UTM设备的急速发展,在美国市场的市场份额已经超过了防火墙。在国内市场,单纯的防火墙也显现出市场份额逐步降低的趋势。尤其是进入2009年以来,这个趋势更加明显,越来越多的用户开始选择UTM,或者从防火墙升级到UTM,来为自己的网络提供更深层次、更具管理性且更全面的防御能力。
用户在选择防火墙时,依照吞吐量、并发连接数等数据标准参考,基本上不存在设备选型的困难。由于各个厂家对于UTM的技术实现方式各不相同,甚至有些厂家将防火墙进行简单包装,就打着UTM的旗号大肆宣传,迷惑用户对UTM的选型。
传统UTM问题重重
传统的UTM解决方案在命名、性能、吞吐量、冗余和管理上存在的种种问题。实际上是将几种不同的产品封装在一个盒子里,没有考虑太多有关产品集成或冗余堆积的问题,由此会导致对数据流量进行两次、甚至三次的检测,从而严重降低了网络传输的性能。对于网络流量大的企业来说,这类产品并不实用。
如今,IDC又提出了代表七层融合安全的下一代安全网关——X-UTM,用户又该如何选择?
根据IDC的X-UTM技术标准,安全产品在全功能打开情况下,不仅要完成HTTP的大包处理,而且要完成各种网络应用协议的小包处理,在此基础上单个端口吞吐量仍然可以达到1Gbps,再加上其具有的高可用性(会话级别切换)、多安全区域等功能,从而可以从技术上保证企业用户关键应用的安全实现。
对X-UTM而言,其诞生的意义源于安全,其首要标准就是“管理网络层,控制应用层”。维护从网络到应用的安全体系,成为了X-UTM的价值所在。如何判断一款安全设备是合格的X-UTM设备,以及如何根据实际需求来选择合适的X-UTM。
合格X-UTM的三大指标
根据IDC和Fortinet的设计要求,一款合格的X-UTM设备,其处理引擎必须具备分类处理的能力,比如针对HTTP实现处理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。
因此,所谓帮助用户实现应用层安全,就是要使安全设备符合真正互联网流量的体系结构,而不是单独做一个Web安全网关。要回答这个问题,一般来说需要从功能、管理和管控三个方面进行考量。
第一,丰富的功能
有的厂家推出的产品虽然号称UTM,但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能,或者仅仅能够抵御网络层的DoS攻击而不具备入侵防御功能,在本质上仍然是防火墙的有限增强,所能满足的用户价值也是有限的。
X-UTM对用户来说,作为一种网关产品,X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现,单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备,其核心都是在保护Web,这些设备不需要考虑DNS、VoIP,它们都属于应用层的专项安全产品。
同时,X-UTM还需要能够提供完全的IP安全审计。通过对病毒、Web过滤、垃圾邮件等等模块的日志审计报告的分析,系统需要能够完全体现出这些七层威胁,包括对数据还原的支持。对于企业管理员来说,信息泄露、BBS信息都要能够完整地被还原。
第二,可定制的管理
无论是UTM,还是代表下一代安全网关的X-UTM,由于支持众多的安全特性,X-UTM的系统管理面临很大的挑战。如何将防火墙、VPN、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来,使其既能方便配置,又能更好地协同工作,是UTM的系统管理要解决的首要问题。易用性是UTM系统管理最基本的要求,除此之外,还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。
同时,如何让用户去习惯系统,将其变成自己的东西,而不是混杂地去被动接受,这是很重要的。而且这个定制化的体系,必须具备丰富性的特点。比如针对防病毒,需要支持流行的协议,如FTPPOP3Web 2.0IM等等,还要考虑不同的端口、文件的大小限制、超时如何处理、文件类型识别等多种情况,系统必须支持灵活的配置。
而在Web过滤方面,安全厂商必须有一个服务系统,帮助用户去识别全球不同类型的网站,主动帮助用户去进行分析,才能体现自身的服务优势。如果仅仅自己写一个地址、域名,根本就不符合X-UTM的初衷。因为根本达不到帮助用户真正屏蔽有害网站的效果。要知道,当前越来越多的网站隐藏性都很强,需要专业公司的技术帮助。
第三,策略化管控
根据Fortinet的统计,一个中等规模的企业,其网络流量分配比例大致为:25%的HTTP封包,75%的UDP、DNS、IM、视频等应用。不难看出,HTTP协议仅仅是网络中的一部分,大量的基础网络协议和应用都需要X-UTM提供周到的保护。对于中小企业,可能选择具有二三十兆转发性能的UTM产品就已足够,而对于大型企业或运营级用户,则需要几百兆甚至G比特的处理能力。
X-UTM对企业而言,由于要管理的范畴大得多:企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护,甚至是企业内部的每一个个体都需要保护。
比如像Web过滤,里面有大量的特性,X-UTM需要根据用户的群组、不同用户的角色分配,判定哪些用户可以访问哪些资源,哪些用户不能访问哪些资源,或者通过特殊的策略,灵活进行分配。
在集群管理方面,当在一个网络中部署多台X-UTM设备时,可以通过集中管理中心来对设备组进行配置,这样经过一次配置,组内所有的X-UTM设备可以整体生效。
换句话说,不能说Web上有策略就是过滤,从Fortinet的经验看,具体的分类标准——50类起步,没有80类都不能算优秀。可以看出,X-UTM强调颗粒化的安全管理,不能把所有结果丢给用户,需要符合用户的实际需求。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Cyphort分析技术助力Juniper Security Director
瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]
-
没有防火墙,如何防御网络威胁?
对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性……
-
迪普科技入围国家版权局版权监管平台建设项目
近日,杭州迪普科技有限公司成功入围国家版权局版权监管平台建设项目,以其行业领先的防火墙、应用交付产品为互联网视频版权监管平台等多个业务系统提供安全防护和网络业务保障与优化。
-
山石网科发布iNGFW更高性能单品T5860
近日,继发布iNGFW T5060、T3860后,山石网科再次发布一款更高性能的单品T5860,继续扩充下一代智能防火墙产品线,为“智能安全”标注更深层的注解。