UTM被廣大用戶接受 UTM進(jìn)入加速發(fā)展階段
2010年�,隨著UTM產(chǎn)品的不斷成熟��,在企業(yè)級市場,UTM將逐漸替代單一功能安全產(chǎn)品似乎已經(jīng)沒有爭議���,安全威脅的多樣化和技術(shù)進(jìn)步使UTM發(fā)展進(jìn)入了加速階段��。
UTM的處理性能主要是指同時(shí)開啟入侵防御�����、防病毒����、反垃圾郵件等主要安全模塊后的性能表現(xiàn)。在UTM產(chǎn)生的初期��,很多廠商的UTM產(chǎn)品在全功能開啟后,性能可下降80%����,因此��,解決全開啟性能下降難題是UTM能夠被廣泛應(yīng)用的前提��。
發(fā)展至今UTM硬件架構(gòu)經(jīng)歷了ASIC���、FPGA���、NP����、多NP�����、X86+ASIC/NP混合�、多核等多種架構(gòu)�����。在硬件處理性能大幅提高的同時(shí),軟件平臺和安全引擎上也得到各大廠商的重視�����,如:研發(fā)安全設(shè)備專用的OS����,重新設(shè)計(jì)的統(tǒng)一安全引擎或統(tǒng)一模式匹配引擎����、多通道并行匹配引擎等�,使UTM全部功能開啟后仍然可用���,并保持性能穩(wěn)定。通過軟硬件開發(fā)的努力�,UTM性能瓶頸獲得突破�。
隨著公司業(yè)務(wù)不斷擴(kuò)大�,網(wǎng)絡(luò)也在無形中加速膨脹�,這樣��,企業(yè)面臨的攻擊手段愈發(fā)靈活�,混合攻擊急劇增多;系統(tǒng)漏洞發(fā)現(xiàn)加快��,攻擊爆發(fā)時(shí)間變短;P2P流量耗盡帶寬��,垃圾郵件問題嚴(yán)重�����。安全威脅的多樣化使傳統(tǒng)的防火墻設(shè)備已經(jīng)不能滿足防范的需求�����。這也是目前越來越多的防火墻產(chǎn)品開始加入更多安全功能的一個(gè)主要原因��,迫使UTM進(jìn)入一個(gè)加速發(fā)展的階段����。
UTM設(shè)備的市場前景非常廣闊,一方面是由于越來越多的電信運(yùn)營商和中小企業(yè)出于成本和性價(jià)比的考慮��,對融合式安全產(chǎn)品的需求正越來越大;另一方面是由于硬件技術(shù)與安全軟件的發(fā)展已逐漸滿足這類產(chǎn)品的集成化要求�。
企業(yè)出口的安全建設(shè)長期處在一個(gè)串糖葫蘆的過程,防病毒�����、網(wǎng)頁過濾、防垃圾郵件��、入侵防御(IPS)等等都會(huì)成為這串糖葫蘆中的“山楂”����。這樣多節(jié)點(diǎn)的傳統(tǒng)安全解決方案在運(yùn)營成本、出口帶寬以及人力方面都給企業(yè)安全管理帶來了隱患和成本����,統(tǒng)一威脅管理設(shè)備(UTM)的提出,打破了這種串糖葫蘆式的尷尬局面����。
從國內(nèi)到國外、從開源到定制化�,面對猶如雨后春筍般的UTM產(chǎn)品時(shí),還有許多要考慮的地方�,筆者在與企業(yè)用戶的交流中,選擇UTM時(shí),應(yīng)該注意以下四點(diǎn):
一�����、UTM的性能及穩(wěn)定性
由于UTM將所有的安全功能置于一臺設(shè)備之內(nèi)��,無形中也帶給了我們更高的風(fēng)險(xiǎn)�����。一旦UTM設(shè)備出現(xiàn)問題�,所有的安全防御措施將陷入停頓;而一旦UTM設(shè)備被成功侵入或突破,整個(gè)網(wǎng)絡(luò)也將被赤裸裸地暴露在打擊之下���。所以考察UTM設(shè)備的性能及穩(wěn)定性是我們在選購UTM時(shí)的重中之重���。性能和穩(wěn)定性不好的防火墻,其他功能再好也是空談����。
二��、UTM的易用性
易用性的考察主要依賴于用戶體驗(yàn)��。除了考察管理員是否易于操作和掌握UTM網(wǎng)關(guān)的使用外����,很重要的需要考察是否有詳細(xì)的日志乃至數(shù)據(jù)中心��。對UTM日常的管理主要是看日志��、修訂策略���、添加和刪除用戶等。管理方面用戶應(yīng)該注意界面的友好性�,設(shè)置選項(xiàng)應(yīng)該通俗易懂,最好能支持中文操作界面�����。日志特別重要�,好的日志系統(tǒng)應(yīng)該有詳細(xì)的記錄,包括防火墻日志�����、流量日志、網(wǎng)絡(luò)監(jiān)控日志等��,日志應(yīng)該便于分類和排序��,最好能以餅圖�、柱狀圖等進(jìn)行顯示,方便統(tǒng)計(jì)和對數(shù)據(jù)的分析��。
