扫清UTM迷雾 实现高效统一威胁管理

      UTM(Unified Threat Management :统一威胁管理)产品的概念最早出现在2002年,当时由于混合网络威胁的出现,为了满足用户对防火墙、IDS、VPN、反病毒等产品的集中部署与管理需求,一些安全厂商提出将多种安全技术整合在同一个产品当中,这便是UTM的雏形。通过多年探索,业界对UTM产品较为一致的定义如下:通过安全策略的统一部署,融合多种安全能力,针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。

  作为一个部署在安全边界且具备多种安全功能(防火墙、入侵防御、网关防病毒、VPN等)的网关产品,用户自然会对UTM产品的高可用性提出严格要求。同时,UTM厂商也按照各自思路提出了各种各样的高可用性(HA:High Available)实现模式,这些模式可以分为以下两类。

  1. ByPass模式

  通过内置的开关电路,在UTM设备出现异常情况时实现两个特定网络端口之间的全通,无条件放行所有流量。

  Bypass模式优点

  功能实现简单——现有的工控机,都已在以太网电口上实现了硬件Bypass功能,异常情况下(设备掉电/重启/系统挂死等),设备会通过继电器开关自动将两个以太网端口实现物理直连,实现报文全通。

  Bypass模式缺点

  存在安全隐患——对于UTM设备而言,防火墙是一个基础模块,而防火墙模块的功能特点就是除非用户配置,否则默认阻断。而Bypass模式下,最基础的防火墙模块实际上已经被绕过了,任何报文都能通过网关设备,这对于安全性要求较高的用户来说,是绝对不能接受的。

  应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起作用,多端口透明桥模式、路由模式或混合模式下,即使启用了Bypass功能也无法确保业务正常连通。

  从以上的讨论可以看出,ByPass模式更适合在专业的IPS产品上应用,因为专业IPS产品的部署方式已经严格限定为透明模式跨接在一条或多条链路上,每一路输入严格对应到一路输出。同时,部分刚刚进入UTM领域的厂商,在其UTM产品没有完全稳定之前,也经常采用Bypass功能,来避免设备不稳定对用户造成的影响,同时降低自身的售后服务压力。

  2. 会话同步模式

  采用两台或多台UTM设备通过心跳线来同步会话信息并监控对方的状态来实现HA功能,在出现异常情况时通过主备切换或接管问题设备工作的方式保证业务可用性。

  会话同步模式优点

  安全功能完整——会话同步模式在进行主备切换或主主切换时,用户业务不受影响,同时用户设定的安全策略仍然继续执行。

  网络适应性好——对网络拓扑没有特别要求,可以满足绝大部分用户环境。

  可提高网络吞吐性能——主主HA组网下,可以将网络流量分配到两台或多台UTM设备上进行处理。

  会话同步模式缺点

  实现相对较为复杂,特别是在主主模式、大流量环境以及全网状组网情况下,如何确保UTM设备所有会话的及时同步对于厂商的研发实力有较高要求。

  UTM设备的会话同步模式与传统的状态检测防火墙还有所区别,UTM需要在保证网络层同步会话的前提下实现入侵防御模块及防病毒模块相关检测信息的完整性。例如,用户通过网页下载某个大文件,传统防火墙要做的工作就是将本次下载的相关会话信息同步到另一台防火墙上去,当进行HA切换时,另一台防火墙无需重新建立会话,直接将相关报文放行,用户感觉不到设备切换。而对于UTM设备而言,为了防止出现防病毒模块的误报和漏报,还必须将已下载文件的相关信息进行同步,这进一步提高了会话同步模式在UTM上的应用难度。

  启明星辰公司的UTM产品——天清汉马USG一体化安全网关采用高性能的硬件架构和一体化的软件设计,集高性能防火墙、VPN、入侵防御(IPS)、防病毒、外联控制、抗拒绝服务攻击(Anti- DoS)、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身,同时全面支持高可用性(HA)功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。

  例如,在青海电信IT系统安全改造项目中,青海电信采用天清汉马UTM部署在全省办公网统一出口,通过天清汉马UTM的入侵防御、网关防病毒、网络外联控制等功能的协同配合,确保内部用户得到更好的安全保护,并在工作时间封堵IM、P2P、网络游戏等网络滥用。同时,两台天清汉马UTM与已有的思科核心交换机之间采用全连接方式进行部署,通过天清汉马UTM的备份功能,确保电信相关业务的高可用性。

  通过统一分析引擎技术和统一事件库技术,天清汉马UTM在开启全部功能时,整机的转发性能下降幅度最小,同时,天清汉马UTM的HA功能保证了用户业务的高可用性。