圖一
目前���,低端UTM產品在一些中小企業(yè)�����,特別是一些小型企業(yè)或公司用戶中的應用還是相對比較多的。對于這些的中小企業(yè)而言�,他們的網絡系統(tǒng)帶寬較低,對安全的要求也不高��。另外��,他們的項目預算也通常有限��,因此�,這些中小企業(yè)對UTM產品的需求主要集中在:安全功能全��、管理簡單���、價格便宜等方面,而對 UTM的性能��、安全的專業(yè)性等方面并沒有太多的要求����。
由于低端UTM產品在性能上的一些限制,在中大型企業(yè)的應用相對較少�。事實上,在中大型企業(yè)用戶��,通常應用的是一些高端的UTM產品����。這些產品通常為 機架板卡式結構�,各安全功能通過獨立的硬件板卡提供,每一塊板卡均配置了獨立的系統(tǒng)資源����,包括獨立的CPU、獨立的存儲��、獨立的總線等�。板卡間不存在資源 的競爭,因此能夠做到即使是多個安全功能全部打開的情況下�,仍然保證系統(tǒng)的高性能。而在安全功能方面����,高端UTM上的每一種安全功能均為所謂的 “best-of-breed”同類最佳的安全應用��,通常是在全球市場及技術均居前列的安全引擎��,保證了系統(tǒng)的高安全性及足夠的安全功能��。一些中大型企業(yè) 應用了這些產品�,效果良好���,包括大型制造業(yè)、汽車��、電力���、學校���、政府����,以及金融類、運營商用戶等��。
此外,大型企業(yè)和中小型企業(yè)對安全產品的需求存在較大區(qū)別���。大型企業(yè)使用UTM產品注重產品的可用性��、可靠性和可擴展性����。為避免出現(xiàn)系統(tǒng)的單點故障導致正常的應用受到影響��,要求UTM產品具有雙機熱備����、UTM群集等功能;高性能、多功能的合成安全產品來解決網絡中主要的安全威脅���,如防火墻��、入侵檢測與防護���、網關防病毒、內容過濾和VPN等功能;擴展功能模塊或增加網絡接口模塊為將來的安全系統(tǒng)擴展留下空間��。
從行業(yè)角度而言����,各行業(yè)對于網絡安全的關注點也有所不同����,比如教育行業(yè):訪問不合適的內容�,造成潛在的責任問題;傳播病毒、蠕蟲和其他基于內容的攻擊;由于濫用校園網消耗寬帶資源�����,降低網絡效率�。政府、金融行業(yè):識別和防護從外部和內部進入的混合型安全攻擊;阻擋病毒���、蠕蟲等通過Email、Web 和文件的傳遞進入網絡��。醫(yī)療行業(yè):確保病人記錄以加密格式存儲和傳輸;確保醫(yī)院的IT系統(tǒng)不會因網絡入侵而受損�����。這些彼此不同的關注點對于UTM產品的應用也存在不同側重的影響�����。
深入UTM
UTM需要在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其它基于內容的安全威脅的產品����,有的系統(tǒng)不僅集成了防火墻、VPN���、入侵檢測功能��,還融入內容過濾和流量控制功能��,提供了高性價比和強有力的解決方案��。由于UTM系統(tǒng)需要強勁的處理能力和更大容量的內存來支持�,消耗的資源必然是很大的��,僅利用通用服務器和網絡系統(tǒng)�,要實現(xiàn)應用層處理,往往在性能上達不到要求�。只有解決功能與性能的矛盾,UTM才能既實現(xiàn)常規(guī)的網絡級安全(例如防火墻功能)���,又能在網絡界面高速地處理應用級安全功能(例如病毒與蠕蟲掃描)���。雖然UTM實現(xiàn)的技術途徑可以有多種����,采用ASIC解決功能與性能矛盾�����,仍是公認的最有效主要方法�。能夠支撐一個優(yōu)秀的UTM設備,最主要有三種優(yōu)秀技術實現(xiàn)途徑來保障����。
其一,ASIC加速技術�。在設計UTM系統(tǒng)的總體方案中,有著兩類不同加速用途的ASIC��,也就是說�����,它們朝著兩個方向發(fā)展:一是應用層掃描加速�����,另一是防火墻線速包處理加速�。
