2010年或許對于中國的UTM來說是騰飛的一年，無論從技術(shù)創(chuàng)新還是市場發(fā)展都有了較大的改進與提升!近年來，隨著安全技術(shù)的發(fā)展和安全意識的提升，能夠綜合防范多種網(wǎng)絡(luò)威 脅的UTM產(chǎn)品正逐漸得到廣大用戶的青睞。國內(nèi)外大小廠商也都乘勢殺入了這個市場。X-Firewall、云火墻、XTM、UTM2，多少概念欲迷人眼; 多核架構(gòu)、硬件加速、千兆、萬兆，無數(shù)性能試比高低。通過這幾年對各廠商UTM產(chǎn)品的了解、測試和使用，特別總結(jié)了一些心得。

如何將諸多安全功能發(fā)揮到極致

　 　隨著市場和技術(shù)的發(fā)展，很多用戶發(fā)現(xiàn)自己采購的UTM產(chǎn)品很象是瑞士軍刀——僅限于單功能使用時才好用。所有功能模塊全部啟用，UTM設(shè)備的性能將大大 下降，可用性較差。因此，廠商工程師在實施時善意的建議用戶先只開某個功能，以后再逐步打開其他功能的場景屢見不鮮。同時，用戶擔心性能不夠也不敢把全部 功能打開使用，最終導(dǎo)致UTM只是名義上作為多功能安全產(chǎn)品購買，實際上只作為單一功能產(chǎn)品使用。

　　這種情況出現(xiàn)的原因在于，對于第一代出現(xiàn)在市場上的UTM產(chǎn)品而言，集成的防火墻、VPN、防病毒、入侵防護、甚至終端防護等功能實際上只是在設(shè)備中做了簡單的疊加，一旦開啟多功能時，各種功能模塊對計算資源的搶奪就直接導(dǎo)致了整體性能的急劇下降。盡管很多廠商也采取了諸如提高硬件配置，甚至采用ASIC硬件加速某些功能的手段，但收效并不顯著。

　　而另一方面，UTM的用戶經(jīng)過多年的市場洗禮，對于UTM的要求已經(jīng)日趨理性。目前很多的成熟用戶，已經(jīng)不再全盤接受廠商提供的各項性能參數(shù)。而是根據(jù)自己的網(wǎng)絡(luò)需求，搭建測試環(huán)境，然后使用標準測試儀對 各家的產(chǎn)品進行衡量。最常見的一種情況就是，無視廠商產(chǎn)品標稱的連接數(shù)、吞吐量等數(shù)據(jù)，而是在環(huán)境中測試產(chǎn)品至少將防火墻+入侵檢測+防病毒功能同時打開 時的HTTP頁面吞吐、FTP吞吐等數(shù)據(jù)作為選型依據(jù)。這樣的測試，更符合用戶的實用情況，再加上采用Avalanche、IXIA等標準測試設(shè)備帶來的 相對公平，其結(jié)果更值得信賴。

　　面對著新的市場環(huán)境，越來越多的廠商在技術(shù)上持續(xù)改進，以力求推出滿足用戶性能使用需求的新一代UTM產(chǎn)品。

如何從“瑞士軍刀”到“復(fù)合裝甲”

　　剛才已經(jīng)提到了，UTM對于廣大用戶來說就好比是“瑞士軍刀”， 功能多樣，但是一次只能使用其中一項功能。廠商在產(chǎn)品指標中標注的防火墻xxM、 入侵防御xxM、防病毒xxM指的是單開此功能時所能達到的最大值，而一旦用戶將這些功能同時開啟時，性能的巨大降幅讓人難以接受。如，2005年市場上 出現(xiàn)的第一代UTM產(chǎn)品，當防火墻、入侵防御和防病毒同時打開時，性能下降幅度普遍超過50%，甚至達到80%或者90%之多。因此，在項目實施過程中經(jīng) 常能看到工程師們建議用戶只使用開某個功能，之后再逐步打開其他功能的場景。用戶購買的一臺UTM產(chǎn)品，實際上等于購買了一臺防火墻“或”一臺IPS “或”一臺防毒墻。

