企业对下一代UTM设备选择与评判之剖析

日期: 2009-06-21 来源:TechTarget中国 英文

  UTM设备的急速发展,在美国市场的市场份额已经超过了防火墙。在国内市场,单纯的防火墙也显现出市场份额逐步降低的趋势。尤其是进入2009年以来,这个趋势更加明显,越来越多的用户开始选择UTM,或者从防火墙升级到UTM,来为自己的网络提供更深层次、更具管理性且更全面的防御能力。

  用户在选择防火墙时,依照吞吐量、并发连接数等数据标准参考,基本上不存在设备选型的困难。由于各个厂家对于UTM的技术实现方式各不相同,甚至有些厂家将防火墙进行简单包装,就打着UTM的旗号大肆宣传,迷惑用户对UTM的选型。

  传统UTM问题重重

  传统的UTM解决方案在命名、性能、吞吐量、冗余和管理上存在的种种问题。实际上是将几种不同的产品封装在一个盒子里,没有考虑太多有关产品集成或冗余堆积的问题,由此会导致对数据流量进行两次、甚至三次的检测,从而严重降低了网络传输的性能。对于网络流量大的企业来说,这类产品并不实用。

  如今,IDC又提出了代表七层融合安全的下一代安全网关–X-UTM,用户又该如何选择?

  根据IDC的X-UTM技术标准,安全产品在全功能打开情况下,不仅要完成HTTP的大包处理,而且要完成各种网络应用协议的小包处理,在此基础上单个端口吞吐量仍然可以达到1Gbps,再加上其具有的高可用性(会话级别切换)、多安全区域等功能,从而可以从技术上保证企业用户关键应用的安全实现。

  对X-UTM而言,其诞生的意义源于安全,其首要标准就是“管理网络层,控制应用层”。维护从网络到应用的安全体系,成为了X-UTM的价值所在。如何判断一款安全设备是合格的X-UTM设备,以及如何根据实际需求来选择合适的X-UTM。

  合格X-UTM的三大指标

  根据IDC和Fortinet的设计要求,一款合格的X-UTM设备,其处理引擎必须具备分类处理的能力,比如针对HTTP实现处理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。

  因此,所谓帮助用户实现应用层安全,就是要使安全设备符合真正互联网流量的体系结构,而不是单独做一个Web安全网关。要回答这个问题,一般来说需要从功能、管理和管控三个方面进行考量。

  第一,丰富的功能

  有的厂家推出的产品虽然号称UTM,但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能,或者仅仅能够抵御网络层的DoS攻击而不具备入侵防御功能,在本质上仍然是防火墙的有限增强,所能满足的用户价值也是有限的。

  X-UTM对用户来说,作为一种网关产品,X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现,单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备,其核心都是在保护Web,这些设备不需要考虑DNS、VoIP,它们都属于应用层的专项安全产品。

  同时,X-UTM还需要能够提供完全的IP安全审计。通过对病毒、Web过滤、垃圾邮件等等模块的日志审计报告的分析,系统需要能够完全体现出这些七层威胁,包括对数据还原的支持。对于企业管理员来说,信息泄露、BBS信息都要能够完整地被还原。

  第二,可定制的管理

  无论是UTM,还是代表下一代安全网关的X-UTM,由于支持众多的安全特性,X-UTM的系统管理面临很大的挑战。如何将防火墙、VPN、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来,使其既能方便配置,又能更好地协同工作,是UTM的系统管理要解决的首要问题。易用性是UTM系统管理最基本的要求,除此之外,还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。

  同时,如何让用户去习惯系统,将其变成自己的东西,而不是混杂地去被动接受,这是很重要的。而且这个定制化的体系,必须具备丰富性的特点。比如针对防病毒,需要支持流行的协议,如FTPPOP3Web 2.0IM等等,还要考虑不同的端口、文件的大小限制、超时如何处理、文件类型识别等多种情况,系统必须支持灵活的配置。

  而在Web过滤方面,安全厂商必须有一个服务系统,帮助用户去识别全球不同类型的网站,主动帮助用户去进行分析,才能体现自身的服务优势。如果仅仅自己写一个地址、域名,根本就不符合X-UTM的初衷。因为根本达不到帮助用户真正屏蔽有害网站的效果。要知道,当前越来越多的网站隐藏性都很强,需要专业公司的技术帮助。

  第三,策略化管控

  根据Fortinet的统计,一个中等规模的企业,其网络流量分配比例大致为:25%的HTTP封包,75%的UDP、DNS、IM、视频等应用。不难看出,HTTP协议仅仅是网络中的一部分,大量的基础网络协议和应用都需要X-UTM提供周到的保护。对于中小企业,可能选择具有二三十兆转发性能的UTM产品就已足够,而对于大型企业或运营级用户,则需要几百兆甚至G比特的处理能力。

  X-UTM对企业而言,由于要管理的范畴大得多:企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护,甚至是企业内部的每一个个体都需要保护。

  比如像Web过滤,里面有大量的特性,X-UTM需要根据用户的群组、不同用户的角色分配,判定哪些用户可以访问哪些资源,哪些用户不能访问哪些资源,或者通过特殊的策略,灵活进行分配。

  在集群管理方面,当在一个网络中部署多台X-UTM设备时,可以通过集中管理中心来对设备组进行配置,这样经过一次配置,组内所有的X-UTM设备可以整体生效。

  换句话说,不能说Web上有策略就是过滤,从Fortinet的经验看,具体的分类标准–50类起步,没有80类都不能算优秀。可以看出,X-UTM强调颗粒化的安全管理,不能把所有结果丢给用户,需要符合用户的实际需求。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 世界是灰色的:也谈对NGFW的几点思考

    网络安全行业,从来不缺乏新产品、新技术,尤其以2012年在国内不断兴起的下一代防火墙为代表。然而一直困扰企业用户的,就在于大家很难明确区分下一代防火墙与传统防火墙、UTM的区别……

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • 统一威胁管理产品的“硬币两面”

    统一威胁管理(UTM)产品是专用安全系统,采用优化过的硬件和软件,可以同时执行多项安全功能,如防火墙、入侵检测与防御、防病毒、虚拟专用网络以及更多。