企业安全:UTM如何量身选购?

企业UTM需求

随着网络的庞大和复杂,网络威胁严重化趋势也日益明显,用户对全面安全应对机制的需求也更为迫切。间谍软件、病毒和垃圾邮件等安全攻击的盛行,促使网络用户对安全产品的需求也更加广泛和深入,依靠单一防火墙防范各种攻击已成为历史。

UTM是一款网关型硬件设备,各种应用数据均要经过它的检查、处理,因此,网络数据的处理能力非常重要。另外,如果UTM在基本防火墙应用的基础上,再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块,处理能力会有明显下降。也许有人会说,想要提高性能,你少开几个安全模块不就行了吗?但是,我们认为用户花钱购买UTM产品无非就是希望以较少的成本,换取更多的安全服务以及更好的统一管理方式。一旦为了保证网络应用性能,而被迫关闭很多安全防护模块,那么UTM产品和单一功能的安全产品相比,优势又在何处呢?

对于UTM这种新兴的网络安全产品,目前业界还缺乏足够规范的测试与评价标准。由于各个厂家对UTM概念理解的不同,也造成了UTM功能方面的差异。考察百兆级UTM产品在一个人数规模在100~500人之间的中小型企业的综合防护能力。切记不要片面追求某项测试指标的高低,应该全面考虑各种因素。

目前市面上的UTM产品,全功能开启后,防火墙有50%–90%的性能损失。这并不令人感到意外。小企业的UTM产品,防火墙性能80M,开网关防毒15M,开IPS也是15M,两个同时开变成12M。这种产品面对的就是100人的小办公环境,这些办公室往往是2M的企业ADSL,或是几条AD线路,最多也就是10M专线,最大投资希望在2万元之内搞定所有安全功能。目前UTM的市场主要定位还是企业,很少有运营商使用。因此从市场上看,UTM还是一些企业的办公机构的用户群。因此UTM的核心在于一个产品只要能够满足用户的应用环境就可以了。

百兆的UTM产品,如果火墙能够达到200M,开网关防毒后处理能力达到60M,开IPS也同样的话,完全能满足300人以内的企业用户。这种规模的企业即便是申请专线,外加上备份用的AD,总带宽往往也不超过30M。即使开启UTM的所有功能,处理能力也是够用的;但这类规模的企业一般到投资是有严格的控制,不般来说总投资不超过5万元。目前,比较务实的厂商一般会选择更好的硬件来达到相应级别的过滤指标,如百兆产品也会使用伪千兆的网卡,以保证内网的高速数据包转发;并使用运算性能好的处理器,以增加内容过滤的处理能力;并对数据流进行综合检查,防止串行检查以提高处理速度,并利用多核处理器来实现并行处理,以减少时延。

UTM选购前言

很直观的一个问题,UTM设备集合了众多不同的功能,在兼容性能方面,是否值得消费者去深思呢?还有就是当设备将所有功能都开放后,是否会拖慢整体的速度,导致处理能力下降,又或者长时间运行系统会否崩溃?最后就是价格了,以往每个功能设备可以按企业的所需而购备,如果企业并不需要这么多功能的设备,盲目购买会导致采购成本增加,又或不设合实际全部功能开放,也会令到网络性能下降。

尽管所有厂商都声称自己的UTM解决方案成效显著,但有些厂商在市场上销售的解决方案并未经过实践的验证。这些厂商不是采用业界最佳的技术,而是试图开发他们自己的防病毒、防垃圾邮件和防网页仿冒系统,然后把这些系统拼凑到过时的防火墙产品中。这些未经验证的产品存在潜在的安全风险,给最终用户造成一种安全的错觉,实际上不能真正防止攻击。

面对UTM设备不可避免的性能损失,以及不同规模、不同需求的用户,哪些UTM才是适合的?哪些方案才是可行的?对此,有必要从国内的实际情况进行评估与比较,以便找到适合自身特点的安全产品。单一功能的安全防护设备虽然专业性强,但是往往需要多台设备配合组网,协调性、可维护性、投入成本往往不尽如人意。特别是在不同供应厂商之间出现扯皮的现象时,不利于分析网络故障的原因。而一款优秀的UTM产品往往具备基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理等特点,其整合化的优势变得非常明显。

UTM选购注重问题

首先要了解各个模块的收费情况,目前许多UTM产品,反病毒模块、反垃圾模块、VPN模块、IPS模块、内容过滤模块是单独收费的,当然也有部分厂商提供许多免费模块;第二要了解其授权模式,目前业内有两种授权模式,一种是基于每设备收费,不限制用户数;另一种是基于用户数收费,这样企业在发展过程中,可能还需要额外的费用;最后要了解其服务收费方式,一般来说UTM的服务更重要,在购买后能提供什么样的规则升级服务,及产品售后服务。一般来说是按年进行收费,多数还会一次性购买多年服务会享受一定的折扣。通过总成本,与获得到的功能与性能综合比较,以决定选择合适自己的产品。相关注重问题如下:

