UTM设备的急速发展,在美国市场的市场份额已经超过了防火墙。在国内市场,单纯的防火墙也显现出市场份额逐步降低的趋势。尤其是进入2009年以来,这个趋势更加明显,越来越多的用户开始选择UTM,或者从防火墙升级到UTM,来为自己的网络提供更深层次、更具管理性且更全面的防御能力。
用户在选择防火墙时,依照吞吐量、并发连接数等数据标准参考,基本上不存在设备选型的困难。由于各个厂家对于UTM的技术实现方式各不相同,甚至有些厂家将防火墙进行简单包装,就打着UTM的旗号大肆宣传,迷惑用户对UTM的选型。
l 传统UTM问题重重
传统的UTM解决方案在命名、性能、吞吐量、冗余和管理上存在的种种问题。实际上是将几种不同的产品封装在一个盒子里,没有考虑太多有关产品集成或冗余堆积的问题,由此会导致对数据流量进行两次、甚至三次的检测,从而严重降低了网络传输的性能。对于网络流量大的企业来说,这类产品并不实用。
如今,IDC又提出了代表七层融合安全的下一代安全网关——X-UTM,用户又该如何选择?
根据IDC的X-UTM技术标准,安全产品在全功能打开情况下,不仅要完成HTTP的大包处理,而且要完成各种网络应用协议的小包处理,在此基础上单个端口吞吐量仍然可以达到1Gbps,再加上其具有的高可用性(会话级别切换)、多安全区域等功能,从而可以从技术上保证企业用户关键应用的安全实现。
对X-UTM而言,其诞生的意义源于安全,其首要标准就是“管理网络层,控制应用层”。维护从网络到应用的安全体系,成为了X-UTM的价值所在。如何判断一款安全设备是合格的X-UTM设备,以及如何根据实际需求来选择合适的X-UTM。
l 合格X-UTM的三大指标
根据IDC和Fortinet的设计要求,一款合格的X-UTM设备,其处理引擎必须具备分类处理的能力,比如针对HTTP实现处理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。
因此,所谓帮助用户实现应用层安全,就是要使安全设备符合真正互联网流量的体系结构,而不是单独做一个Web安全网关。要回答这个问题,一般来说需要从功能、管理和管控三个方面进行考量。
第一,丰富的功能
有的厂家推出的产品虽然号称UTM,但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能,或者仅仅能够抵御网络层的DoS攻击而不具备入侵防御功能,在本质上仍然是防火墙的有限增强,所能满足的用户价值也是有限的。
X-UTM对用户来说,作为一种网关产品,X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现,单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备,其核心都是在保护Web,这些设备不需要考虑DNS、VoIP,它们都属于应用层的专项安全产品。
同时,X-UTM还需要能够提供完全的IP安全审计。通过对病毒、Web过滤、垃圾邮件等等模块的日志审计报告的分析,系统需要能够完全体现出这些七层威胁,包括对数据还原的支持。对于企业管理员来说,信息泄露、BBS信息都要能够完整地被还原。
第二,可定制的管理
无论是UTM,还是代表下一代安全网关的X-UTM,由于支持众多的安全特性,X-UTM的系统管理面临很大的挑战。如何将防火墙、VPN、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来,使其既能方便配置,又能更好地协同工作,是UTM的系统管理要解决的首要问题。易用性是UTM系统管理最基本的要求,除此之外,还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。
同时,如何让用户去习惯系统,将其变成自己的东西,而不是混杂地去被动接受,这是很重要的。而且这个定制化的体系,必须具备丰富性的特点。比如针对防病毒,需要支持流行的协议,如FTP POP3 Web 2.0 IM等等,还要考虑不同的端口、文件的大小限制、超时如何处理、文件类型识别等多种情况,系统必须支持灵活的配置。
而在Web过滤方面,安全厂商必须有一个服务系统,帮助用户去识别全球不同类型的网站,主动帮助用户去进行分析,才能体现自身的服务优势。如果仅仅自己写一个地址、域名,根本就不符合X-UTM的初衷。因为根本达不到帮助用户真正屏蔽有害网站的效果。要知道,当前越来越多的网站隐藏性都很强,需要专业公司的技术帮助。
第三,策略化管控
根据Fortinet的统计,一个中等规模的企业,其网络流量分配比例大致为:25%的HTTP封包,75%的UDP、DNS、IM、视频等应用。不难看出,HTTP协议仅仅是网络中的一部分,大量的基础网络协议和应用都需要X-UTM提供周到的保护。对于中小企业,可能选择具有二三十兆转发性能的UTM产品就已足够,而对于大型企业或运营级用户,则需要几百兆甚至G比特的处理能力。
X-UTM对企业而言,由于要管理的范畴大得多:企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护,甚至是企业内部的每一个个体都需要保护。
比如像Web过滤,里面有大量的特性,X-UTM需要根据用户的群组、不同用户的角色分配,判定哪些用户可以访问哪些资源,哪些用户不能访问哪些资源,或者通过特殊的策略,灵活进行分配。
在集群管理方面,当在一个网络中部署多台X-UTM设备时,可以通过集中管理中心来对设备组进行配置,这样经过一次配置,组内所有的X-UTM设备可以整体生效。
换句话说,不能说Web上有策略就是过滤,从Fortinet的经验看,具体的分类标准——50类起步,没有80类都不能算优秀。可以看出,X-UTM强调颗粒化的安全管理,不能把所有结果丢给用户,需要符合用户的实际需求。