UTM自出世起好像就被定义为是为中小企业用户准备的多功能安全网关产品,然而随着信息安全威胁多样性和混合性的发展趋势越来越明显,使得大型行业用户解除相关安全威胁的心情更为急迫。由此证明,UTM设备只为中小企业设计的观点有欠妥当。
很多人认为:UTM的安全防护的多功能性导致设备效能衰减剧烈,不适用于大型行业用户适用。也正是这种说法致使很多对UTM产品青睐不已的大型用户犹豫观望。
安全厂商否定UTM只定位中小企业说法
SonicWALL中国区技术经理蔡永生对UTM只是中小企业产物的说法直接给予了否定:“就我们从国外市场获取的经验看,很多大型甚至是超大规模企业同样可以享受UTM的服务。与UTM设备相关的软硬件技术发展到今天,完全可以满足众多大型企业在百兆数量级对网络流量的需求。此外,大企业的各个部门之间,如财务部和工程部之间也可以用UTM设备隔离,UTM不仅保护从互联网过来的安区威胁,同样可以防护企业各个部门之间的病毒和入侵的扩散。基于用户范围的广泛性,SonicWALL全系列产品线中的不同产品既可满足几个人的小型办公室,也适用于上万人的大型企业;而且是用户负担得起的UTM解决方案。”
安氏领信产品与解决方案中心经理姜宁也认为:“SMB用户通过购买UTM产品会获得相对更高的投资回报,但这并不等于UTM产品只适合于SMB 用户。IDC预测UTM在2008年市场将占有整个信息安全市场的半壁江山,显然这个数字不仅仅是通过SMB市场能够达到的;大型企业和行业用户可能不会去购买一个UTM产品的全部功能模块,但完全有可能购买其中一个或几个功能,比如内容过滤、网关防病毒等等模块并在整个企业网范围进行部署,事实上安氏领信最近一个UTM产品案例就是某大型行业用户,跨广域网在总部和各分支机构之间部署了几十套领信UTM产品,并取得良好的安全防护效果,用户对此也很满意。”
Juniper公司大中华区新兴技术经理吴若松认为:“UTM一定是将来的发展趋势,安全管理是主要推动要素。UTM的使用简化了安全部署,势必降低企业的维护运营成本。渠道伙伴将UTM设备向大型行业用户推荐时,与SMB用户不同在于:SMB用户可能一上来就会使用UTM的全部功能,而大型企业用户可能先要使用部分功能,以渐进的方式逐渐替代原有单一安全产品。”
“大型企业迫切需要一种全方位的内容保护解决方案,它既可以防御危害网络环境的病毒、蠕虫及混合威胁,又不能影响任务关键性应用的性能,” Fortinet公司市场副总裁Chris Roeckl谈到,“全新FortiGate提供的安全工具通过提供千兆级吞吐量和高可用性,可实时防御不断演化的网络威胁,对大型企业来说一样适用。”
Chris Roeckl提到的安全工具就是现在谈论很热的UTM(统一威胁管理)设备。UTM表示在一个硬件平台上整合各种安全功能,如防火墙、VPN、网关防病毒、入侵检测、入侵阻断、流量分析、内容过滤、3A认证等,它的出现在于一些中小企业用户缺乏安全技术人员,希望以在网关处的一个硬件设备,一揽子解决所有的安全问题。但是发展到目前这个阶段,UTM在性能、功能上都大大增强了,它不仅仅是为了满足中小企业安全需求而存在的,一些大型企业对于UTM也开始有了明显的需求。
根据IDC预测,UTM产品市场在近几年将维持高速的增长态势,在2008年之前将维持平均接近80%的年增长率,并将于2008年成长为一个容量达到20亿美元的细分化市场,占有整个信息安全市场的半壁江山,达到57.6%。在支持的功能方面,UTM也逐渐从华丽走向务实,即选择那些用户必备的或是迫切需要的功能。目前,市面上大多数的UTM产品具备了网络防火墙、 VPN、网络入侵检测/防御和网关防病毒等多项基本的功能。同时,很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。另外,诸如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等其他特性,也逐步加入了UTM产品中。不过,这些特性通常都是为主要的安全功能服务的。
