下一代UTM設備的選擇與評判
UTM設備的急速發展,在美國市場的市場份額已經超過了防火墻。在國內市場,單純的防火墻也顯現出市場份額逐步降低的趨勢。尤其是進入2009年以來,這個趨勢更加明顯,越來越多的用戶開始選擇UTM,或者從防火墻升級到UTM,來為自己的網絡提供更深層次、更具管理性且更全面的防御能力。
用戶在選擇防火墻時,依照吞吐量、并發連接數等數據標準參考,基本上不存在設備選型的困難。由于各個廠家對于UTM的技術實現方式各不相同,甚至有些廠家將防火墻進行簡單包裝,就打著UTM的旗號大肆宣傳,迷惑用戶對UTM的選型。
l 傳統UTM問題重重
傳統的UTM解決方案在命名、性能、吞吐量、冗余和管理上存在的種種問題。實際上是將幾種不同的產品封裝在一個盒子里,沒有考慮太多有關產品集成或冗余堆積的問題,由此會導致對數據流量進行兩次、甚至三次的檢測,從而嚴重降低了網絡傳輸的性能。對于網絡流量大的企業來說,這類產品并不實用。
如今,IDC又提出了代表七層融合安全的下一代安全網關——X-UTM,用戶又該如何選擇?
根據IDC的X-UTM技術標準,安全產品在全功能打開情況下,不僅要完成HTTP的大包處理,而且要完成各種網絡應用協議的小包處理,在此基礎上單個端口吞吐量仍然可以達到1Gbps,再加上其具有的高可用性(會話級別切換)、多安全區域等功能,從而可以從技術上保證企業用戶關鍵應用的安全實現。
對X-UTM而言,其誕生的意義源于安全,其首要標準就是“管理網絡層,控制應用層”。維護從網絡到應用的安全體系,成為了X-UTM的價值所在。如何判斷一款安全設備是合格的X-UTM設備,以及如何根據實際需求來選擇合適的X-UTM。
l 合格X-UTM的三大指標
根據IDC和Fortinet的設計要求,一款合格的X-UTM設備,其處理引擎必須具備分類處理的能力,比如針對HTTP實現處理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。
因此,所謂幫助用戶實現應用層安全,就是要使安全設備符合真正互聯網流量的體系結構,而不是單獨做一個Web安全網關。要回答這個問題,一般來說需要從功能、管理和管控三個方面進行考量。
第一,豐富的功能
有的廠家推出的產品雖然號稱UTM,但只是在傳統防火墻上通過硬件耦合的方式添加了防病毒功能,或者僅僅能夠抵御網絡層的DoS攻擊而不具備入侵防御功能,在本質上仍然是防火墻的有限增強,所能滿足的用戶價值也是有限的。
X-UTM對用戶來說,作為一種網關產品,X-UTM需要處理的東西很多。總結當前各種新興安全設備可以發現,單純的Web防火墻、上網行為管理、HTTP過濾網關等設備,其核心都是在保護Web,這些設備不需要考慮DNS、VoIP,它們都屬于應用層的專項安全產品。
同時,X-UTM還需要能夠提供完全的IP安全審計。通過對病毒、Web過濾、垃圾郵件等等模塊的日志審計報告的分析,系統需要能夠完全體現出這些七層威脅,包括對數據還原的支持。對于企業管理員來說,信息泄露、BBS信息都要能夠完整地被還原。
第二,可定制的管理
無論是UTM,還是代表下一代安全網關的X-UTM,由于支持眾多的安全特性,X-UTM的系統管理面臨很大的挑戰。如何將防火墻、VPN、防病毒、入侵防御、反垃圾郵件這樣眾多的功能有機地結合起來,使其既能方便配置,又能更好地協同工作,是UTM的系統管理要解決的首要問題。易用性是UTM系統管理最基本的要求,除此之外,還必須考慮到對病毒和入侵防御特征庫的升級更新、集中部署等情況的支持。
同時,如何讓用戶去習慣系統,將其變成自己的東西,而不是混雜地去被動接受,這是很重要的。而且這個定制化的體系,必須具備豐富性的特點。比如針對防病毒,需要支持流行的協議,如FTP POP3 Web 2.0 IM等等,還要考慮不同的端口、文件的大小限制、超時如何處理、文件類型識別等多種情況,系統必須支持靈活的配置。
而在Web過濾方面,安全廠商必須有一個服務系統,幫助用戶去識別全球不同類型的網站,主動幫助用戶去進行分析,才能體現自身的服務優勢。如果僅僅自己寫一個地址、域名,根本就不符合X-UTM的初衷。因為根本達不到幫助用戶真正屏蔽有害網站的效果。要知道,當前越來越多的網站隱藏性都很強,需要專業公司的技術幫助。
第三,策略化管控
根據Fortinet的統計,一個中等規模的企業,其網絡流量分配比例大致為:25%的HTTP封包,75%的UDP、DNS、IM、視頻等應用。不難看出,HTTP協議僅僅是網絡中的一部分,大量的基礎網絡協議和應用都需要X-UTM提供周到的保護。對于中小企業,可能選擇具有二三十兆轉發性能的UTM產品就已足夠,而對于大型企業或運營級用戶,則需要幾百兆甚至G比特的處理能力。
X-UTM對企業而言,由于要管理的范疇大得多:企業用戶訪問互聯網需要管控、企業的OA資源需要保護、企業內部VPN網絡需要保護,甚至是企業內部的每一個個體都需要保護。
比如像Web過濾,里面有大量的特性,X-UTM需要根據用戶的群組、不同用戶的角色分配,判定哪些用戶可以訪問哪些資源,哪些用戶不能訪問哪些資源,或者通過特殊的策略,靈活進行分配。
在集群管理方面,當在一個網絡中部署多臺X-UTM設備時,可以通過集中管理中心來對設備組進行配置,這樣經過一次配置,組內所有的X-UTM設備可以整體生效。
換句話說,不能說Web上有策略就是過濾,從Fortinet的經驗看,具體的分類標準——50類起步,沒有80類都不能算優秀。可以看出,X-UTM強調顆粒化的安全管理,不能把所有結果丟給用戶,需要符合用戶的實際需求。
