担网络的负载,并针对通过 Email 传播的恶意软件和垃圾邮件,为 Email 服务器提供了双向的保护。部署在网关位置的 STM 只针对Web 流量进行扫描,部署在服务器组的 STM 只对 Emai l流量进行扫描。
图 2 服务器组部署
局域网分段部署
采用局域网分段部署时,每个网段部署一台 STM 平台进行保护。这种部署方式一方面有利于分担了网络负担,另一方面可保护每个网段免受来自于 Internet 和其它网段的 Web 和 Emai l威胁。此时,所有 STM 均对 Web 和 Emai l流量进行扫描。
图 3 局域网分段部署
Low