　　UTM=防火墻“或”IPS“或”防毒墻“或“其他單獨防護手段?這個等式顯然違背了用戶購買UTM產(chǎn)品進行綜合防 護的初衷。隨著技術(shù)的不斷發(fā)展可以分析出一個成功的UTM產(chǎn)品絕不應(yīng)該像“瑞士軍刀”，而應(yīng)該像“復(fù)合裝甲”一樣能夠提供一體化多層次的防御和簡單易用的 安裝方式。

如何進行UTM產(chǎn)品的選擇與測試

　　采購產(chǎn)品的前提就是要明確需求，結(jié)合自身的需求我們在選擇合適的產(chǎn)品。首先，我們需要確認是為了核心網(wǎng)絡(luò)還是為了普通網(wǎng)絡(luò)進行采購。如果是核心網(wǎng)絡(luò)，對安全產(chǎn)品的首要要求是高性能和高穩(wěn)定性，選擇UTM產(chǎn)品也許并不合適。而普通網(wǎng)絡(luò)，特別是分支機構(gòu)網(wǎng)絡(luò)，對安全產(chǎn)品的首要要求是綜合防護能力和易用性，選擇UTM產(chǎn)品則是明智之舉。

　　然后，我們需要考慮，我們到底需要什么樣的功能組合?在考慮功能組合時，最好能夠遵循只有必須在網(wǎng)關(guān)上完成的功能才在UTM中進行考慮的原則，以盡量的提高部署UTM后整個網(wǎng)絡(luò)的可用性。在這個原則下，防火墻+IPS+AV應(yīng)該是最基本的要求。然后從加強內(nèi)部管理出發(fā)，上網(wǎng)行為管理和流量控制也是比較有用的功能。在有需要的場合，將VPN放在UTM中也比較適合。

　　基于以上幾點，在不考慮硬件性能瓶頸的時候，較好的UTM功能組合應(yīng)為：FW+IPS+AV(主要處理網(wǎng)絡(luò)病毒，文件病毒交給防毒軟件)+應(yīng)用管理+流控+VPN(IPSec和SSL)。考慮到硬件性能和預(yù)算限制時，可以根據(jù)需要，先把VPN(特別是SSL VPN)和流控去掉，看看是否能夠滿足硬件性能和預(yù)算限制;如果還不行，再把應(yīng)用管理劃掉;再不行則犧牲AV功能。

　　除以上功能外，好的UTM產(chǎn)品還應(yīng)具備良好的易用性。例如在設(shè)備故障時保證網(wǎng)絡(luò)不中斷的硬件Bypass能力，根據(jù)用戶需求利用預(yù)設(shè)模塊進行策略快速切換的能力，在大規(guī)模部署時的集中管理能力等等。

廠商看點

　　化繁為簡--啟明星辰UTM2網(wǎng)關(guān)

　　啟明星辰UTM2網(wǎng)關(guān)•終端統(tǒng)一安全套件是一個完整的網(wǎng)絡(luò)安全解決方案，由天清漢馬USG一體化安全網(wǎng)關(guān)與天?內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)兩款產(chǎn)品融合而成。在這套方案中，USG系列產(chǎn)品除了提供常規(guī)的多種安全功能外，還扮演著可信接入體系中認證者與執(zhí)行者的角色。而經(jīng)過定制的天?客戶端軟件一方面充當內(nèi)網(wǎng)終端的認證代理，與USG進行準入校驗;一方面接收加載有針對性的安全策略，提高內(nèi)網(wǎng)終端的安全性。終端的策略配置與管理功能，則被無縫嵌入到新版本USG產(chǎn)品的WebUI中，有效提升了部署與維護的效率。

