2010年终盘点:UTM成为安全行业新主角

UTM,即统一威胁管理(Unified Threat Management), 从2004年9月被IDC首度提出以来就受到安全厂商与企业用户拥护。2008年,UTM市场增长32.2%;但是,2009年UTM增长率下降到20.1%,这与金融风暴有着不可分割的关系;2010年,随着整个IT市场反弹,在趋于稳定之前,UTM在2010年恢复增长,UTM厂商正在寻找有利的刺激措施振兴这一市场。

根据IDC对中国IT安全硬件市场未来五年的预测,传统防火墙/VPN产品市场复合增长率为一位数,而UTM、IPS、VPN、安全内容管理的市场高速增长,UTM表现最抢眼。具体数据显示:

UTM被广大用户接受 UTM进入加速发展阶段

2010年,随着UTM产品的不断成熟,在企业级市场,UTM将逐渐替代单一功能安全产品似乎已经没有争议,安全威胁的多样化和技术进步使UTM发展进入了加速阶段。

UTM的处理性能主要是指同时开启入侵防御、防病毒、反垃圾邮件等主要安全模块后的性能表现。在UTM产生的初期,很多厂商的UTM产品在全功能开启后,性能可下降80%,因此,解决全开启性能下降难题是UTM能够被广泛应用的前提。

发展至今UTM硬件架构经历了ASIC、FPGA、NP、多NP、X86+ASIC/NP混合、多核等多种架构。在硬件处理性能大幅提高的同时,软件平台和安全引擎上也得到各大厂商的重视,如:研发安全设备专用的OS,重新设计的统一安全引擎或统一模式匹配引擎、多通道并行匹配引擎等,使UTM全部功能开启后仍然可用,并保持性能稳定。通过软硬件开发的努力,UTM性能瓶颈获得突破。

随着公司业务不断扩大,网络也在无形中加速膨胀,这样,企业面临的攻击手段愈发灵活,混合攻击急剧增多;系统漏洞发现加快,攻击爆发时间变短;P2P流量耗尽带宽,垃圾邮件问题严重。安全威胁的多样化使传统的防火墙设备已经不能满足防范的需求。这也是目前越来越多的防火墙产品开始加入更多安全功能的一个主要原因,迫使UTM进入一个加速发展的阶段。

UTM设备的市场前景非常广阔,一方面是由于越来越多的电信运营商和中小企业出于成本和性价比的考虑,对融合式安全产品的需求正越来越大;另一方面是由于硬件技术与安全软件的发展已逐渐满足这类产品的集成化要求。

企业出口的安全建设长期处在一个串糖葫芦的过程,防病毒、网页过滤、防垃圾邮件、入侵防御(IPS)等等都会成为这串糖葫芦中的“山楂”。这样多节点的传统安全解决方案在运营成本、出口带宽以及人力方面都给企业安全管理带来了隐患和成本,统一威胁管理设备(UTM)的提出,打破了这种串糖葫芦式的尴尬局面。

从国内到国外、从开源到定制化,面对犹如雨后春笋般的UTM产品时,还有许多要考虑的地方,笔者在与企业用户的交流中,选择UTM时,应该注意以下四点:

一、UTM的性能及稳定性

由于UTM将所有的安全功能置于一台设备之内,无形中也带给了我们更高的风险。一旦UTM设备出现问题,所有的安全防御措施将陷入停顿;而一旦UTM设备被成功侵入或突破,整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙,其他功能再好也是空谈。

二、UTM的易用性

易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外,很重要的需要考察是否有详细的日志乃至数据中心。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂,最好能支持中文操作界面。日志特别重要,好的日志系统应该有详细的记录,包括防火墙日志、流量日志、网络监控日志等,日志应该便于分类和排序,最好能以饼图、柱状图等进行显示,方便统计和对数据的分析。

三、UTM的功能模块及性价比

通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。并不是每一个功能都是需要的,用户不必要为了一些不需要的功能花冤枉钱。功能并不是越多越好,而是要看其是否实用。当在一个防火墙服务器上实现太多的服务,结果就是这些服务对硬件资源的吞噬,最后导致防火墙性能的下降。在防火墙上,往往不会部署过多的应用服务。

这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障,那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话,越加不能够把多个服务集成在防火墙服务器上。

四、不要过于依赖相关技术参数

不要太过于相信实验数据。对于他们从实验室得出来的数字,笔者往往会给他们打个对折。打折后的数据,可能水分会少一点。所以,实验数据只能拿来参考。在有条件的情况下,网络管理员要结合自己的公司网络环境,对防火墙产品进行测试。这测试出来的结果,对于我们防火墙选购才会有参考价值。

省钱才是硬道理,对中小企业用户来说,部署高贵的UTM产品是一种可望而不可及的事情,随着开源技术的不断升华,免费且开源的软件(FOSS)无处不在,在IT技术行业,这类产品分布很广,特别是在网络安全领域,优秀的FOSS例子举不胜举,如防火墙、路由器和VPN,甚至连UTM也有,几乎你能想到的任何应用都有对应的开源产品。本文将为大家介绍三款有商业支持的开源网络安全产品,使用开源产品具有成本更低,更安全、灵活,良好的扩展性和完整的企业支持的优势。

Endian

Endian是一个功能丰富的统一威胁管理系统(UTM),提供了一个强大的防火墙,VPN(IPSec/OpenSSL),防恶意软件/垃圾邮件网关,QoS/带宽管理,IPS和代理功能,也可以用它作为软件解决方案构建你自己的硬件产品,或专为特定应用程序进行安全优化,和其它竞争产品类似,社区版一般只提供了商业版的核心功能。

