将错综复杂的安全产品与技术进行系统的整合,可以说是众望所归。根据IDC预测,UTM将会在2008年实现对防火墙、VPN等传统安全产品的超越。但是,也有专家认为,真正的UTM概念目前并没有从技术上实现。那么,UTM真的会像预测中的那样,在2008年实现对传统安全产品的颠覆吗?
UTM可以在各种网络环境中得到部署。
随着新型UTM产品的性能指标越来越高,很多业内人士认为,安全网关市场的格局很可能在2008年发生变化。据IDC预测,2008年UTM市场将维持平均80%的年增长率并形成20亿美元的细分市场,安全网关市场的57.6%将是UTM的天下。不过,并不是所有人都对UTM持乐观态度。
UTM逐步获得认可,可以说是一个趋势,但是安全整合的需求并不一定代表UTM可以在短时间内颠覆传统的安全产品,UTM要想在2008年占据信息安全市场的半壁江山,还有很多的内功需要修炼。
解决性能下降是难题
2007年,很多厂商为了解决UTM产品性能下降的问题,不仅采用更高级别的处理器,也相应推出了自己的解决方案。Crossbeam公司发布了一款刀片式的UTM产品,将防火墙、防病毒、入侵检测以及反垃圾等不同安全功能,分别做成不同的刀片式模块,每个刀片拥有独立的CPU和数据总线。这种方式解决了UTM计算性能不足、各模块之间争抢资源的难题。但是,这种多CPU并行计算的方式,对系统中各模块间的联动与协同提出了更高的要求,毕竟UTM不是简单的模块堆积。这种方式在解决性能问题的同时,还需要解决提升产品统一安全防护能力的问题。
除了硬件解决方案,个别厂商还在软件上下功夫。例如启明星辰公司在其天清汉马产品中,提出了统一分析引擎的软件设计思想,利用格式化、归并和标签技术实现了特征库的统一,即将病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库统一格式化为USG统一特征库,从而实现了基于统一特征库进行模式匹配的一体化分析处理引擎。
分析处理引擎的统一在一定程度上保证了众多安全防护功能的融合,同时将关键性能消耗单元最小化,在功能融合的同时优化了产品性能。不过该种方案还无法满足多个千兆接口线速的运营级网络需求,在普通千兆网络中的应用,也需要进一步观察其表现。
能否做到深层检测
对于UTM产品来讲,其主要目的是对网络资源进行保护,防御威胁,防止网络滥用,重点在于控制。但是,威胁和网络滥用在应用层的不断延伸和扩散使得应用层检测愈加成为主角,没有全面、精确的检测作为依据,再多再灵活的控制手段也是徒劳。
深层检测包括全面和精确两个方面。深层检测在部分用户看来是网关防病毒的同义词,但实际上,深层检测的真正目的不仅仅是对病毒的防御,还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。
同时,作为部署在网关位置的UTM产品,在进行深层检测时必须确保不出现误判。如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。对于厂商来说,充分利用过去检测技术方面的积累,同时加强针对P2P、IM、游戏类软件的跟踪和积累,才是UTM解决应用层检测精度难题最有效的措施。不过还是那句话,这些都是需要积累的,而积累则需要时间。
能否真正易用和好用
2007年,一家著名的安全公司曾经针对8个行业120多个样本做过调查,主要研究用户购买UTM产品考虑的各个方面,在性能、功能、价格、服务、好用等8个方面中,"好用"竟然占到40%,这一比例令该安全公司感觉很吃惊。多数用户很坦白地表示:"我们的网管员管理的设备过多,对安全产品的配置也不是很了解,UTM产品把那么多功能集成到一起,我们的网管员搞不清楚其中关系,希望你们做得简单易用,最好把相互关联的功能配置做成模板,我们只要配置模板就行了!"简单的描述却道出了真正的需求。UTM产品的易用不只体现在管理、维护和配置,还体现在设备的部署以及网络的兼容性上。
UTM虽然带给了我们很多惊喜,但是无论是作为一种尚未完善的概念或者是一种新兴的产品,其特质还远远没有被充分发挥出来。因此总的来看,我们认为,2008年,UTM可能会减缓其他安全产品的市场增长幅度,但是距离占据安全市场的半壁江山,实在还有很远的路要走。
各方观点
高端UTM将越来越多
Fortinet全球首席市场官 Richard Stiennon:"我们推出提供高达26G防火墙性能的UTM产品,主要是考虑到用户的这种需求。当然,在全部功能打开时性能会有低于50%的下降,但这仍然可以满足需求,包括将这种高端UTM部署在企业的网络核心和数据中心,因为,与传统安全产品相比,其性能仍然提高了三倍。目前市场上的高端UTM都已经实现了千兆级别以上的吞吐率,包括对线速防火墙和线速VPN的支持,这大大降低了敏感应用对于网络延时或抖动的影响。而这只是开始,今后高端UTM会越来越多。"
UTM或将取代防火墙
北京启明星辰信息技术有限公司陈胜权:"防火墙功能作为UTM的基本功能之一,在产品表现形式上已经非常成熟,若加上防病毒、入侵防御、内容过滤等功能,UTM产品在功能表现上非常有竞争力。启用多种安全能力后的性能是UTM的一个软肋。目前市场中的UTM虽然经过了性能上的不断优化,但还无法满足多个千兆接口线速要求的运营级网络需求。因此总的来看,UTM产品会不断在应用中取代防火墙产品。但目前阶段,UTM与防火墙之间的应用环境是不同的,都会保持各自的空间和用途。"
UTM须尽快确定标准
荣新时代IT技术中心CTO张琦:"UTM降低了安全系统构建的复杂性,因此符合当前用户的应用心理和需求,也是安全厂商持续跟踪市场需求,寻找技术互补点的产物。UTM若要完全占据竞争主导地位,必须在价格、性能、集成安全特征、可管理特性、安全知识服务以及安全认证上尽快确定一个可以被用户接受的标准。"