【賽迪網-IT技術報道】自從2004年IDC提出UTM的概念以來,在其後的四年間,UTM的發展可謂迅速,在美國市場,UTM的市場份額已經超越防火牆,成為安全網關市場的主流。在中國,UTM的遠大前程也展露無疑:根據IDC的統計,2007年UTM硬體增長迅猛,「全年同比增長87.6%,其中下半年同比增長105.4%,是2007 年下半年增長速度最快的安全子市場」(IDC《中國IT安全市場分析與預測,2007》)。而在同期,防火牆的市場份額則開始出現衰退。2008年上半年,這個趨勢更加明顯,越來越多的用戶開始選擇UTM,或者從防火牆升級到UTM,來為自己的網絡提供更深入、更立體、更全面的安全防禦。
按照產品生命週期的理論,我們可以看到目前的防火牆正從成熟期向衰退期過渡,而UTM則正穩步邁向成熟。但對於防火牆產品,由於標準化程度相對較高,用戶基本上不存在選擇的困難。而對於UTM,普通用戶在選擇時通常是一頭霧水:由於目前針對UTM尚沒有形成正式的產品規範,因此各廠家實現UTM的技術方式,以及UTM所包含的功能特性都存在一定的差異,甚至有個別廠商僅僅將防火牆進行簡單包裝,就打著UTM的旗號進行宣傳,給用戶造成了很大的誤導。
具體到UTM的選擇上,用戶可能存在更多的疑惑:哪些功能是必須的?哪些功能是可選的?哪些性能指標是決定性的?如何選擇性能合適的設備?如何才能實現更快捷高效的部署管理……
上述問題可以歸納為:如何判斷一款安全設備是合格的UTM設備,以及如何根據實際需求來選擇合適的UTM。要回答這個問題,一般來說需要從功能、性能和管理性三個方面進行考量。
1.功能的要求
在UTM的所有功能中,並不是所有的功能都是必要的,用戶需要根據自己的需求來確定採購目標。但一般來說,UTM設備應該包括如下基本功能,才具備基本的可用性:
・基礎防火牆功能:包括狀態過濾、訪問控制、NAT轉換等,這些是防火牆的基本功能,也是UTM中必不可缺的功能。
・入侵防禦(IPS)功能:入侵防禦功能是UTM區別於防火牆的最基本特徵。傳統防火牆具有的是2-4層的防禦能力,對更高層的協議不具備檢測能力,而UTM正是通過入侵檢測和防禦技術的實現,具有了2-7層的全面防禦能力。從這一個角度來說,入侵檢測能力的高低,是衡量一款UTM是否專業的重要標準。
・防病毒功能:UTM所採用的網絡防病毒引擎同桌面防病毒產品在實現上有一定的差異,病毒的實際檢測率也是選擇UTM設備的重要參考。
・VPN功能:UTM應支持最基本的VPN功能,即端到端的IPSec VPN。
・高可用性(HA):由於UTM整合了眾多的安全特性,使得其對穩定性的要求較一般安全設備要更加苛刻,因為一旦發生故障,可能會導致所有安全防禦功能失效,造成無法挽回的損失。UTM應具備高可用性,能夠採用主備模式,在檢測到鏈路和設備故障時由備份設備取代主設備,提供不間斷的安全防護。
上述功能可認為是UTM的標準功能,如果一款設備不具備上述所有功能,則不能被稱為合格的UTM設備。譬如有的廠家推出的產品雖然號稱UTM,但只是在傳統防火牆上通過硬體耦合的方式添加了防病毒功能,或者僅僅能夠抵禦網絡層的DOS攻擊而不具備入侵防禦功能,在本質上仍然是防火牆的有限增強,其所能滿足的用戶價值也是有限的。
除了上述功能,視不同用戶的需求,UTM可能還需要實現以下功能:
・動態路由功能:實現RIP、OSPF等路由功能,對於小型客戶,將路由器部分功能整合到UTM中,可以節省投資,並使得網絡接入更加扁平、易管理。
・擴展的VPN功能:通過SSL VPN和L2TP VPN,可以提供更靈活的VPN組網能力,包括無客戶端或瘦客戶端的VPN部署,對動態用戶的支持等。
・內容過濾:狹義的內容過濾是對網頁內容、URL、網頁控件等的過濾,廣義的內容過濾還包括對各種互聯網應用比如IM/P2P、網絡遊戲、股票軟體、流媒體應用等的檢測和控制;在業務互聯網化的今天,這部分功能對用戶特別是對企業用戶,價值日益凸顯。
・反垃圾郵件:對於UTM中是否實現反垃圾郵件,存在一定的爭議,但不可否認的是在UTM中實現反垃圾郵件有一定的先天優勢,借助入侵防禦引擎的深度掃瞄能力,對通過郵件的入侵可以達到良好的防禦效果。而對垃圾郵件的處理性能上,UTM較專業的反垃圾郵件網關仍然有一定的差距。
・負載分擔功能:在雙機熱備的基礎之上,通過HA雙主或集群的方式,實現UTM的負載分擔。在對流量要求較高的場景下,通過負載分擔可以提高安全網關整體的資料處理能力。
2.性能的要求