Endian基于Web的管理界面做得很漂亮,并且易于使用,它的仪表盘提供了所保护网络的实时综合视图,Endian也提供了中央管理控制功能,Endian Network是一个基于Web的中央管理/监控解决方案,可以集中管理多个Endian产品,Endian Hotspot插件模块支持创建安全的无线热点,通过SSL VPN,专用的身份管理系统和RADIUS保护无线网络。

Untangle

Untangle是一个功能丰富的UTM网络安全解决方案,它提供了防火墙,VPN(OpenVPN/SLL),路由,QoS,恶意软件防御,防钓鱼,防垃圾邮件服务,入侵预防和Web内容过滤等功能,它提供了一个简单的Web管理界面管理系统的所有功能,另外,它提供了强大的报告功能,你可以站在高处鸟瞰整个网络的运行情况,并可以将报告输出为PDF/HTML文档。

此外,Untangle具有自动升级功能,这一点特别受网络/安全管理员的欢迎,它的开源版本提供了全部功能,另外专门提供了适合SMB和教育用户的绑定版本。

商业插件,如Commtouch通过增强的策略管理器提高了垃圾邮件阻止能力,还有来自eSoft的Web过滤解决方案,WAN负载均衡和故障转移,活动目录连接器,来自卡巴斯基的反病毒软件等插件。

Vyatta

Vyatta是一个开源路由器、防火墙和VPN解决方案,它支持很多高级路由协议(BGP,OSPF,RIP等),同时提供了入侵防御,URL过滤和WAN负载均衡等功能。Vyatta提供多种形式的解决方案,包括硬件设备,直接在x86服务器上部署软件,通过虚拟化部署(Xen/VMware),甚至可以通过云部署。在管理方面,它提供了直观的Web界面,也提供了CLI(命令行接口)。

CLI与思科IOS和瞻博JUNOS的风格类似,因此不会给我们带来学习负担,Vyatta给那些寻求优质路由和安全解决方案的人提供了一个开源的选择。从上面三个开源安全产品可以看出,开源软件在网络安全领域的话语权越来越大,无论是从成本,正常运行时间,安全还是从稳定性方面来看,它们的表现都很不错,下次你要购买网络安全产品时,可别忘了评估一下这几款开源产品。

随着企业网络规模的庞大与复杂,网络威胁严重化趋势也日益凸显,企业用户对全面安全应对机制的需求也更为迫切。间谍软件、病毒和垃圾邮件等安全攻击的盛行,促使网络用户对安全产品的需求也更加广泛和深入,依靠单一防火墙防范各种攻击已成为历史。统一威胁管理(UTM)是一款网关型硬件设备,各种应用数据均要经过它的检查、处理,因此,网络数据的处理能力非常重要。另外,如果统一威胁管理(UTM)在基本防火墙应用的基础上,再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块,处理能力会有明显下降。

启明星辰UTM2由三位一体构成,包括统一安全网关、统一终端安全和统一管理配制,三者构成一个整体,就构成了UTM2。其出发点就是要同时管理网关和终端两个边界,让内网重新变得安全。UTM2的思想是把逻辑上多个功能组件,物理上集成在一个硬件设备里面。这个硬件设备上集成了终端代理安装程序;同时这台硬件本身是UTM网关,可作为策略强制点;同时上面也集成了策略控制点,即策略服务器。

华为赛门铁克今年推出UTM+统一安全解决方案,在UTM+设备内部融合了Symantec高质量的安全引擎和签名库,并在此基础上,进一步整合深度的应用程序识别和网站内容分类技术,从而实现应用检测与传统文件检测技术的紧密结合。更为方便的是,以上各种安全功能无需任何专业人员的专业配置,IPS、AV、DPI、URL的工作状态即可自动的实现调优,适合企业的应用环境,为用户带来一键式的配置体验。

东软NetEye集成安全网关NISG是东软多年信息安全领域技术经验积累的结晶,采用内核级“并发流过滤”架构和NEL智能入侵防御引擎,将FW、IPS、VPN、Anti-Virus、Anti-Spam、Anti-DDoS、QoS、上网行为管理等功能无缝融合,全面抵御各种安全威胁,实现集中防护,智慧管理。在产品规划之初,东软NetEye就将绿色环保作为重点考量的内容之一充分融入到产品的设计中,突出节约能耗、高效管理、环保用材的清新绿色理念。

据联想网御在今年美国旧金山RSA大会上发布的KingGuard 5000系列UTM产品是基于多核多线硬件架构及公司自主知识产权的安全操作系统VSP(Versatile Security Platform)研发的综合安全防护网关产品,同时得到了国家863计划及火炬计划的支持。与以往产品相比,联想网御KingGuard 5000系列UTM集成了Firewall、VPN、AV、IPS、绿色上网、Anti-Spam等功能,并提供续订安全服务和一整套管理、报告和分析功能,产品整体性能提高300%以上。同时,该产品还具有独特的 “一键配置”功能,1秒内实现安全策略的切换,在性能和易用性上领先于业内。是联想网御利用NetLogic Microsystems多核芯片开发出来的全新产品。不同的型号可满足从SOHO到电信运营商的各级用户。

作为一款覆盖安全硬件和4-7层这样一个综合的安全设备,华三UTM的推出往往能反应一个企业在安全领域综合解决问题的能力。截至到2010年,在整个华三U200-C(Commercial)系列产品包括U200—CS、U200—CM、U200—CA三款产品,作为系列产品其优势也是一脉相承。

FortiGat企业级UTM系列产品包括 FortiGate-620B、310B、110C、它们和其他型号产品一样具有所有主 要功能,比如集成的防病毒、防火墙、VPN、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps,具有高可用性(会话级别切换),多个安全区等功能,因此说它们是企业的关键应用的最佳选择。