1.考察UTM的性能及稳定性

由于UTM将所有的安全功能置于一台设备之内,无形中也带给了我们更高的风险。一旦UTM设备出现问题,所有的安全防御措施将陷入停顿;而一旦 UTM设备被成功侵入或突破,整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙,其他功能再好也是空谈。性能及稳定性包括几个方面,如设备抗攻击能力、性能处理技术等。

设备抗攻击能力是指UTM设备对各种攻击的抵抗能力。包括抵御攻击的种类、数量。特别是对DoS和DDoS攻击的抵抗力。建议选择采购的UTM必须集成有对防DoS攻击的能力(目前市面上很多UTM没有这个功能,造成很大的隐患)。性能处理技术方面可以考察UTM设备是否能按不同的服务分别处理模块 (比如不是Http、Ftp或Pop3等协议的数据就不需经过杀毒模块和垃圾邮件处理模块),这样可以通过对不同服务的数据流采取不同的处理模式来减轻 CPU负担,从而保证UTM网关对数据包处理的有效性。另外,还可以考察是否分优先级别处理不同业务模块,是否采用协处理器或集成加速卡来进行负荷分担处理等等。另外,所选择的UTM设备性能也一定要满足用户目前的用户容量和未来几年内的用户扩展要求。

2.考察UTM的功能模块

通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。在这些眼花缭乱的功能里,用户应该有一双明亮的眼睛。因为并不是每一个功能都是需要的,用户不必要为了一些不需要的功能花冤枉钱。当然,价钱相等的情况下功能越多越好。当前随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面因为缺乏有效的管理机制,也给企业带来更多的内部安全威胁,包括:员工效率管理的挑战、内部机密泄漏的挑战、机构承担法律责任的挑战、带宽利用率不足的挑战等。目前有些厂商为了解决此互联网滥用的问题,在UTM设备里面也集成了强大的上网行为管理模块,包括访问控制、监控审计,我们建议用户在选型UTM设备的时候,除了考察外部安全功能模块外,也最好能采购同时集成上网行为管理内网安全模块的设备,尤其对于中小企业,籍此实现“让安全一步到位”。

3.考察UTM的易用性

易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外,很重要的需要考察是否有详细的日志乃至数据中心。UTM这种设备不像交换机,安装好了可以100年不变。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂,最好能支持中文操作界面。日志特别重要,好的日志系统应该有详细的记录,包括防火墙日志、流量日志、网络监控日志等,日志应该便于分类和排序,最好能以饼图、柱状图等进行显示,方便统计和对数据的分析。有些做的比较好的厂商甚至提供独立的数据中心,这样一方面可以不影响网关性能,另外也可以实现对日志容量的无限存储。

4.考察UTM的性价比

如何在合理的设备投资和实际上所能提供的功能、性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。为较低需求而采用高端的UTM设备将造成用户投资的浪费,同样为较高的应用需求而采用低端设备将无法达到预计的性能指标。一般而言,同等价格获得越多的功能和性能,则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1~2年内能够使用得到的,否则就无法体现其价值。

从行业角度而言,各行业对于网络安全的关注点也有所不同,比如教育行业:访问不合适的内容,造成潜在的责任问题;传播病毒、蠕虫和其他基于内容的攻 击;由于滥用校园网消耗宽带资源,降低网络效率。政府、金融行业:识别和防护从外部和内部进入的混合型安全攻击;阻挡病毒、蠕虫等通过Email、Web 和文件的传递进入网络。医疗行业:确保病人记录以加密格式存储和传输;确保医院的IT系统不会因网络入侵而受损。这些彼此不同的关注点对于UTM产品的应 用也存在不同侧重的影响。

总之,需要明确的是,UTM的设计思路应始终是把安全放在第一位,只有在安全之上,才能谈性能。事实上,和其他企业级IT产品一样,UTM的技术寿命一般是三到五年,因此无论采用何种技术,只要能够达到企业的出口带宽,并能够满足企业五年的发展需求就够了。因此要计算五年总拥有成本,再评估适合自己的产品。相对单一网络安全设备,部署UTM更容易管理和维护。

结束语

以上种种都是需要购买者在购买前了解清楚的。不过可以肯定的是UTM是未来安全设备的一个发展方向,随着技术的成熟这一切的问题都会迎刃而解。现在大家在购买时,最好是先了解清楚市面上的品牌实力,以及设备的性能。例如美国飞塔(FORTINET)、WatchGuard、启明星辰、卓尔 InfoGate、易尚等,都国内外知名的品牌,在购买时可多留意一下。