對UTM產品來說,對其性能的考量較傳統網絡設備或防火牆來說要複雜的多。UTM的性能取決於其使用的具體功能:使用不同的安全特性,甚至對同一安全特性的不同配置方式,對UTM性能的影響都是不一樣的。舉例來說,如果在UTM中同時使用防病毒和內容過濾功能,性能肯定比只使用防病毒功能要低;而在只使用防病毒功能的情況下,對所有業務流量進行病毒掃瞄肯定比只對Web業務流量進行掃瞄的性能要低。
為了簡化起見,在評測UTM的性能時一般只考慮兩種場景:一是針對防火牆的性能,也就是UTM只啟用基礎防火牆功能,而不啟用防病毒、入侵防禦等高級安全特性;另外是針對UTM全特性的性能,也就是開啟防病毒、入侵防禦、內容過濾甚至反垃圾郵件等所有高級安全特性。在第一種場景下,其性能的評估跟防火牆的性能評估方法是一致的。在對UTM全特性的性能評估中,主要考慮以下關鍵指標:
・UTM應用層轉發性能:傳統防火牆採用吞吐量來評估轉發性能,而UTM由於工作在2到7層,單純使用IP或UDP的吞吐量測試不具有實際意義,因此使用應用層轉發性能來進行評估更加準確。通常可採用HTTP並進行文件傳輸,來評估UTM所支持的應用層轉發性能。
・並發連接數:並發連接數是UTM可以同時維護的用戶連接數,一般來說同一用戶會存在多個連接。並發連接數越高,UTM所能支持的連接用戶就越多。
・新建連接速率:新建連接速率是UTM每秒鐘能夠處理用戶的應用層請求的速率,它代表了設備在面對大量網絡終端的訪問請求時,所能體現出的響應速度。如果新建連接速率,會導致用戶的網絡訪問速度慢等問題。
對於UTM來說,自然是性能越高,所能提供的資料處理能力更高,但高性能的處理設備必然費用昂貴,用戶在選擇時需要根據預算選擇具有合適處理能力的產品即可。對於中小企業,可能選擇具有二三十兆轉發性能的UTM產品就已足夠,而對於大型企業或運營級用戶,則需要幾百兆甚至G比特的處理能力。
3.管理性要求
由於支持眾多的安全特性,UTM的系統管理面臨很大的挑戰。如何將防火牆、VPN、防病毒、入侵防禦、反垃圾郵件這樣眾多的功能有機地結合起來,使其既能方便配置,又能更好地協同工作,是UTM的系統管理要解決的首要問題。易用性是UTM系統管理最基本的要求,除此之外,還必須考慮到對病毒和入侵防禦特徵庫的升級更新、集中部署等情況的支持。
・易用性:由於UTM包含了眾多的安全特性,因此能否方便快捷地部署,成為了用戶的首要訴求。曾有用戶調查顯示,用戶對UTM易用性的關注超越了入侵防禦和防病毒,成為用戶在選購UTM時最關注的問題。
・集中管理能力:UTM應該具有基於組的集群管理功能,當在一個網絡中部署多台UTM設備時,可以通過集中管理中心來對設備組進行配置,這樣經過一次配置,組內所有的UTM設備可以整體生效。另外通過集群管理,可以把分散在不同地方的UTM設備的日誌進行統一分析處理,形成全網的網絡安全風險分析報告。
・病毒庫和入侵防禦特徵庫的在線升級:跟防火牆不同,UTM的病毒庫、入侵特徵庫、反垃圾郵件庫必須及時進行更新,這樣才能具有最新的安全防護能力,因此需要對UTM定期進行升級。尤其是通過在線升級的方式,能夠保證設備在最短的時間內獲得更新。能否提供在線升級,以及在線升級的頻度,是考慮廠家實力和技術水平的重要指標。
・日誌和流量處理能力:UTM應能夠對病毒、入侵等高威脅性事件進行日誌記錄,並通過郵件等方式進行告警;應能通過NetFlow等技術對網絡流量進行分析,可以查詢實時流量和歷史流量,這不僅可以幫助管理者更好地評估網絡狀況,還能夠通過異常流量分析,發現潛伏的網絡威脅。
根據對功能、性能和管理性三個方面的評估,用戶基本上能夠選擇合格、合適的UTM設備。目前可供選擇的UTM品牌眾多,國外的包括Juniper、Fortinet、Sonicwall、Checkpoint等主流信息安全廠商都推出了自己的UTM產品。在國內,啟明星辰公司於2005年率先發佈天清漢馬系列UTM產品,宣告國內安全廠商正式進軍UTM領域,隨後安氏領信、聯想網御、天融信等公司也紛紛通過自研或合作的方式,推出了自己的UTM產品。在國內外廠商的大力投入下,中國的UTM市場正進入群雄逐鹿、精彩紛呈的階段。
值得一提的是,啟明星辰公司的天清漢馬USG一體化安全網關日前通過了廣東電信研究院的測試,成為目前唯一一款通過電信權威機構全面評測的國產UTM產品,這標誌著國產UTM設備已經具備了同國外高端UTM相抗衡的實力,也為國內自主UTM產品的研發注入了更多的期待。
(