三��、UTM的功能模塊及性價(jià)比
通常UTM設(shè)備包括防火墻�����、VPN�����、網(wǎng)關(guān)防病毒、IPS����、訪問控制、內(nèi)網(wǎng)監(jiān)控等多種功能。并不是每一個(gè)功能都是需要的,用戶不必要為了一些不需要的功能花冤枉錢����。功能并不是越多越好��,而是要看其是否實(shí)用。當(dāng)在一個(gè)防火墻服務(wù)器上實(shí)現(xiàn)太多的服務(wù),結(jié)果就是這些服務(wù)對硬件資源的吞噬�����,最后導(dǎo)致防火墻性能的下降����。在防火墻上,往往不會(huì)部署過多的應(yīng)用服務(wù)�。
這就好像不要把雞蛋都放在一個(gè)籃子中的原理一樣�����。萬一防火墻服務(wù)器出現(xiàn)故障��,那么VPN����、訪問控制列表等功能都將實(shí)效。當(dāng)企業(yè)對網(wǎng)絡(luò)的穩(wěn)定性要求比較高的話�,越加不能夠把多個(gè)服務(wù)集成在防火墻服務(wù)器上。
四��、不要過于依賴相關(guān)技術(shù)參數(shù)
不要太過于相信實(shí)驗(yàn)數(shù)據(jù)����。對于他們從實(shí)驗(yàn)室得出來的數(shù)字,筆者往往會(huì)給他們打個(gè)對折���。打折后的數(shù)據(jù)����,可能水分會(huì)少一點(diǎn)。所以�,實(shí)驗(yàn)數(shù)據(jù)只能拿來參考。在有條件的情況下��,網(wǎng)絡(luò)管理員要結(jié)合自己的公司網(wǎng)絡(luò)環(huán)境����,對防火墻產(chǎn)品進(jìn)行測試。這測試出來的結(jié)果����,對于我們防火墻選購才會(huì)有參考價(jià)值。
省錢才是硬道理�����,對中小企業(yè)用戶來說���,部署高貴的UTM產(chǎn)品是一種可望而不可及的事情,隨著開源技術(shù)的不斷升華����,免費(fèi)且開源的軟件(FOSS)無處不在,在IT技術(shù)行業(yè)�,這類產(chǎn)品分布很廣��,特別是在網(wǎng)絡(luò)安全領(lǐng)域�����,優(yōu)秀的FOSS例子舉不勝舉�����,如防火墻�、路由器和VPN���,甚至連UTM也有���,幾乎你能想到的任何應(yīng)用都有對應(yīng)的開源產(chǎn)品。本文將為大家介紹三款有商業(yè)支持的開源網(wǎng)絡(luò)安全產(chǎn)品����,使用開源產(chǎn)品具有成本更低,更安全�、靈活,良好的擴(kuò)展性和完整的企業(yè)支持的優(yōu)勢�����。
Endian
Endian是一個(gè)功能豐富的統(tǒng)一威脅管理系統(tǒng)(UTM),提供了一個(gè)強(qiáng)大的防火墻����,VPN(IPSec/OpenSSL),防惡意軟件/垃圾郵件網(wǎng)關(guān)����,QoS/帶寬管理,IPS和代理功能�,也可以用它作為軟件解決方案構(gòu)建你自己的硬件產(chǎn)品,或?qū)樘囟☉?yīng)用程序進(jìn)行安全優(yōu)化����,和其它競爭產(chǎn)品類似,社區(qū)版一般只提供了商業(yè)版的核心功能�。
Endian基于Web的管理界面做得很漂亮,并且易于使用����,它的儀表盤提供了所保護(hù)網(wǎng)絡(luò)的實(shí)時(shí)綜合視圖�,Endian也提供了中央管理控制功能,Endian Network是一個(gè)基于Web的中央管理/監(jiān)控解決方案��,可以集中管理多個(gè)Endian產(chǎn)品,Endian Hotspot插件模塊支持創(chuàng)建安全的無線熱點(diǎn)�,通過SSL VPN,專用的身份管理系統(tǒng)和RADIUS保護(hù)無線網(wǎng)絡(luò)�。