圖二
其二,定制的操作系統(tǒng)(OS)���。實時性是UTM系統(tǒng)的精髓��。多功能集成的安全平臺需要一套專用的強化安全的定制操作系統(tǒng)��。這一OS提供精簡的���、高性能防火墻和內容安全檢測平臺。 通過基于內容處理的硬件加速���,加上智能排隊和管道管理��,OS使各種類型流量的處理時間達到最小��,從而給用戶帶來最好的實時性����,有效地實現(xiàn)防病毒����、防火墻、VPN和IPS等功能�。
其三��,高級檢測技術����。貫穿于UTM整體的一條主線實際是高級檢測技術�����。先進的完全內容檢測技術(CCI)能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅����,與其它單純檢查包頭或“深度包檢測”的安全技術不同,CCI技術重組文件和會話信息�����,可以提供強大的掃描和檢測能力���。只有通過重組�,一些最復雜的混合型威脅才能被發(fā)現(xiàn)�����。為了補償先進檢測技術帶來的性能延遲����,UTM使用ASIC芯片來為特征掃描、加密/解密和SSL等功能提供硬件加速���。
UTM比拼傳統(tǒng)防火墻
UTM與傳統(tǒng)的防火墻有哪些本質區(qū)別呢���?主要體現(xiàn)在以下幾個方面。
圖三
其一�,防火墻功能模塊工作在七層網絡協(xié)議的第三層。大多數(shù)傳統(tǒng)防火墻用一種狀態(tài)檢測技術檢查和轉發(fā)TCP/IP包����。UTM中的防火墻在工作中不僅僅實現(xiàn)了傳統(tǒng)的狀態(tài)檢測包過濾功能,而且還決定了防病毒�����、入侵檢測�����、VPN等功能是否開啟以及它們的工作模式����。通過防火墻的策略��,各種功能可以實現(xiàn)更好的融合����。
其二��,從整個系統(tǒng)角度講�,UTM防火墻要實現(xiàn)的不僅僅是網絡訪問的控制,同時也要實現(xiàn)數(shù)據(jù)包的識別與轉發(fā)���,例如HTTP��、Mail等協(xié)議的識別與轉發(fā)���,對相應的模塊進行處理, 從而減輕其他模塊對數(shù)據(jù)處理的工作量��,提高系統(tǒng)性能和效率����。
其三,UTM防火墻能植入很多更高的新功能���,例如虛擬域�����、動態(tài)路由和多播路由�,它支持各種新技術�����,例如VoIP�����、H.323��、SIP���、IM和P2P等�����,起點高�����,應用前景更廣�,適應性更強。
其四��,從UTM的操作界面上����,用戶就可以清楚地看出,UTM防火墻策略有很多種選擇����,宛如在一個網絡門戶大平臺上,植入內容豐富的機制�����,層次分明��、操作簡單����、同時又靈活實用。隨著策略的設置��,網絡的防護也隨之展開星羅密布的安全哨卡�����。
同時,UTM的網關型防病毒與主機型防病毒不同�。網關型防病毒作為安全網關,必須關閉脆弱窗口�����,在網絡的邊界處阻擋病毒蠕蟲入侵網絡�,保護內部的網絡安全�����。要做到這點��,網關必須能夠掃描郵件和Web內容�����,在病毒到達內部網絡時進行清除���。病毒和蠕蟲防御功能要求能夠百分之百檢測�����、消除感染現(xiàn)有網絡的病毒和蠕蟲��,實時地掃描輸入和輸出郵件及其附件��,支持HTTP��、SMTP���、POP3�����、IMAP和FTP協(xié)議�,實現(xiàn)高速度掃描技術����。安全網關還要包括反間諜插件,對流行的灰色軟件予以識別和阻斷�,同時,能夠消除VPN隧道的病毒和蠕蟲�,阻止遠程用戶及合作伙伴的病毒傳播,病毒特征庫則可以在網上在線自動更新�。
束語
用戶需要明確一點:UTM的設計思路始終是把安全放在第一位,只有在安全特性之上��,才能談性能。
圖四
因此UTM應該是產品設計上保證這些安全能力是有機融合甚至是完全一體的���,這樣才能真正實現(xiàn)簡化安全解決方案����,讓用戶的安全變得簡單�。
