Fortinet倡导X-UTM回归全面安全之道

曾几何时,以全面安全著称的UTM系统被各种"杂七杂八"的"功能"所充斥,对用户而言,对于UTM部署的毫无头绪已经造成了严重的困扰。今天,X-UTM的出现彻底改写了UTM设备混乱的布局,一切为了用户,从网络层到应用安全,已经成为X-UTM不可动摇的使命。

早先接触过UTM的企业用户都有一个感觉,UTM很复杂–各种繁多的功能、种种配置的禁忌,以及纷乱繁多的管理模式,给本就不太专业用户们带来了困扰。在金融海啸的今天,大量企业渴望降低IT系统的管理复杂度,简化部署与运营维护的开支,而传统的UTM恰恰给企业拉了后腿。

也许是看到了传统设备的不足,IDC在提出X-UTM概念之初,就已经把可定制、可管理作为X-UTM的标准之一。对于IDC的倡议,笔者也是非常赞同。因为UTM这类设备发展到今天,其自身的复杂度已经到了无法回避的地步。此前Fortinet一直强调,一定要让用户自身去习惯UTM,将设备提供的功能模块变成用户在业务运维上"自己的东西",而非单纯、混杂地去被动接受。

此次X-UTM定制化体系的提出,客观上要求安全厂商的产品必须具备功能丰富性与整合性的特点。比如针对防病毒,X-UTM需要支持流行的应用协议,如FTP、POP3、Web、IM等等;针对不同的端口,X-UTM需要提供文件的大小限制、超时处理步骤、文件类型识别等功能,并且可以提供灵活的配置组合;针对Web过滤系统,X-UTM要求安全厂商必须有一个服务体系,主动帮助企业用户去识别全球范围内不同类型的网站,帮助用户去进行风险分析。换句话说,当前生产X-UTM的安全厂商必须能够提供自身的主动安全服务。

回首当年,很多国内安全厂商推出的所谓"UTM"方案,仅仅在系统中写一个IP地址、域名,就宣称具备Web过滤的能力,这种有限的"静态服务"根本就不符合UTM的初衷。可悲的是,个别时候甚至在电信运营商的网络里都能发现类似的产品。无疑,很多国内安全厂商从产品设计之初就混淆了UTM的概念与要求,这类产品不仅达不到帮助用户真正屏蔽有害网站的效果(这些网站的属性很隐藏,需要专业公司的技术帮助),而且还给用户的后期管理添了麻烦。

当前,X-UTM需要将用户的应用与安全的大方向进行融合与匹配。同样以Web过滤为例,其中会涉及到大量的用户层面特性,比如能否根据用户的组、不同用户的角色差异,判定哪些用户可以访问某些网络资源,哪些用户不能访问。其中设备需要提供更多灵活的特殊策略组合,帮助用户开展应用层面的安全管理。

仅从用户体验来看,X-UTM强调Web过滤的分类类别。对安全厂商而言,X-UTM的标准无疑严格许多,传统上那种在UTM中设定一类Web阻挡策略的做法行不通了。从Fortinet对于X-UTM的设计建议可以看出,Web过滤的起步分类标准就要50类,做到优秀级别至少80类。

换句话说,X-UTM相当强调颗粒化的安全管理。正如Fortinet一直所强调的,安全厂商不能把所有信息反馈的结果简单丢给用户。相反,安全厂商需要从用户的实际需求出发,提供基于功能、策略、应用的定制化的安全服务。

对X-UTM而言,其诞生的意义源于安全。然而,在企业用户纷繁复杂的应用面前,安全并非单一存在:不抛弃网络层,维护从网络到应用的安全体系,成为了X-UTM的价值所在。

X-UTM对用户来说,其首要标准就是"绝对不能抛弃网络层"。作为一种网关产品,X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现,单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备,其核心都是在保护Web,这些设备不需要考虑DNS、VoIP,它们都属于应用层的专项安全产品。

然而,X-UTM对企业而言,要管理的范畴大得多:企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护,甚至是企业内部的每一个个体都需要保护。

举例来看,现代企业需要网关防病毒功能,根据经验安全设备至少需要提供每月一万种的病毒支持;另外,对协议的广义支持能力,还有对用户的超时管理,也是安全设备需要考虑的问题;此外,当前业界看重流扫描技术,这有点类似IPS的模式。比如一个病毒是10层压缩,安全设备需要进行层层解压,从而对设备的强壮性提出了挑战。

面对这些问题,单纯的防火墙、IPS、Web过滤、反垃圾邮件等设备无法全盘解决。以前有句谚语:"10个人的企业好管理,100个人就困难了",每个人的应用都复杂,企业的网络管理员需要避免个体用户的应用滥用导致网络瘫痪,给企业带来各种主动和被动的风险。而这恰恰是X-UTM的职责所在。

X-UTM的特点是,设备放在企业内网里面需要承担不同的协议和流量。换句话说,X-UTM在网络里面都是要承载所有协议。根据Fortinet的统计,一个中等规模的企业,其网络流量分配比例大致为:25%的HTTP封包,75%的UDP、DNS、IM、视频等应用。不难看出,HTTP协议仅仅是网络中的一部分,大量的基础网络协议和应用都需要X-UTM提供周到的保护。

总之一句话:X-UTM是保护企业的。在一个企业的网络环境中,什么样的流量都会具备。从实际的情况看,企业办公室上网运行的各种应用非常复杂,比如在线游戏、QQ、MSN、电子邮件、VoIP等等。在这样的情况下,X-UTM的性能就不可以存在短板。

根据IDC和Fortinet的设计要求,一款合格的X-UTM设备,其处理引擎必须具备分类处理的能力,比如针对HTTP实现处理吞吐500M、SMTP 400M、POP3 300M。因此,所谓帮助用户实现应用层安全,就是要使安全设备符合真正互联网流量的体系结构,而不是单独做一个Web安全网关。豪无疑问,X-UTM的责任更加重要!