UTM革命5:UTM产品的选择与测试

安全
近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆,无数性能试比高低...

【51CTO.com 综合消息】近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。

国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆,无数性能试比高低。在这个纷乱的市场,用户如何能够选择到符合自己需求的UTM产品呢?通过这几年对各厂商UTM产品的了解、测试和使用,我们总结了一些心得。

首先,我们需要确认,是为了核心网络还是为了普通网络进行采购。如果是核心网络,对安全产品的首要要求是高性能和高稳定性,选择UTM产品也许并不合适。而普通网络,特别是分支机构网络,对安全产品的首要要求是综合防护能力和易用性,选择UTM产品则是明智之举。

区分核心网络和普通网络,根据每个用户实际情况的不同,可能有各种不同的判断标准,如大型数据中心,总部信息中心等。从经验上看,我们也可以暂时的用实际流量进行简单划分。通常实际流量能达到500M以上的,就可以划分为核心网络了。

然后,我们需要考虑,我们到底需要什么样的功能组合?在考虑功能组合时,最好能够遵循只有必须在网关上完成的功能才在UTM中进行考虑的原则,以尽量的提高部署UTM后整个网络的可用性。在这个原则下,防火墙+IPS+AV应该是最基本的要求。然后从加强内部管理出发,上网行为管理和流量控制也是比较有用的功能。在有需要的场合,将VPN(包括IPSEC VPN和SSL VPN)放在UTM中也比较适合。

而某些厂商宣传的抗DDoS攻击、反垃圾邮件和内网终端管理则不宜于整合进UTM之中。UTM主要还是应该工作在多数流量正常的环境之中,仅需要具备抵御常规攻击的能力即可。对抗DDoS这种大规模攻击手段,应该交给专业的抗攻击设备或者应急响应服务来解决。而专业的抗攻击设备也通常都是采用牵引方式旁路处理,而不是放在网关处。

至于反垃圾邮件,尽管目前多数的UTM设备都支持此功能,但这是一个明显的可以不在网关处进行考虑的功能。而内网终端管理这功能放进UTM中则几乎是一个宣传的噱头了。UTM完全可以去和终端管理系统联动来做诸如准入一类的功能(其实用802.1x和交换机联动更好,不过不是所有交换机都具备此功能)。但是终端管理功能,显然违背了能不在网关上工作的功能就不在网关上作的原则,加重了网关的工作压力。更何况还存在着整个网络被某台异常的终端拖垮的风险。

因此,在不考虑硬件性能瓶颈的时候,较好的UTM功能组合应为:FW+IPS+AV(主要处理网络病毒,文件病毒交给防毒软件)+应用管理+流控+VPN(IPsec和SSl)。

考虑到硬件性能和预算限制时,可以根据需要,先把VPN(特别是SSL VPN)和流控去掉,看看是否能够满足硬件性能和预算限制;如果还不行,再把应用管理划掉;再不行则牺牲AV功能。

除以上功能外,好的UTM产品还应具备良好的易用性。例如在设备故障时保证网络不中断的硬件Bypass能力,根据用户需求利用预设模块进行策略快速切换的能力,在大规模部署时的集中管理能力等等。在我们接触过的众多产品中,提供了“一键配置”的某厂商设备给我们留下了深刻的印象。其设备上设置了高中低3个按钮,通过触按按钮,可以直接在预设的策略模板中进行切换。

例如在部署某个新应用或者进行网络调整时,切换至全通策略;在面对上级检查或者紧急情况时,切换至只允许特定应用通过的策略等,都可以通过设备上的按钮直接切换,而无需再进入配置界面进行调整。特别的适合于大规模部署时的应用。

再来看性能。目前厂商的产品规格中多按照防火墙、IPS、AV等各种功能模块进行单独的性能标注。此时,我们需要向厂商确定,其标注的性能参数是只打开该项功能时的数据还是功能全开时的数据。市面上有不少的产品,如果只当一个单独的防火墙或者IPS或者AV网关使用时,可以样样精通;但是一旦功能全开,则样样稀松。从实用出发,在选择产品时应要求厂家提供功能全开(至少是防火墙+IPS+AV同时打开)时性能数据,并在采购合同中予以约束。

鉴于厂商有时迫于宣传和竞争的需要提供的是理论上的最高性能,有条件的客户最好能够采用测试仪先进行一下性能测试。

由于Smartbizs、IXIA等标准测试仪的出现,现在对诸如UTM此类的网络产品进行性能测试是一件很简单的事情。但在具体测试过程中,应注意以下要点。

1:64-1518字节的UDP吞吐测试仅能证明设备的网络层吞吐能力,对于UTM这样的设备,还应该做读取32k页面的HTTP吞吐测试,以验证其应用层性能。

2:如果有技术能力的,在测试时最好不采用测试仪默认的数据包,而是重新自行构造。

3:应在加入一定背景流压力(至少维持5万以上并发连接)时进行入侵检测和防病毒的检测率测试。

4:尽可能采用市场抽样的方式获得被测设备。如果是厂商提供的,应进行封样,并与最终采购产品进行详细的比对。

5:顺序做功能测试和性能测试。要求厂商工程师在测试开始前完成配置工作,一旦测试开始,在整个测试过程中绝对不允许厂商对设备再进行操作。

认清需求选功能,严格测试定性能。希望每位用户都能选到符合自己需求的网络安全产品。

【编辑推荐】

  1. 贵公司安全措施失效的五个原因
  2. Red Hat Enterprise Linux4.0功能与安全
  3. 安全使用RedHat Linux系统
  4. Red Hat PXE Server DHCP包远程拒绝服务漏洞

【责任编辑:安泉 TEL:(010)68476606】

责任编辑:安泉 来源: 51CTO.com
相关推荐

2009-04-02 11:54:17

2013-08-01 18:57:42

UTM华为

2010-09-07 20:53:58

2010-08-10 14:54:28

2009-12-01 18:43:57

2009-07-12 14:03:31

2010-09-09 15:22:57

2010-02-04 15:43:37

2010-09-09 15:38:09

2010-06-20 00:38:50

2010-12-07 15:07:00

2013-04-10 18:56:26

2011-05-25 16:12:12

2010-09-09 15:53:42

2014-07-22 09:08:40

2009-08-28 11:25:59

2010-09-09 16:29:39

2010-03-31 22:35:06

2011-03-07 12:46:58

2010-08-31 16:39:56

点赞
收藏

51CTO技术栈公众号