UTM被廣大用戶接受 UTM進入加速發(fā)展階段
2010年��,隨著UTM產品的不斷成熟��,在企業(yè)級市場��,UTM將逐漸替代單一功能安全產品似乎已經沒有爭議�,安全威脅的多樣化和技術進步使UTM發(fā)展進入了加速階段。
UTM的處理性能主要是指同時開啟入侵防御�、防病毒、反垃圾郵件等主要安全模塊后的性能表現�。在UTM產生的初期,很多廠商的UTM產品在全功能開啟后���,性能可下降80%�����,因此�,解決全開啟性能下降難題是UTM能夠被廣泛應用的前提。
發(fā)展至今UTM硬件架構經歷了ASIC���、FPGA�����、NP��、多NP、X86+ASIC/NP混合�����、多核等多種架構���。在硬件處理性能大幅提高的同時��,軟件平臺和安全引擎上也得到各大廠商的重視�����,如:研發(fā)安全設備專用的OS���,重新設計的統(tǒng)一安全引擎或統(tǒng)一模式匹配引擎���、多通道并行匹配引擎等,使UTM全部功能開啟后仍然可用����,并保持性能穩(wěn)定。通過軟硬件開發(fā)的努力���,UTM性能瓶頸獲得突破���。
隨著公司業(yè)務不斷擴大,網絡也在無形中加速膨脹�����,這樣��,企業(yè)面臨的攻擊手段愈發(fā)靈活��,混合攻擊急劇增多;系統(tǒng)漏洞發(fā)現加快�����,攻擊爆發(fā)時間變短;P2P流量耗盡帶寬,垃圾郵件問題嚴重�。安全威脅的多樣化使傳統(tǒng)的防火墻設備已經不能滿足防范的需求。這也是目前越來越多的防火墻產品開始加入更多安全功能的一個主要原因���,迫使UTM進入一個加速發(fā)展的階段��。
UTM設備的市場前景非常廣闊���,一方面是由于越來越多的電信運營商和中小企業(yè)出于成本和性價比的考慮,對融合式安全產品的需求正越來越大;另一方面是由于硬件技術與安全軟件的發(fā)展已逐漸滿足這類產品的集成化要求��。
企業(yè)出口的安全建設長期處在一個串糖葫蘆的過程�����,防病毒����、網頁過濾����、防垃圾郵件、入侵防御(IPS)等等都會成為這串糖葫蘆中的“山楂”���。這樣多節(jié)點的傳統(tǒng)安全解決方案在運營成本����、出口帶寬以及人力方面都給企業(yè)安全管理帶來了隱患和成本,統(tǒng)一威脅管理設備(UTM)的提出�����,打破了這種串糖葫蘆式的尷尬局面����。
從國內到國外、從開源到定制化��,面對猶如雨后春筍般的UTM產品時��,還有許多要考慮的地方��,筆者在與企業(yè)用戶的交流中���,選擇UTM時����,應該注意以下四點:
一����、UTM的性能及穩(wěn)定性
由于UTM將所有的安全功能置于一臺設備之內����,無形中也帶給了我們更高的風險����。一旦UTM設備出現問題,所有的安全防御措施將陷入停頓;而一旦UTM設備被成功侵入或突破����,整個網絡也將被赤裸裸地暴露在打擊之下。所以考察UTM設備的性能及穩(wěn)定性是我們在選購UTM時的重中之重��。性能和穩(wěn)定性不好的防火墻�,其他功能再好也是空談。
二����、UTM的易用性
易用性的考察主要依賴于用戶體驗����。除了考察管理員是否易于操作和掌握UTM網關的使用外,很重要的需要考察是否有詳細的日志乃至數據中心�����。對UTM日常的管理主要是看日志、修訂策略����、添加和刪除用戶等。管理方面用戶應該注意界面的友好性�����,設置選項應該通俗易懂�,最好能支持中文操作界面。日志特別重要����,好的日志系統(tǒng)應該有詳細的記錄,包括防火墻日志��、流量日志����、網絡監(jiān)控日志等,日志應該便于分類和排序����,最好能以餅圖�、柱狀圖等進行顯示����,方便統(tǒng)計和對數據的分析。
三���、UTM的功能模塊及性價比
通常UTM設備包括防火墻�、VPN�����、網關防病毒�、IPS、訪問控制��、內網監(jiān)控等多種功能���。并不是每一個功能都是需要的����,用戶不必要為了一些不需要的功能花冤枉錢�。功能并不是越多越好,而是要看其是否實用��。當在一個防火墻服務器上實現太多的服務���,結果就是這些服務對硬件資源的吞噬����,最后導致防火墻性能的下降���。在防火墻上��,往往不會部署過多的應用服務����。
