圖一
目前,低端UTM產(chǎn)品在一些中小企業(yè)����,特別是一些小型企業(yè)或公司用戶中的應(yīng)用還是相對(duì)比較多的。對(duì)于這些的中小企業(yè)而言����,他們的網(wǎng)絡(luò)系統(tǒng)帶寬較低,對(duì)安全的要求也不高��。另外��,他們的項(xiàng)目預(yù)算也通常有限����,因此,這些中小企業(yè)對(duì)UTM產(chǎn)品的需求主要集中在:安全功能全�、管理簡(jiǎn)單、價(jià)格便宜等方面���,而對(duì) UTM的性能����、安全的專業(yè)性等方面并沒有太多的要求。
由于低端UTM產(chǎn)品在性能上的一些限制�����,在中大型企業(yè)的應(yīng)用相對(duì)較少�����。事實(shí)上��,在中大型企業(yè)用戶�,通常應(yīng)用的是一些高端的UTM產(chǎn)品。這些產(chǎn)品通常為 機(jī)架板卡式結(jié)構(gòu)���,各安全功能通過獨(dú)立的硬件板卡提供��,每一塊板卡均配置了獨(dú)立的系統(tǒng)資源���,包括獨(dú)立的CPU、獨(dú)立的存儲(chǔ)���、獨(dú)立的總線等�����。板卡間不存在資源 的競(jìng)爭(zhēng)��,因此能夠做到即使是多個(gè)安全功能全部打開的情況下�����,仍然保證系統(tǒng)的高性能���。而在安全功能方面,高端UTM上的每一種安全功能均為所謂的 “best-of-breed”同類最佳的安全應(yīng)用���,通常是在全球市場(chǎng)及技術(shù)均居前列的安全引擎���,保證了系統(tǒng)的高安全性及足夠的安全功能。一些中大型企業(yè) 應(yīng)用了這些產(chǎn)品�����,效果良好�,包括大型制造業(yè)����、汽車�����、電力�����、學(xué)校�、政府,以及金融類�����、運(yùn)營商用戶等�。
此外,大型企業(yè)和中小型企業(yè)對(duì)安全產(chǎn)品的需求存在較大區(qū)別�����。大型企業(yè)使用UTM產(chǎn)品注重產(chǎn)品的可用性����、可靠性和可擴(kuò)展性�。為避免出現(xiàn)系統(tǒng)的單點(diǎn)故障導(dǎo)致正常的應(yīng)用受到影響��,要求UTM產(chǎn)品具有雙機(jī)熱備��、UTM群集等功能;高性能�����、多功能的合成安全產(chǎn)品來解決網(wǎng)絡(luò)中主要的安全威脅��,如防火墻�����、入侵檢測(cè)與防護(hù)�����、網(wǎng)關(guān)防病毒�、內(nèi)容過濾和VPN等功能;擴(kuò)展功能模塊或增加網(wǎng)絡(luò)接口模塊為將來的安全系統(tǒng)擴(kuò)展留下空間���。
從行業(yè)角度而言����,各行業(yè)對(duì)于網(wǎng)絡(luò)安全的關(guān)注點(diǎn)也有所不同,比如教育行業(yè):訪問不合適的內(nèi)容��,造成潛在的責(zé)任問題;傳播病毒���、蠕蟲和其他基于內(nèi)容的攻擊;由于濫用校園網(wǎng)消耗寬帶資源��,降低網(wǎng)絡(luò)效率��。政府��、金融行業(yè):識(shí)別和防護(hù)從外部和內(nèi)部進(jìn)入的混合型安全攻擊;阻擋病毒��、蠕蟲等通過Email��、Web 和文件的傳遞進(jìn)入網(wǎng)絡(luò)�����。醫(yī)療行業(yè):確保病人記錄以加密格式存儲(chǔ)和傳輸;確保醫(yī)院的IT系統(tǒng)不會(huì)因網(wǎng)絡(luò)入侵而受損��。這些彼此不同的關(guān)注點(diǎn)對(duì)于UTM產(chǎn)品的應(yīng)用也存在不同側(cè)重的影響��。
深入U(xiǎn)TM
UTM需要在不影響網(wǎng)絡(luò)性能情況下檢測(cè)有害的病毒����、蠕蟲及其它基于內(nèi)容的安全威脅的產(chǎn)品,有的系統(tǒng)不僅集成了防火墻����、VPN、入侵檢測(cè)功能���,還融入內(nèi)容過濾和流量控制功能�,提供了高性價(jià)比和強(qiáng)有力的解決方案��。由于UTM系統(tǒng)需要強(qiáng)勁的處理能力和更大容量的內(nèi)存來支持�����,消耗的資源必然是很大的�,僅利用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)����,要實(shí)現(xiàn)應(yīng)用層處理,往往在性能上達(dá)不到要求����。只有解決功能與性能的矛盾,UTM才能既實(shí)現(xiàn)常規(guī)的網(wǎng)絡(luò)級(jí)安全(例如防火墻功能),又能在網(wǎng)絡(luò)界面高速地處理應(yīng)用級(jí)安全功能(例如病毒與蠕蟲掃描)�����。雖然UTM實(shí)現(xiàn)的技術(shù)途徑可以有多種�����,采用ASIC解決功能與性能矛盾����,仍是公認(rèn)的最有效主要方法。能夠支撐一個(gè)優(yōu)秀的UTM設(shè)備��,最主要有三種優(yōu)秀技術(shù)實(shí)現(xiàn)途徑來保障�。
其一,ASIC加速技術(shù)��。在設(shè)計(jì)UTM系統(tǒng)的總體方案中�,有著兩類不同加速用途的ASIC,也就是說���,它們朝著兩個(gè)方向發(fā)展:一是應(yīng)用層掃描加速����,另一是防火墻線速包處理加速。