Untangle
Untangle是一個(gè)功能豐富的UTM網(wǎng)絡(luò)安全解決方案,它提供了防火墻��,VPN(OpenVPN/SLL)���,路由����,QoS�,惡意軟件防御,防釣魚�����,防垃圾郵件服務(wù)���,入侵預(yù)防和Web內(nèi)容過濾等功能���,它提供了一個(gè)簡單的Web管理界面管理系統(tǒng)的所有功能,另外�����,它提供了強(qiáng)大的報(bào)告功能,你可以站在高處鳥瞰整個(gè)網(wǎng)絡(luò)的運(yùn)行情況����,并可以將報(bào)告輸出為PDF/HTML文檔。
此外�,Untangle具有自動(dòng)升級功能,這一點(diǎn)特別受網(wǎng)絡(luò)/安全管理員的歡迎��,它的開源版本提供了全部功能�,另外專門提供了適合SMB和教育用戶的綁定版本。
商業(yè)插件���,如Commtouch通過增強(qiáng)的策略管理器提高了垃圾郵件阻止能力����,還有來自eSoft的Web過濾解決方案���,WAN負(fù)載均衡和故障轉(zhuǎn)移��,活動(dòng)目錄連接器�,來自卡巴斯基的反病毒軟件等插件�����。
Vyatta
Vyatta是一個(gè)開源路由器��、防火墻和VPN解決方案�,它支持很多高級路由協(xié)議(BGP,OSPF��,RIP等)�,同時(shí)提供了入侵防御,URL過濾和WAN負(fù)載均衡等功能����。Vyatta提供多種形式的解決方案,包括硬件設(shè)備�,直接在x86服務(wù)器上部署軟件,通過虛擬化部署(Xen/VMware)��,甚至可以通過云部署���。在管理方面���,它提供了直觀的Web界面,也提供了CLI(命令行接口)�。
CLI與思科IOS和瞻博JUNOS的風(fēng)格類似���,因此不會(huì)給我們帶來學(xué)習(xí)負(fù)擔(dān),Vyatta給那些尋求優(yōu)質(zhì)路由和安全解決方案的人提供了一個(gè)開源的選擇�。從上面三個(gè)開源安全產(chǎn)品可以看出,開源軟件在網(wǎng)絡(luò)安全領(lǐng)域的話語權(quán)越來越大�����,無論是從成本�,正常運(yùn)行時(shí)間,安全還是從穩(wěn)定性方面來看���,它們的表現(xiàn)都很不錯(cuò)��,下次你要購買網(wǎng)絡(luò)安全產(chǎn)品時(shí)�����,可別忘了評估一下這幾款開源產(chǎn)品�����。
隨著企業(yè)網(wǎng)絡(luò)規(guī)模的龐大與復(fù)雜����,網(wǎng)絡(luò)威脅嚴(yán)重化趨勢也日益凸顯,企業(yè)用戶對全面安全應(yīng)對機(jī)制的需求也更為迫切�。間諜軟件���、病毒和垃圾郵件等安全攻擊的盛行,促使網(wǎng)絡(luò)用戶對安全產(chǎn)品的需求也更加廣泛和深入�,依靠單一防火墻防范各種攻擊已成為歷史��。統(tǒng)一威脅管理(UTM)是一款網(wǎng)關(guān)型硬件設(shè)備���,各種應(yīng)用數(shù)據(jù)均要經(jīng)過它的檢查�、處理����,因此,網(wǎng)絡(luò)數(shù)據(jù)的處理能力非常重要���。另外�,如果統(tǒng)一威脅管理(UTM)在基本防火墻應(yīng)用的基礎(chǔ)上����,再開啟那些非常占用資源的協(xié)議分析、病毒查殺�、入侵檢測等應(yīng)用模塊�,處理能力會(huì)有明顯下降���。
啟明星辰UTM2由三位一體構(gòu)成��,包括統(tǒng)一安全網(wǎng)關(guān)����、統(tǒng)一終端安全和統(tǒng)一管理配制���,三者構(gòu)成一個(gè)整體�,就構(gòu)成了UTM2�。其出發(fā)點(diǎn)就是要同時(shí)管理網(wǎng)關(guān)和終端兩個(gè)邊界,讓內(nèi)網(wǎng)重新變得安全��。UTM2的思想是把邏輯上多個(gè)功能組件�����,物理上集成在一個(gè)硬件設(shè)備里面��。這個(gè)硬件設(shè)備上集成了終端代理安裝程序;同時(shí)這臺硬件本身是UTM網(wǎng)關(guān)���,可作為策略強(qiáng)制點(diǎn);同時(shí)上面也集成了策略控制點(diǎn)����,即策略服務(wù)器。