　　聯(lián)想網(wǎng)御一鍵配置搞定網(wǎng)關(guān)安全

　　聯(lián)想網(wǎng)御Power V-220UTM是一款提供了防火墻、入侵檢測與防護、網(wǎng)關(guān)防病毒、綠色上網(wǎng)、VPN和垃圾郵件過濾六大功能，還全面支持策略管理、IM/P2P管理、負載均衡、雙機熱備和帶寬管理等功能的網(wǎng)絡(luò)邊界綜合防護設(shè)備，能夠全面解決入侵、病毒、網(wǎng)絡(luò)濫用等常見網(wǎng)絡(luò)出口處安全威脅。但是，在提供了如此多功能的同時，聯(lián)想網(wǎng)御Power V-220 UTM的安裝配置卻極其的簡單。

　 　對于大部分的用戶而言，只需將聯(lián)想網(wǎng)御Power V-220 UTM透明接入在網(wǎng)絡(luò)出口處，即可實現(xiàn)對網(wǎng)絡(luò)的綜合防護。在聯(lián)想網(wǎng)御Power V-220 UTM的面板右方提供了三色快捷按鍵，用戶根據(jù)自己的安全需求，只需按下不同的按鍵，即可在所需的工作模式中進行切換。

　　Fortinet X-UTM安全平臺開啟全新篇章

　　作為UTM產(chǎn)品最被用戶擔憂的性能表現(xiàn)，無疑也是X-UTM體系最受關(guān)注的問題之一。而對于日新月異的IT行業(yè)，X-UTM標準顯然不可能界定具體的性能基準。而且從實際應(yīng)用角度出發(fā)，從具體的一些產(chǎn)品表征來分析，也可以直觀的幫助辨識符合X-UTM要求的產(chǎn)品。

　 　X-UTM標準主要集中于界定UTM產(chǎn)品的集成性、擴展性和實用性，這些勢必都需要足夠的硬件性能支撐。而這些性能需要，遠遠不是通過一些開發(fā)通用網(wǎng)絡(luò) 硬件設(shè)備的體系架構(gòu)所能達到的。這些架構(gòu)往往需要保證對平臺通用性和親和力的關(guān)注，以保證廣泛的開發(fā)者和開發(fā)廠商覆蓋。從Fortinet的硬件平臺設(shè)計 可見，其中包含了ASIC和NP等多種不同的處理器核心，其采用的芯片設(shè)計和制造技術(shù)具有相當?shù)牟町�。這些處理器在整個Fortinet的X-UTM產(chǎn)品 中具有相當明確的分工，但又能夠很好融合并根據(jù)實際情況進行變通。

　　Hillstone引領(lǐng)后“多核”時代

　　多核Plus G2新一代安全架構(gòu)是Hillstone山石網(wǎng)科公司在多核Plus架構(gòu)的基礎(chǔ)上進一步發(fā)展的安全系統(tǒng)架構(gòu)，它為網(wǎng)絡(luò)安全網(wǎng)關(guān)在安全應(yīng)用領(lǐng)域構(gòu)建了全新的提升空間，在系統(tǒng)化集成安全網(wǎng)關(guān)防火墻、流量管理、病毒過濾、VPN等基本要素的同時，更增加了高性能的應(yīng)用識別、上網(wǎng)行為管理、入侵防御及上網(wǎng)行為審計等多種功能，并有效改善多功能協(xié)作與整體性能優(yōu)化。

　 　SG系列是Hillstone山石網(wǎng)科基于創(chuàng)新的多核Plus G2架構(gòu)推出的新一代多核安全網(wǎng)關(guān)，為實現(xiàn)網(wǎng)絡(luò)的安全可視化提供了堅強的平臺。該系列新增入侵防御，內(nèi)容過濾，URL內(nèi)容過濾、上網(wǎng)行為管理和應(yīng)用流量整 形等功能，實現(xiàn)基于角色和應(yīng)用的安全可視化，引擎全部采用業(yè)界先進的并行流掃描技術(shù)，且均為用戶提供實時、可靠的在線升級服務(wù)。突破了傳統(tǒng)UTM在開啟病 毒防護或IPS等功能所帶來的性能下降的局限。

標簽： ssl ssl vpn 安全 防火墻 開發(fā)者 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全解決方案 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。