這就好像不要把雞蛋都放在一個籃子中的原理一樣�����。萬一防火墻服務器出現故障�����,那么VPN���、訪問控制列表等功能都將實效�。當企業(yè)對網絡的穩(wěn)定性要求比較高的話,越加不能夠把多個服務集成在防火墻服務器上�����。
四����、不要過于依賴相關技術參數
不要太過于相信實驗數據。對于他們從實驗室得出來的數字�,筆者往往會給他們打個對折。打折后的數據���,可能水分會少一點�����。所以����,實驗數據只能拿來參考�。在有條件的情況下,網絡管理員要結合自己的公司網絡環(huán)境���,對防火墻產品進行測試����。這測試出來的結果�����,對于我們防火墻選購才會有參考價值��。
省錢才是硬道理��,對中小企業(yè)用戶來說�����,部署高貴的UTM產品是一種可望而不可及的事情���,隨著開源技術的不斷升華��,免費且開源的軟件(FOSS)無處不在��,在IT技術行業(yè)�,這類產品分布很廣��,特別是在網絡安全領域,優(yōu)秀的FOSS例子舉不勝舉���,如防火墻�����、路由器和VPN��,甚至連UTM也有�,幾乎你能想到的任何應用都有對應的開源產品�����。本文將為大家介紹三款有商業(yè)支持的開源網絡安全產品�,使用開源產品具有成本更低,更安全����、靈活,良好的擴展性和完整的企業(yè)支持的優(yōu)勢��。
Endian
Endian是一個功能豐富的統(tǒng)一威脅管理系統(tǒng)(UTM)����,提供了一個強大的防火墻��,VPN(IPSec/OpenSSL)����,防惡意軟件/垃圾郵件網關���,QoS/帶寬管理,IPS和代理功能�,也可以用它作為軟件解決方案構建你自己的硬件產品,或專為特定應用程序進行安全優(yōu)化�����,和其它競爭產品類似����,社區(qū)版一般只提供了商業(yè)版的核心功能。
Endian基于Web的管理界面做得很漂亮��,并且易于使用����,它的儀表盤提供了所保護網絡的實時綜合視圖,Endian也提供了中央管理控制功能�,Endian Network是一個基于Web的中央管理/監(jiān)控解決方案����,可以集中管理多個Endian產品��,Endian Hotspot插件模塊支持創(chuàng)建安全的無線熱點�����,通過SSL VPN����,專用的身份管理系統(tǒng)和RADIUS保護無線網絡。
Untangle
Untangle是一個功能豐富的UTM網絡安全解決方案���,它提供了防火墻��,VPN(OpenVPN/SLL)���,路由,QoS��,惡意軟件防御��,防釣魚,防垃圾郵件服務�,入侵預防和Web內容過濾等功能,它提供了一個簡單的Web管理界面管理系統(tǒng)的所有功能��,另外�����,它提供了強大的報告功能�,你可以站在高處鳥瞰整個網絡的運行情況,并可以將報告輸出為PDF/HTML文檔���。
此外,Untangle具有自動升級功能����,這一點特別受網絡/安全管理員的歡迎,它的開源版本提供了全部功能���,另外專門提供了適合SMB和教育用戶的綁定版本�����。
商業(yè)插件�����,如Commtouch通過增強的策略管理器提高了垃圾郵件阻止能力�����,還有來自eSoft的Web過濾解決方案�����,WAN負載均衡和故障轉移�����,活動目錄連接器���,來自卡巴斯基的反病毒軟件等插件��。
Vyatta
Vyatta是一個開源路由器����、防火墻和VPN解決方案�����,它支持很多高級路由協(xié)議(BGP,OSPF���,RIP等)����,同時提供了入侵防御�����,URL過濾和WAN負載均衡等功能����。Vyatta提供多種形式的解決方案,包括硬件設備���,直接在x86服務器上部署軟件,通過虛擬化部署(Xen/VMware)���,甚至可以通過云部署���。在管理方面,它提供了直觀的Web界面���,也提供了CLI(命令行接口)���。
CLI與思科IOS和瞻博JUNOS的風格類似�,因此不會給我們帶來學習負擔�����,Vyatta給那些尋求優(yōu)質路由和安全解決方案的人提供了一個開源的選擇����。從上面三個開源安全產品可以看出,開源軟件在網絡安全領域的話語權越來越大����,無論是從成本,正常運行時間��,安全還是從穩(wěn)定性方面來看��,它們的表現都很不錯�,下次你要購買網絡安全產品時,可別忘了評估一下這幾款開源產品�。