華為賽門鐵克今年推出UTM+統(tǒng)一安全解決方案��,在UTM+設(shè)備內(nèi)部融合了Symantec高質(zhì)量的安全引擎和簽名庫�,并在此基礎(chǔ)上����,進(jìn)一步整合深度的應(yīng)用程序識別和網(wǎng)站內(nèi)容分類技術(shù),從而實(shí)現(xiàn)應(yīng)用檢測與傳統(tǒng)文件檢測技術(shù)的緊密結(jié)合��。更為方便的是��,以上各種安全功能無需任何專業(yè)人員的專業(yè)配置�����,IPS��、AV�、DPI、URL的工作狀態(tài)即可自動(dòng)的實(shí)現(xiàn)調(diào)優(yōu)�,適合企業(yè)的應(yīng)用環(huán)境,為用戶帶來一鍵式的配置體驗(yàn)。
東軟NetEye集成安全網(wǎng)關(guān)NISG是東軟多年信息安全領(lǐng)域技術(shù)經(jīng)驗(yàn)積累的結(jié)晶�,采用內(nèi)核級“并發(fā)流過濾”架構(gòu)和NEL智能入侵防御引擎,將FW����、IPS、VPN�����、Anti-Virus���、Anti-Spam�����、Anti-DDoS���、QoS、上網(wǎng)行為管理等功能無縫融合��,全面抵御各種安全威脅����,實(shí)現(xiàn)集中防護(hù),智慧管理。在產(chǎn)品規(guī)劃之初�����,東軟NetEye就將綠色環(huán)保作為重點(diǎn)考量的內(nèi)容之一充分融入到產(chǎn)品的設(shè)計(jì)中����,突出節(jié)約能耗、高效管理��、環(huán)保用材的清新綠色理念���。
據(jù)聯(lián)想網(wǎng)御在今年美國舊金山RSA大會(huì)上發(fā)布的KingGuard 5000系列UTM產(chǎn)品是基于多核多線硬件架構(gòu)及公司自主知識產(chǎn)權(quán)的安全操作系統(tǒng)VSP(Versatile Security Platform)研發(fā)的綜合安全防護(hù)網(wǎng)關(guān)產(chǎn)品,同時(shí)得到了國家863計(jì)劃及火炬計(jì)劃的支持�����。與以往產(chǎn)品相比���,聯(lián)想網(wǎng)御KingGuard 5000系列UTM集成了Firewall����、VPN����、AV�、IPS���、綠色上網(wǎng)���、Anti-Spam等功能,并提供續(xù)訂安全服務(wù)和一整套管理��、報(bào)告和分析功能�����,產(chǎn)品整體性能提高300%以上�����。同時(shí)��,該產(chǎn)品還具有獨(dú)特的 “一鍵配置”功能�,1秒內(nèi)實(shí)現(xiàn)安全策略的切換,在性能和易用性上領(lǐng)先于業(yè)內(nèi)����。是聯(lián)想網(wǎng)御利用NetLogic Microsystems多核芯片開發(fā)出來的全新產(chǎn)品��。不同的型號可滿足從SOHO到電信運(yùn)營商的各級用戶�����。
作為一款覆蓋安全硬件和4-7層這樣一個(gè)綜合的安全設(shè)備���,華三UTM的推出往往能反應(yīng)一個(gè)企業(yè)在安全領(lǐng)域綜合解決問題的能力。截至到2010年�����,在整個(gè)華三U200-C(Commercial)系列產(chǎn)品包括U200—CS�、U200—CM、U200—CA三款產(chǎn)品�����,作為系列產(chǎn)品其優(yōu)勢也是一脈相承�。
FortiGat企業(yè)級UTM系列產(chǎn)品包括 FortiGate-620B���、310B�、110C����、它們和其他型號產(chǎn)品一樣具有所有主 要功能���,比如集成的防病毒、防火墻�����、VPN�、IPS和流量整形等功能。企業(yè)級產(chǎn)品的吞吐量最大可以達(dá)到1Gbps����,具有高可用性(會(huì)話級別切換),多個(gè)安全區(qū)等功能����,因此說它們是企業(yè)的關(guān)鍵應(yīng)用的最佳選擇。
