盘点2009年UTM技术与产品
发布时间:2010-01-22   作者:高浩旻

2009年或许对于中国的UTM来说是腾飞的一年,无论从技术创新还是市场发展都有了较大的改进与提升!

 

近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆,无数性能试比高低。

 

如何将诸多安全功能发挥到极致

 

随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。因此,厂商工程师在实施时善意的建议用户先只开某个功能,以后再逐步打开其他功能的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

 

这种情况出现的原因在于,对于第一代出现在市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。

 

而另一方面,UTM的用户经过多年的市场洗礼,对于UTM的要求已经日趋理性。目前很多的成熟用户,已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求,搭建测试环境,然后使用标准测试仪对各家的产品进行衡量。最常见的一种情况就是,无视厂商产品标称的连接数、吞吐量等数据,而是在环境中测试产品至少将防火墙+入侵检测+防病毒功能同时打开时的HTTP页面吞吐、FTP吞吐等数据作为选型依据。这样的测试,更符合用户的实用情况,再加上采用Avalanche、IXIA等标准测试设备带来的相对公平,其结果更值得信赖。

 

面对着新的市场环境,越来越多的厂商在技术上持续改进,以力求推出满足用户性能使用需求的新一代UTM产品。

 

如何从“瑞士军刀”到“复合装甲”

 

刚才已经提到了,UTM对于广大用户来说就好比是“瑞士军刀”, 功能多样,但是一次只能使用其中一项功能。厂商在产品指标中标注的防火墙xxM、入侵防御xxM、防病毒xxM指的是单开此功能时所能达到的最大值,而一旦用户将这些功能同时开启时,性能的巨大降幅让人难以接受。如,2005年市场上出现的第一代UTM产品,当防火墙、入侵防御和防病毒同时打开时,性能下降幅度普遍超过50%,甚至达到80%或者90%之多。因此,在项目实施过程中经常能看到工程师们建议用户只使用开某个功能,之后再逐步打开其他功能的场景。用户购买的一台UTM产品,实际上等于购买了一台防火墙“或”一台IPS“或”一台防毒墙。

 

UTM=防火墙“或”IPS“或”防毒墙“或“其他单独防护手段?这个等式显然违背了用户购买UTM产品进行综合防护的初衷。随着技术的不断发展可以分析出一个成功的UTM产品绝不应该像“瑞士军刀”,而应该像“复合装甲”一样能够提供一体化多层次的防御和简单易用的安装方式。

 

如何进行UTM产品的选择与测试

采购产品的前提就是要明确需求,结合自身的需求我们在选择合适的产品。首先,我们需要确认是为了核心网络还是为了普通网络进行采购。如果是核心网络,对安全产品的首要要求是高性能和高稳定性,选择UTM产品也许并不合适。而普通网络,特别是分支机构网络,对安全产品的首要要求是综合防护能力和易用性,选择UTM产品则是明智之举。

 

然后,我们需要考虑,我们到底需要什么样的功能组合?在考虑功能组合时,最好能够遵循只有必须在网关上完成的功能才在UTM中进行考虑的原则,以尽量的提高部署UTM后整个网络的可用性。在这个原则下,防火墙+IPS+AV应该是最基本的要求。然后从加强内部管理出发,上网行为管理和流量控制也是比较有用的功能。在有需要的场合,将VPN放在UTM中也比较适合。

 

基于以上几点,在不考虑硬件性能瓶颈的时候,较好的UTM功能组合应为:FW+IPS+AV(主要处理网络病毒,文件病毒交给防毒软件)+应用管理+流控+VPN(IPSec和SSL)。考虑到硬件性能和预算限制时,可以根据需要,先把VPN(特别是SSL VPN)和流控去掉,看看是否能够满足硬件性能和预算限制;如果还不行,再把应用管理划掉;再不行则牺牲AV功能。

 

除以上功能外,好的UTM产品还应具备良好的易用性。例如在设备故障时保证网络不中断的硬件Bypass能力,根据用户需求利用预设模块进行策略快速切换的能力,在大规模部署时的集中管理能力等等。

 

 

2009年厂商看点

 

化繁为简--启明星辰UTM2网关

 

启明星辰UTM2网关•终端统一安全套件是一个完整的网络安全解决方案,由天清汉马USG一体化安全网关与天珣内网安全风险管理与审计系统两款产品融合而成。在这套方案中,USG系列产品除了提供常规的多种安全功能外,还扮演着可信接入体系中认证者与执行者的角色。而经过定制的天珣客户端软件一方面充当内网终端的认证代理,与USG进行准入校验;一方面接收加载有针对性的安全策略,提高内网终端的安全性。终端的策略配置与管理功能,则被无缝嵌入到新版本USG产品的WebUI中,有效提升了部署与维护的效率。

文章来源:比特网
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号