隨著企業(yè)網絡規(guī)模的龐大與復雜,網絡威脅嚴重化趨勢也日益凸顯�����,企業(yè)用戶對全面安全應對機制的需求也更為迫切。間諜軟件��、病毒和垃圾郵件等安全攻擊的盛行,促使網絡用戶對安全產品的需求也更加廣泛和深入���,依靠單一防火墻防范各種攻擊已成為歷史���。統(tǒng)一威脅管理(UTM)是一款網關型硬件設備,各種應用數據均要經過它的檢查�����、處理���,因此��,網絡數據的處理能力非常重要��。另外,如果統(tǒng)一威脅管理(UTM)在基本防火墻應用的基礎上��,再開啟那些非常占用資源的協(xié)議分析��、病毒查殺、入侵檢測等應用模塊����,處理能力會有明顯下降。
啟明星辰UTM2由三位一體構成����,包括統(tǒng)一安全網關、統(tǒng)一終端安全和統(tǒng)一管理配制����,三者構成一個整體,就構成了UTM2��。其出發(fā)點就是要同時管理網關和終端兩個邊界����,讓內網重新變得安全。UTM2的思想是把邏輯上多個功能組件�����,物理上集成在一個硬件設備里面����。這個硬件設備上集成了終端代理安裝程序;同時這臺硬件本身是UTM網關�,可作為策略強制點;同時上面也集成了策略控制點�����,即策略服務器�。
華為賽門鐵克今年推出UTM+統(tǒng)一安全解決方案,在UTM+設備內部融合了Symantec高質量的安全引擎和簽名庫����,并在此基礎上,進一步整合深度的應用程序識別和網站內容分類技術�,從而實現應用檢測與傳統(tǒng)文件檢測技術的緊密結合。更為方便的是��,以上各種安全功能無需任何專業(yè)人員的專業(yè)配置����,IPS、AV�、DPI、URL的工作狀態(tài)即可自動的實現調優(yōu)��,適合企業(yè)的應用環(huán)境�,為用戶帶來一鍵式的配置體驗。
東軟NetEye集成安全網關NISG是東軟多年信息安全領域技術經驗積累的結晶�,采用內核級“并發(fā)流過濾”架構和NEL智能入侵防御引擎,將FW�����、IPS�����、VPN��、Anti-Virus���、Anti-Spam��、Anti-DDoS���、QoS、上網行為管理等功能無縫融合�����,全面抵御各種安全威脅���,實現集中防護��,智慧管理�����。在產品規(guī)劃之初����,東軟NetEye就將綠色環(huán)保作為重點考量的內容之一充分融入到產品的設計中,突出節(jié)約能耗��、高效管理��、環(huán)保用材的清新綠色理念�����。
據聯(lián)想網御在今年美國舊金山RSA大會上發(fā)布的KingGuard 5000系列UTM產品是基于多核多線硬件架構及公司自主知識產權的安全操作系統(tǒng)VSP(Versatile Security Platform)研發(fā)的綜合安全防護網關產品�����,同時得到了國家863計劃及火炬計劃的支持�����。與以往產品相比,聯(lián)想網御KingGuard 5000系列UTM集成了Firewall�、VPN、AV��、IPS��、綠色上網�、Anti-Spam等功能���,并提供續(xù)訂安全服務和一整套管理���、報告和分析功能,產品整體性能提高300%以上��。同時���,該產品還具有獨特的 “一鍵配置”功能��,1秒內實現安全策略的切換�����,在性能和易用性上領先于業(yè)內��。是聯(lián)想網御利用NetLogic Microsystems多核芯片開發(fā)出來的全新產品��。不同的型號可滿足從SOHO到電信運營商的各級用戶��。
作為一款覆蓋安全硬件和4-7層這樣一個綜合的安全設備�,華三UTM的推出往往能反應一個企業(yè)在安全領域綜合解決問題的能力。截至到2010年���,在整個華三U200-C(Commercial)系列產品包括U200—CS����、U200—CM�、U200—CA三款產品,作為系列產品其優(yōu)勢也是一脈相承��。
FortiGat企業(yè)級UTM系列產品包括 FortiGate-620B��、310B�����、110C��、它們和其他型號產品一樣具有所有主 要功能��,比如集成的防病毒、防火墻�、VPN、IPS和流量整形等功能����。企業(yè)級產品的吞吐量最大可以達到1Gbps,具有高可用性(會話級別切換)�����,多個安全區(qū)等功能�����,因此說它們是企業(yè)的關鍵應用的最佳選擇�。
