近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。
国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆,无数性能试比高低。在这个纷乱的市场,用户如何能够选择到符合自己需求的UTM产品呢?通过这几年对各厂商UTM产品的了解、测试和使用,我们总结了一些心得。
首先,我们需要确认,是为了核心网络还是为了普通网络进行采购。如果是核心网络,对安全产品的首要要求是高性能和高稳定性,选择UTM产品也许并不合适。而普通网络,特别是分支机构网络,对安全产品的首要要求是综合防护能力和易用性,选择UTM产品则是明智之举。
区分核心网络和普通网络,根据每个用户实际情况的不同,可能有各种不同的判断标准,如大型数据中心,总部信息中心等。从经验上看,我们也可以暂时的用实际流量进行简单划分。通常实际流量能达到500M以上的,就可以划分为核心网络了。
然后,我们需要考虑,我们到底需要什么样的功能组合?在考虑功能组合时,最好能够遵循只有必须在网关上完成的功能才在UTM中进行考虑的原则,以尽量的提高部署UTM后整个网络的可用性。在这个原则下,防火墙+IPS+AV应该是最基本的要求。然后从加强内部管理出发,上网行为管理和流量控制也是比较有用的功能。在有需要的场合,将VPN(包括IPSEC VPN和SSL VPN)放在UTM中也比较适合。
而某些厂商宣传的抗DDoS攻击、反垃圾邮件和内网终端管理则不宜于整合进UTM之中。UTM主要还是应该工作在多数流量正常的环境之中,仅需要具备抵御常规攻击的能力即可。对抗DDoS这种大规模攻击手段,应该交给专业的抗攻击设备或者应急响应服务来解决。而专业的抗攻击设备也通常都是采用牵引方式旁路处理,而不是放在网关处。
至于反垃圾邮件,尽管目前多数的UTM设备都支持此功能,但这是一个明显的可以不在网关处进行考虑的功能。而内网终端管理这功能放进UTM中则几乎是一个宣传的噱头了。UTM完全可以去和终端管理系统联动来做诸如准入一类的功能(其实用802.1x和交换机联动更好,不过不是所有交换机都具备此功能)。但是终端管理功能,显然违背了能不在网关上工作的功能就不在网关上作的原则,加重了网关的工作压力。更何况还存在着整个网络被某台异常的终端拖垮的风险。
因此,在不考虑硬件性能瓶颈的时候,较好的UTM功能组合应为:FW+IPS+AV(主要处理网络病毒,文件病毒交给防毒软件)+应用管理+流控+VPN(IPsec和SSl)。
考虑到硬件性能和预算限制时,可以根据需要,先把VPN(特别是SSL VPN)和流控去掉,看看是否能够满足硬件性能和预算限制;如果还不行,再把应用管理划掉;再不行则牺牲AV功能。
除以上功能外,好的UTM产品还应具备良好的易用性。例如在设备故障时保证网络不中断的硬件Bypass能力,根据用户需求利用预设模块进行策略快速切换的能力,在大规模部署时的集中管理能力等等。在我们接触过的众多产品中,提供了”一键配置”的某厂商设备给我们留下了深刻的印象。其设备上设置了高中低3个按钮,通过触按按钮,可以直接在预设的策略模板中进行切换。
例如在部署某个新应用或者进行网络调整时,切换至全通策略;在面对上级检查或者紧急情况时,切换至只允许特定应用通过的策略等,都可以通过设备上的按钮直接切换,而无需再进入配置界面进行调整。特别的适合于大规模部署时的应用。
再来看性能。目前厂商的产品规格中多按照防火墙、IPS、AV等各种功能模块进行单独的性能标注。此时,我们需要向厂商确定,其标注的性能参数是只打开该项功能时的数据还是功能全开时的数据。市面上有不少的产品,如果只当一个单独的防火墙或者IPS或者AV网关使用时,可以样样精通;但是一旦功能全开,则样样稀松。从实用出发,在选择产品时应要求厂家提供功能全开(至少是防火墙+IPS+AV同时打开)时性能数据,并在采购合同中予以约束。
鉴于厂商有时迫于宣传和竞争的需要提供的是理论上的最高性能,有条件的客户最好能够采用测试仪先进行一下性能测试。
由于Smartbizs、IXIA等标准测试仪的出现,现在对诸如UTM此类的网络产品进行性能测试是一件很简单的事情。但在具体测试过程中,应注意以下要点。
1:64-1518字节的UDP吞吐测试仅能证明设备的网络层吞吐能力,对于UTM这样的设备,还应该做读取32k页面的HTTP吞吐测试,以验证其应用层性能。
2:如果有技术能力的,在测试时最好不采用测试仪默认的数据包,而是重新自行构造。
3:应在加入一定背景流压力(至少维持5万以上并发连接)时进行入侵检测和防病毒的检测率测试。
4:尽可能采用市场抽样的方式获得被测设备。如果是厂商提供的,应进行封样,并与最终采购产品进行详细的比对。
5:顺序做功能测试和性能测试。要求厂商工程师在测试开始前完成配置工作,一旦测试开始,在整个测试过程中绝对不允许厂商对设备再进行操作。
认清需求选功能,严格测试定性能。希望每位用户都能选到符合自己需求的网络安全产品。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
阿里云成功防御国内最大规模Memcached DDoS反射攻击
上周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。尽管如此, […]
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
物联网攻击哪家强?Hajime或盖Mirai风头
在近期关于物联网设备控制权的“争夺赛”中,Hajime蠕虫软件和Marai僵尸网络各有千秋,不过相比之下,Hajime更为隐秘,或盖Marai风头。