互联网发展呼唤下一代UTM安全网关

自UTM产品诞生到现在,其技术已经从最初的以防火墙、入侵防御、防病毒的集成技术发展至以防火墙、入侵防御、防病毒、URL过滤、VPN、流量管理为主的集成技术。UTM市场规模在2010年达到约8.5亿人民币,有20家以上的厂商提供UTM产品,越来越多的用户开始选择UTM,或者从防火墙升级到 UTM,来为自己的网络提供更深层次、更具管理性且更全面的防御能力。

同时,我们也要看到传统的UTM概念实际上是将多种技术集成在一个盒子里,没有考虑到太多产品集成调度的问题,由此导致数据包经过二次、三次甚至多次拆包。更有甚者,有的厂家拿来一些第三方提供的引擎,在防火墙产品上进行简单集成,就当作UTM产品来卖,以此迷惑客户选型意图。这些原因使得传统UTM在网络流量大的场合并不适用。

此外,用户越来越希望使用的设备不再只是集成大量功能模块、策略规则复杂、产生一大堆告警和日志的防护设备,而是希望能对整个互联网数据流体系结构提供全方位控制及预测,并且控制结果可呈现的设备。

最后,互联网应用的日新月异完全超出了信息安全业者的预期,大量的Web2.0应用铺天盖地,移动互联网接入无时无刻不在传递着我们的思想,云计算让我们可以使用的网络资源看似很远但又近在眼前,看似很近却又远在天边。网络时代的应用模式,在保障连通性上对信息安全业者提出了新的挑战。

以上原因都在呼唤下一代UTM安全网关技术的出现,网御星云认为下一代UTM安全网关应该在以下方面进行技术革新:

基于多核CPU的系统架构

利用64位高性能多核CPU的并行处理能力为应用层数据处理提供快速运算保障。通过流引擎和多核CPU调度算法,保证多核CPU的平均负载分担,使性能和容量可以随CPU核数的增加线性增长,最大限度开发多核CPU的执行效率,实现功能全开情况下设备的高吞吐量运行。

此种架构下的设备性能应体现为整机最大吞吐大于40Gps,IPS吞吐大于8Gps,防病毒吞吐大于2Gps,HTTP并发连接数达到或超过1000万。

IPv6和IPv4双协议栈支持

最后一组IPv4地址已于2011年2月3日由国际互联网名称和编号分配公司(ICANN)分配给了亚太区运营商,近43亿个IPv4地址 “池子”枯竭了。国际互联网协会2012年早些时候宣布,全球主要互联网服务提供商、家庭网络设备制造商以及互联网公司将于2012年6月6日正式启用 IPv6服务及产品。届时,IPv6不再局限于实验性产品,将正式投入商用并成为互联网发展的重要一环。同时,有数据显示中国5亿网民只拥有不到2.5亿个IPv4地址,而北美不到2亿的网民数量却拥有30亿个IPv4地址,可以说在IPv4地址的争夺上中国已经输掉一轮。现在,IPv6即将进入实用阶段,对IPv6地址的争夺就如同商场促销一样,“数量有限,先到先得”,中国本土企业必须在这场争夺中冲在前面,为国家互联网络发展、为成为信息化时代巨人打下坚实基础。

网御星云始终认为,国内信息安全业者的首要角色是保卫国家安全,以成为国家信息网络建设、信息安全政策制定的稳固基石。在这个前提下,建设 IPv6体系必须作为下一代UTM安全网关的核心技术,对入侵防御、病毒防护等提供全方位支持,并且应兼顾IPv6地址和IPv4地址共存的环境,对 IPv6地址和IPv4地址的相互转换提供实际的解决方案。

模块化

从硬件到软件均采用模块化技术,充分保护用户投资,设备应具有应用扩展能力、存储扩展能力、接口扩展能力和移动接入扩展能力。通过应用扩展模块,可随时增加需要的应用处理能力,分模块的升级更加方便,任何扩展模块的增加、去除都对其他模块没有影响,并且不影响系统整体稳定性,保证应用处理能力与时俱进;通过存储扩展模块,可在确保不占用系统存储空间的前提下,增加额外的高可靠性存储设备,用来保存重要信息,以满足政策要求;通过接口扩展模块,不管用户网络如何变化,均可保证连通性,并可最大限度挖掘设备潜力,接口扩展能力最低达到25个千兆接口,必须可支持4个以上万兆接口的扩展;通过无线局域网接入扩展模块,使设备具有WiFi接入能力,取代落后的无线路由器接入方式,为中小企业业务安全运行保驾护航;通过广域网移动接入模块,可以随心所欲拓展设备使用空间,应对车载、船载等特殊使用环境。

此外,高度集成的产品模块,往往带来设置流程复杂的问题,各功能模块之前的相互依存关系也会相当复杂。下一代UTM安全网关对这种情况要有足够的能力避免,模块之间应采用弹性融合技术,保证各模块间的线性递进关系,不出现设置流程断开或反复设置的问题

广泛的应用识别库和上网行为管理

据统计,Google互联网独立页面数量已经超过1万亿,如此庞大的网页数量需要一个精、准的URL库与之匹配,这个库至少应具备50个大类,1000万以上的URL。

各种的互联网应用,如P2P、IM、Web2.0,必须有与之相对应的应用识别库,其中能识别的P2P、IM等应用需达到600种以上,Web2.0应用须达到15万种以上。

必须具备独立的上网行为管理模块,对网络应用流量进行细粒度的控制与优化。

独立的带宽管理

保证带宽,为某种特定应用或某些重点客户指定最小的保证带宽,保证关键应用的服务质量。

最大带宽限制,为特定应用或某些客户指定最大使用带宽,限制非关键应用过度消耗带宽资源。

带宽均衡,高优先级通道可借用空闲或低优先级通道的带宽,低优先级带宽可在网络空闲时临时获得较高的带宽,从而保证带宽得到合理的、高效的使用,不出现撑死和饿死的情况。

带宽组,组内带宽动态均衡,所有成员带宽之和不大于设定组带宽。

实时监控与流量分析

实时显示全网或是每一条广域网链路的上下行流量、总流量、内外网主机数、P2P主机数、加速的TCP连接数、活动的TCP连接数、UDP连接数以及总连接数。

实时监控占用带宽最大的内部主机的上下行流量、连接数等,监控主机数量可设。

实时监控占用带宽最大的用户的IP、上下行流量、连接数等,监控用户数量可设。

实时监控占用带宽最大的应用的IP、上下行流量、连接数等,监控应用数量可设。

能够按照源IP地址、目的IP地址、源端口、目的端口、协议等自定义需求生成各种格式流量报表。

流量报表包括数据表、曲线图、堆叠面积图等多种格式。

易于使用的人机界面

为了避免用户面临复杂的功能设置时无所适从,下一代UTM安全网关需要深入开展人机工程学研究,开发符合用户实际使用习惯的界面操作流程,对用户操作报以适度的人性化反馈信息,提升设备操作愉悦感,降低设备部署强度。设备界面应具有一定的可定制化能力,用户可以各取所需选择自己关心的界面查看,不常用的界面可以选择隐藏,或者当需要的时候可以立即打开显示。