防火墙的终结者
“防火墙已经死了,现代的网络安全产品就是UTM”,作为世界上首次提出UTM概念并推出UTM设备的Fortinet公司总裁兼CEO的谢青作出这个论断时,距从2004年IDC正式给出UTM(Unified Threat Management,统一威胁管理)的定义时算起只过了五年的时间。事实上这个时间还可以再缩短一些,当2008年7月28日,Cisco宣布其畅销多年的PIX防火墙停止销售,取而代之的是ASA系列UTM产品时,就已经意味着防火墙时代的终结,UTM时代的开始。
UTM具有高度集成的安全功能,到如今,它已远远超出最初IDC定义时防病毒、入侵检测和防火墙的范围,它还可将内容过滤、反垃圾邮件、VPN等诸多安全功能集成到一个设备中来,这种设计模式在当前网络威胁复杂化的趋势下,满足了企业对威胁管理多样化的要求,受到业界的追捧,一直以来增长迅速。据IDC报告显示,目前UTM市场已经超过了防火墙市场,到2011年UTM将会是最大的单向市场,复合年均增长率将达到26.2%;在中国,2009年UTM市场规模将超过10亿元,并且未来5年内,年复合增长率超过50%。
使用UTM产品的优势
UTM将诸多安全功能高度集成,带来的好处的显而易见的。
首先是整合所带来的成本降低。在UTM产品的购买者中,中小企业用户占很大一部分,这些企业由于成本所限,难以针对其各方面的安全需求获得一个满意的安全解决方案,而UTM产品可让他们以较低的成本获得更加全面的安全防护。
其次,可大大降低安全部署及维护的技术。使用UTM产品可一次性获得多项安全功能,这与同时使用多个不同网络安全设备相比,部署起来会简单得多,而且也便于网络管理员进行管理和维护。
另外,UTM产品中集成多项安全功能,UTM厂商为了便于用户使用,往往都极为注重产品易用性,对于缺乏信息安全人员的中小企业来说,使用起来会简单得多,而且需要的安全技术人员数量也会更少。
当前UTM面临的问题
不过,高度集成在带来好处的同时,也带来了一些坏处。作为立体防御的安全网关,UTM在快速发展并被越来越多用户认可的同时,一直就面临着不少问题。
首先是安全功能高度集成带来的性能下降问题,这一直是制约UTM发展的瓶颈。很长时间以来,UTM产品的购买者主要集中在政府以及中小企业用户上,而电信、金融、电力等大型企业少有涉足,主要原因之一就在于其性能的不足。不过,如今一些UTM厂商已经推出了万兆多核级的UTM产品,这在一定程度上解决了性能不足的问题。
还有一个是易用性的问题,“简单、易用”,这是很多用户购买UTM产品时考虑的一个重要方面。由于UTM中集成有多个功能,如何在部署配置、管理维护,以及对网络的兼容性上保证易用性,这成为UTM厂商开发产品时需要考虑的重点之一。
另外一个则是功能强大性的问题,UTM在一个产品中有多个安全功能模块,而一个安全厂商往往只在一两个方面具有自己独特的技术长处,如何保障众多安全功能模块中每一个的功能都能媲美单独设备的功能,这也是UTM厂商在开发中需要考虑的重点。目前,大多数厂商除了加强自身技术实力外,往往采取强强联合的方式来增强各个模块的功能,如今UTM的功能强大性基本已得到用户的认可。
此外,由于涉及到多个功能模块,UTM系统的稳定性也会受到一定影响,相比传统安全设备而言,UTM的稳定性仍有不足。
而且,由于将所有安全功能放在一个设备上,风险也集中到了UTM上,如果UTM设备出现问题,将会导致安全防御措施失效,若UTM设备存在漏洞,也可能造成严重的影响。
除了以上这些高度集成带来的弊端外,由于目前多数UTM产品所包括的安全功能都是传统的边界安全防护网关的功能,传统网关防御的弊端,即无法应对来自内部的威胁这一缺陷仍然存在。不过目前已有厂商作出了尝试,如启明星辰前不久推出的UTM2网关?终端统一安全套件,该产品将网关安全和终端安全产品组合在一起,进一步进行跨界组合,以图实现对网络边界和内网终端的全面防护。
下一代的UTM
如今,随着企业IT应用越来越多,网络状况越来越复杂,企业面临的网络威胁也在不断变化,并且越来越多样化,企业的安全需求也在不断变化,对UTM提出了更高的要求,而上述UTM的弊端也愈发突显。而且,特别是自金融危机以来,由于IT预算缩紧,不少原本对UTM兴趣不大的高端用户也把目光转移到UTM上,这也要求UTM的技术与性能再上一个层次,才能满足他们的需要。这种情况下,IDC提出了UTM的下一代技术标准:X-UTM(也称为可扩展UTM或企业级UTM)。
X-UTM并非一个新的产品类型,我们更应该说,它是下一代的UTM。作为UTM的下一代技术标准,X-UTM的核心在于面向用户安全需求进行灵活扩展,使其优秀的多层安全技术紧密融合并有效使用。与传统UTM技术相比,X-UTM技术标准更加关注产品的功能集成度、产品的网络层强壮性、技术融合的可用性、简化管理复杂度、灵活的产品部署,以及全功能的原发型响应支持。
而要实现这些,X-UTM首先必须解决性能上的问题。根据IDC的X-UTM技术标准,X-UTM安全产品在全功能打开情况下,不仅要完成HTTP的大包处理,而且要完成各种网络应用协议的小包处理,在此基础上单个端口吞吐量仍然可以达到1Gbps,再加上其具有的高可用性(会话级别切换)、多安全区域等功能,从而可以从技术上保证企业用户关键应用的安全实现。而且,在真实的网络环境中,X-UTM设备放在企业内网里需要承担不同的协议和流量,其处理引擎必须具备分类处理的能力。比如在1G的出口流量中,针对HTTP的实现应用层安全处理吞吐至少应达到400M、SMTP 300M、POP3 300M,而网络层转发应该达到1G。而这些都对UTM厂商的综合实力提出了严峻考验,这些厂家必须具备不断发展的核心的软件及硬件技术和服务能力。
目前,仅有部分UTM厂商已推出可以称为X-UTM的产品。但我们可以预见,在不远的将来,X-UTM将为以其令人惊讶的实用性,真正地实现从网络到应用的融合,实现统一威胁扩展的理念。