未来网络安全技术趋势:统一威胁管理(UTM)

2010年或许对于中国的UTM来说是腾飞的一年，无论从技术创新还是市场发展都有了较大的改进与提升!近年来，随着安全技术的发展和安全意识的提升，能够综合防范多种网络威 胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2，多少概念欲迷人眼; 多核架构、硬件加速、千兆、万兆，无数性能试比高低。通过这几年对各厂商UTM产品的了解、测试和使用，特别总结了一些心得。

如何将诸多安全功能发挥到极致

　 　随着市场和技术的发展，很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用，UTM设备的性能将大大 下降，可用性较差。因此，厂商工程师在实施时善意的建议用户先只开某个功能，以后再逐步打开其他功能的场景屡见不鲜。同时，用户担心性能不够也不敢把全部 功能打开使用，最终导致UTM只是名义上作为多功能安全产品购买，实际上只作为单一功能产品使用。

　　这种情况出现的原因在于，对于第一代出现在市场上的UTM产品而言，集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加，一旦开启多功能时，各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置，甚至采用ASIC硬件加速某些功能的手段，但收效并不显著。

　　而另一方面，UTM的用户经过多年的市场洗礼，对于UTM的要求已经日趋理性。目前很多的成熟用户，已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求，搭建测试环境，然后使用标准测试仪对 各家的产品进行衡量。最常见的一种情况就是，无视厂商产品标称的连接数、吞吐量等数据，而是在环境中测试产品至少将防火墙+入侵检测+防病毒功能同时打开 时的HTTP页面吞吐、FTP吞吐等数据作为选型依据。这样的测试，更符合用户的实用情况，再加上采用Avalanche、IXIA等标准测试设备带来的 相对公平，其结果更值得信赖。

　　面对着新的市场环境，越来越多的厂商在技术上持续改进，以力求推出满足用户性能使用需求的新一代UTM产品。

如何从“瑞士军刀”到“复合装甲”

　　刚才已经提到了，UTM对于广大用户来说就好比是“瑞士军刀”， 功能多样，但是一次只能使用其中一项功能。厂商在产品指标中标注的防火墙xxM、 入侵防御xxM、防病毒xxM指的是单开此功能时所能达到的最大值，而一旦用户将这些功能同时开启时，性能的巨大降幅让人难以接受。如，2005年市场上 出现的第一代UTM产品，当防火墙、入侵防御和防病毒同时打开时，性能下降幅度普遍超过50%，甚至达到80%或者90%之多。因此，在项目实施过程中经 常能看到工程师们建议用户只使用开某个功能，之后再逐步打开其他功能的场景。用户购买的一台UTM产品，实际上等于购买了一台防火墙“或”一台IPS “或”一台防毒墙。

　　UTM=防火墙“或”IPS“或”防毒墙“或“其他单独防护手段?这个等式显然违背了用户购买UTM产品进行综合防 护的初衷。随着技术的不断发展可以分析出一个成功的UTM产品绝不应该像“瑞士军刀”，而应该像“复合装甲”一样能够提供一体化多层次的防御和简单易用的 安装方式。

如何进行UTM产品的选择与测试

　　采购产品的前提就是要明确需求，结合自身的需求我们在选择合适的产品。首先，我们需要确认是为了核心网络还是为了普通网络进行采购。如果是核心网络，对安全产品的首要要求是高性能和高稳定性，选择UTM产品也许并不合适。而普通网络，特别是分支机构网络，对安全产品的首要要求是综合防护能力和易用性，选择UTM产品则是明智之举。

　　然后，我们需要考虑，我们到底需要什么样的功能组合?在考虑功能组合时，最好能够遵循只有必须在网关上完成的功能才在UTM中进行考虑的原则，以尽量的提高部署UTM后整个网络的可用性。在这个原则下，防火墙+IPS+AV应该是最基本的要求。然后从加强内部管理出发，上网行为管理和流量控制也是比较有用的功能。在有需要的场合，将VPN放在UTM中也比较适合。

