UTM,上网行为管理该如何选择?

在应用安全网关产品的投标中,往往可以看到UTM,上网行为管理,防病毒网关,Web安全网关这几类的产品。一个企业的公开招标,可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑,究竟什么样的产品才是最符合需求呢?在下面的内容里,将从网络安全的发展角度、用户的需求偏重点、功能、性能等几个方面做具体的探讨。

下面,将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。

如果说路由器实现了企业内部网与Internet的互联互通,那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨,它根据数据包的性质(数据包的性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤,主要发挥在网络层的访问控制保障作用。

网络层防火墙在20世纪90年代推向市场,设计策略遵循安全防范的基本原则是"除非明确允许,否则就禁止"。为了实现企业内部网与Internet的互联互通,以满足企业基本Internet应用的需求,通常网络层防火墙对外开放了80、443、25、110和21等http、https、smtp、pop3和FTP这几种协议常用的标准端口。

然而,如今随着网络技术的发展,80、443、25、110和21端口不再仅仅是常用的http、https、smtp、pop3和FTP等应用协议使用的专利,越来越多的应用可以自动扫描防火墙的开放端口进行通信,例如IM、P2P、流媒体、网络游戏、网络炒股等Internet应用,同时网络威胁的散布与攻击技术也不再限于网络层,而上升到基于http、https、smtp、pop3和FTP等应用协议的数据包中。这样一来传统网络层防火墙基于数据包性质的过滤规则,就没法检测数据包的内容,也就无法分析检测过滤出其中的网络应用威胁。

于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁,像木马、病毒、间谍软件等,出现了防病毒网关(这是国内的叫法,国外叫Anti-malware网关)。同时出现的还有上网行为管理产品,对IM,P2P,流媒体,网络游戏,网络炒股、web2.0站点等加以管控,他的强项在于对于网络应用的管理,而并非防御网络应用威胁。Web安全网关最早出现是在防病毒网关的基础上增加了对URL的分类过滤,主要实现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容的过滤管控。

随着Internet应用技术的发展变化,为了实现全面的Internet应用安全与管理,web安全网关在防病毒的基础上又集成了应用控制、带宽管理等上网行为管理类产品的大部分功能。除了上面应用层的网关厂商,传统的防火墙厂商也在拓展其功能。在传统的网络层访问控制的基础上增加了网络应用的识别与管控,具有了应用控制、带宽管理甚至URL过滤等功能,叫法也变成了应用防火墙。功能最全面的应用网关是UTM,它包括网络层防火墙、垃圾邮件过滤、IPS、防病毒,URL过滤、应用控制和带宽管理等一系列的功能。

但是,面对以上众多功能有相互融合和渗透的产品,用户该如何选购?

大企业的选择–偏重于安全

金融,运营商等大型企业的办公与业务系统对安全非常重视,因为木马,间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损失,所以他们通常都有较完整的网络安全防护架构,防火墙中启用的访问控制策略也比较多,在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用,邮件有专门的邮件安全网关,web需要web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件,但是防护效果不一定满足这类用户的需求。

例如对于防病毒的功能,大企业用户首要关心的是性能,其次是查杀防护效果,即识别率,最后还关心增强的功能,是否支持多种协议,是否具有多种部署方式等,当然功能上至少支持http,https,pop3,smtp,ftp这5种应用协议的扫描过滤。性能是否满足,一上线就能体现,同样对这类用户性能满足的同时,过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个,设备中内置的特征库应该可以找到至少500万个样本,这样才能保证识别1年内的所有威胁。

牺牲特征数量,可以大幅提升性能,但却不能做到有效的防护。通常UTM设备会放2万个左右的特征,最多找到100万左右的样本。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全网关。 Web安全网关与防病毒网关实现的安全部分功能非常类似,但是web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制,这些都可以辅助加强企业的网络安全。例如对IM进行控制,同样可以阻断病毒的一部分传播渠道。

小企业的选择–偏重于管理

小企业并不是不重视安全,只是为了做到安全而采购防火墙,IPS,防病毒网关,邮件安全网关等一系列产品,投资与潜在风险危害不成比例,性价比不高。所以小企业更愿意选择管理类的上网行为管理与综合类的UTM。对于小企业的管理者或者网管人员,很容易看到上网行为管理产品的效果。可以迅速提高生产力与实现带宽的优化。同样UTM产品也是不错的选择,因为企业可以得到更多的功能而只花很少的费用。而且通常小企业用户数有限也不会碰到性能的瓶颈。当然也需要UTM厂商集成优秀厂商的病毒引擎,病毒库,垃圾邮件引擎,URL引擎与数据库,这样可以给小企业用户提供更完美的体验。

上面是基于用户需求所作的选择分析,下面将对这几类产品自身特点作简单分析。

首先性能方面: 让我们抛开产品的界限,以不同的应用功能来做其重点性能的分析:?

◆网络层防火墙,性能体现在tcp连接与udp转发,目前市面上最高端的性能已经高达10G,因为在底层转发使用了专有芯片或网络处理器来加速。?

◆带宽管理,性能瓶颈在于udp包转发,在此基础上要对协议进行识别,对于普通企业来说,1G的带宽管理已经足够。?

◆URL过滤,性能瓶颈在于http proxy的处理速度,经过优化之后最好的设备可达线速。?

◆网关防病毒的性能瓶颈在于基于特征的扫描与http的并发连接,通过硬件的扫描加速可以实现http 1G基于特征的扫描和实际环境中4万左右的http并发。

以上每个功能单独做到极致都会没有办法处理其他功能,但市面上优秀的web安全网关,例如安启华的web安全网关设备在千兆网络环境中可以启用多种功能,这对于大企业来说完全满足需求。

其次从功能上判断:

带有安全功能的是UTM与防病毒网关、web安全网关。带有管理功能的是UTM、web安全网关与上网行为管理网关。安全通常带有全球的特性,所以国际厂商通常从安全入手,增加管理功能满足用户需求。管理带有明显区域特性,所以通常国内厂商会占有更高的份额,因为对区域性的应用能够及时更新与控制。既做到全球性的安全,又做到区域性的管理功能是每个厂商追求的目标,只有市场才可以真正检验。

总结

需求的多样性导致了产品的复杂性,没有一成不变的产品与厂商,站在IT产品发展的角度,当出现诸侯割据的局面时,那说明一统天下的产品即将出现。在每个领域,市场只会记住几个主要的名字。对于企业用户,抛开各个厂商的建议,首先要分析自己的网络需求,安全还是管理或者是兼而有之。如果选择安全,如何量化安全的程度,参考同行业的选购或者从实际环境的使用比较都是明智的选择。尽量选择每个领域最领先的产品,这是对投资最好的保护