由于UTM产品通常会同时运行多个功能模块,因此对系统性能的要求远远大于单纯的防火墙或入侵检测系统。而传统的x86架构产品,已经很难再有所提升,这意味着UTM产品必须使用更高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于对性能敏感平台的一种处理器技术,将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力,使UTM设备正常运作。
除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
在提升硬件速度的同时,UTM产品同样面临着系统优化方面的问题。在认清UTM产品并不是安全功能的简单堆砌之后,如何更好地、更有效地在统一、高效的系统平台上,部署好各个安全模块,处理好集成优化问题,也是UTM厂商需要考虑的。
只有这两个方面都做好了,UTM产品才能真正摆脱性能的束缚,冲向千兆,冲向高端应用环境,并为更深入的数据检测提供支撑。那好,就让我们看看现在的UTM产品在性能上是否得到了突破。
就拿FortiGate-1000A和FortiGate-1000AFA2两款产品来说,它们是基于ASIC加速的企业级安全工具,已经达到千兆级性能,具备高可用性和多重安全防护功能。FortiGate-1000AFA2更是包括了两个FortiAccel小型规格尺寸插拔式(SFP)附加端口,可显著提升在语音、视频及其他多媒体数据流应用中所需的小型数据包性能,同时还具有千兆级线速的防火墙性能,可用于各种规模数据包。
对于那些具有多种任务关键性应用,而且多部门、办公室、远程和移动用户设备处于多个网段的大型企业来说,FortiGate-1000A和 FortiGate-1000AFA2安全工具可以为这样的网络安全提供充分保护。例如,FortiGate-1000A的典型部署场景是,它被同时部署在多个DMZ、企业分段式局域网(LAN)、分支机构和移动用户连接的企业内、外网网关之间,扫描所有进出网络的流量及各个网段。而通过全新 FortiAccel技术,FortiGate-1000AFA2系统可以对运行多媒体数据流应用,如透过IP观看视频和收听音频,保护具有多网段的大型企业网络的安全。
作为在高性能UTM领域收获颇丰的Crossbeam公司,从诞生开始就把精力放在了高性能交换平台的研究上。而他们也是在最近几年中提出了 “网络安全UTM应用交换平台”的体系结构,主要目的是为实现全面的网络、邮件和Web安全性而开发高端安全交换机。
Crossbeam努力设计一种依托于交换体系结构的UTM产品,为的是把设备的性能提上去。特别是对于整合设备在功能全开时的性能衰减,他觉得一些大型用户不会满意,特别是电信公司,他们已经习惯了高吞吐情况下的安全,而只有基于交换背板的设计才能突破UTM的传统瓶颈。
在采用交换架构的UTM设备中,各模块的功能是分离的,每种模块负责其各自的功能,然后整个设备通过机架无源背板全交叉总线及实时调度操作系统 XOS进行集成。
Crossbeam力图将自己塑造成为一个高性能的平台,而所有的功能模块则是由大量的合作伙伴完成,包括来自 Check Point、SourceFire、Snort 、趋势科技、Websense等公司的安全模块产品。采用交换机架构的UTM好处十分明显:可以比较容易地实现端口密度、可靠性、转发性能的集成,这包括了从8Gbps到20Gbps的吞吐量,以及满足运营商需要的99.9999%的可靠性。
虽然采用安全交换架构的UTM价格不便宜,但Crossbeam公司的CEO Peter G. George称这种架构可以给大型企业带来成本上的好处:所有安全技术(利用多个先进的安全引擎来支持防火墙、加速VPN、入侵检测与防护、防病毒和员工互联网内容管理URL 过滤)都通过一种机柜式系统结合在一起,从而消除了对外部交换机、负载均衡器、接头和端口镜像的需要。