　　基于以上几点，在不考虑硬件性能瓶颈的时候，较好的UTM功能组合应为：FW+IPS+AV(主要处理网络病毒，文件病毒交给防毒软件)+应用管理+流控+VPN(IPSec和SSL)。考虑到硬件性能和预算限制时，可以根据需要，先把VPN(特别是SSL VPN)和流控去掉，看看是否能够满足硬件性能和预算限制;如果还不行，再把应用管理划掉;再不行则牺牲AV功能。

　　除以上功能外，好的UTM产品还应具备良好的易用性。例如在设备故障时保证网络不中断的硬件Bypass能力，根据用户需求利用预设模块进行策略快速切换的能力，在大规模部署时的集中管理能力等等。

厂商看点

　　化繁为简--启明星辰UTM2网关

　　启明星辰UTM2网关•终端统一安全套件是一个完整的网络安全解决方案，由天清汉马USG一体化安全网关与天?内网安全风险管理与审计系统两款产品融合而成。在这套方案中，USG系列产品除了提供常规的多种安全功能外，还扮演着可信接入体系中认证者与执行者的角色。而经过定制的天?客户端软件一方面充当内网终端的认证代理，与USG进行准入校验;一方面接收加载有针对性的安全策略，提高内网终端的安全性。终端的策略配置与管理功能，则被无缝嵌入到新版本USG产品的WebUI中，有效提升了部署与维护的效率。

　　联想网御一键配置搞定网关安全

　　联想网御Power V-220UTM是一款提供了防火墙、入侵检测与防护、网关防病毒、绿色上网、VPN和垃圾邮件过滤六大功能，还全面支持策略管理、IM/P2P管理、负载均衡、双机热备和带宽管理等功能的网络边界综合防护设备，能够全面解决入侵、病毒、网络滥用等常见网络出口处安全威胁。但是，在提供了如此多功能的同时，联想网御Power V-220 UTM的安装配置却极其的简单。

　 　对于大部分的用户而言，只需将联想网御Power V-220 UTM透明接入在网络出口处，即可实现对网络的综合防护。在联想网御Power V-220 UTM的面板右方提供了三色快捷按键，用户根据自己的安全需求，只需按下不同的按键，即可在所需的工作模式中进行切换。

　　Fortinet X-UTM安全平台开启全新篇章

　　作为UTM产品最被用户担忧的性能表现，无疑也是X-UTM体系最受关注的问题之一。而对于日新月异的IT行业，X-UTM标准显然不可能界定具体的性能基准。而且从实际应用角度出发，从具体的一些产品表征来分析，也可以直观的帮助辨识符合X-UTM要求的产品。

　 　X-UTM标准主要集中于界定UTM产品的集成性、扩展性和实用性，这些势必都需要足够的硬件性能支撑。而这些性能需要，远远不是通过一些开发通用网络 硬件设备的体系架构所能达到的。这些架构往往需要保证对平台通用性和亲和力的关注，以保证广泛的开发者和开发厂商覆盖。从Fortinet的硬件平台设计 可见，其中包含了ASIC和NP等多种不同的处理器核心，其采用的芯片设计和制造技术具有相当的差异。这些处理器在整个Fortinet的X-UTM产品 中具有相当明确的分工，但又能够很好融合并根据实际情况进行变通。

　　Hillstone引领后“多核”时代

　　多核Plus G2新一代安全架构是Hillstone山石网科公司在多核Plus架构的基础上进一步发展的安全系统架构，它为网络安全网关在安全应用领域构建了全新的提升空间，在系统化集成安全网关防火墙、流量管理、病毒过滤、VPN等基本要素的同时，更增加了高性能的应用识别、上网行为管理、入侵防御及上网行为审计等多种功能，并有效改善多功能协作与整体性能优化。

　 　SG系列是Hillstone山石网科基于创新的多核Plus G2架构推出的新一代多核安全网关，为实现网络的安全可视化提供了坚强的平台。该系列新增入侵防御，内容过滤，URL内容过滤、上网行为管理和应用流量整 形等功能，实现基于角色和应用的安全可视化，引擎全部采用业界先进的并行流扫描技术，且均为用户提供实时、可靠的在线升级服务。突破了传统UTM在开启病 毒防护或IPS等功能所带来的性能下降的局限。

标签： ssl ssl vpn 安全 防火墙 开发者 网络 网络安全 网络安全解决方案 选择

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。