圖二
其二���,定制的操作系統(tǒng)(OS)�。實(shí)時(shí)性是UTM系統(tǒng)的精髓����。多功能集成的安全平臺(tái)需要一套專用的強(qiáng)化安全的定制操作系統(tǒng)。這一OS提供精簡(jiǎn)的���、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)���。 通過基于內(nèi)容處理的硬件加速,加上智能排隊(duì)和管道管理�����,OS使各種類型流量的處理時(shí)間達(dá)到最小�,從而給用戶帶來最好的實(shí)時(shí)性,有效地實(shí)現(xiàn)防病毒�����、防火墻�����、VPN和IPS等功能�����。
其三���,高級(jí)檢測(cè)技術(shù)����。貫穿于UTM整體的一條主線實(shí)際是高級(jí)檢測(cè)技術(shù)�。先進(jìn)的完全內(nèi)容檢測(cè)技術(shù)(CCI)能夠掃描和檢測(cè)整個(gè)OSI堆棧模型中最新的安全威脅,與其它單純檢查包頭或“深度包檢測(cè)”的安全技術(shù)不同�,CCI技術(shù)重組文件和會(huì)話信息,可以提供強(qiáng)大的掃描和檢測(cè)能力�����。只有通過重組�����,一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)���。為了補(bǔ)償先進(jìn)檢測(cè)技術(shù)帶來的性能延遲���,UTM使用ASIC芯片來為特征掃描���、加密/解密和SSL等功能提供硬件加速。
UTM比拼傳統(tǒng)防火墻
UTM與傳統(tǒng)的防火墻有哪些本質(zhì)區(qū)別呢�����?主要體現(xiàn)在以下幾個(gè)方面�。
圖三
其一,防火墻功能模塊工作在七層網(wǎng)絡(luò)協(xié)議的第三層��。大多數(shù)傳統(tǒng)防火墻用一種狀態(tài)檢測(cè)技術(shù)檢查和轉(zhuǎn)發(fā)TCP/IP包����。UTM中的防火墻在工作中不僅僅實(shí)現(xiàn)了傳統(tǒng)的狀態(tài)檢測(cè)包過濾功能,而且還決定了防病毒���、入侵檢測(cè)��、VPN等功能是否開啟以及它們的工作模式���。通過防火墻的策略��,各種功能可以實(shí)現(xiàn)更好的融合。
其二���,從整個(gè)系統(tǒng)角度講�,UTM防火墻要實(shí)現(xiàn)的不僅僅是網(wǎng)絡(luò)訪問的控制��,同時(shí)也要實(shí)現(xiàn)數(shù)據(jù)包的識(shí)別與轉(zhuǎn)發(fā)��,例如HTTP����、Mail等協(xié)議的識(shí)別與轉(zhuǎn)發(fā),對(duì)相應(yīng)的模塊進(jìn)行處理���, 從而減輕其他模塊對(duì)數(shù)據(jù)處理的工作量�����,提高系統(tǒng)性能和效率�。
其三����,UTM防火墻能植入很多更高的新功能��,例如虛擬域�����、動(dòng)態(tài)路由和多播路由�����,它支持各種新技術(shù)���,例如VoIP、H.323�、SIP、IM和P2P等�����,起點(diǎn)高�����,應(yīng)用前景更廣��,適應(yīng)性更強(qiáng)。
其四��,從UTM的操作界面上����,用戶就可以清楚地看出�����,UTM防火墻策略有很多種選擇����,宛如在一個(gè)網(wǎng)絡(luò)門戶大平臺(tái)上,植入內(nèi)容豐富的機(jī)制��,層次分明����、操作簡(jiǎn)單、同時(shí)又靈活實(shí)用����。隨著策略的設(shè)置,網(wǎng)絡(luò)的防護(hù)也隨之展開星羅密布的安全哨卡�。
同時(shí),UTM的網(wǎng)關(guān)型防病毒與主機(jī)型防病毒不同��。網(wǎng)關(guān)型防病毒作為安全網(wǎng)關(guān),必須關(guān)閉脆弱窗口��,在網(wǎng)絡(luò)的邊界處阻擋病毒蠕蟲入侵網(wǎng)絡(luò)��,保護(hù)內(nèi)部的網(wǎng)絡(luò)安全�。要做到這點(diǎn),網(wǎng)關(guān)必須能夠掃描郵件和Web內(nèi)容��,在病毒到達(dá)內(nèi)部網(wǎng)絡(luò)時(shí)進(jìn)行清除���。病毒和蠕蟲防御功能要求能夠百分之百檢測(cè)��、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲���,實(shí)時(shí)地掃描輸入和輸出郵件及其附件,支持HTTP���、SMTP����、POP3�����、IMAP和FTP協(xié)議,實(shí)現(xiàn)高速度掃描技術(shù)��。安全網(wǎng)關(guān)還要包括反間諜插件��,對(duì)流行的灰色軟件予以識(shí)別和阻斷�,同時(shí),能夠消除VPN隧道的病毒和蠕蟲�����,阻止遠(yuǎn)程用戶及合作伙伴的病毒傳播�,病毒特征庫則可以在網(wǎng)上在線自動(dòng)更新�����。
束語
用戶需要明確一點(diǎn):UTM的設(shè)計(jì)思路始終是把安全放在第一位�����,只有在安全特性之上�����,才能談性能。
圖四
因此UTM應(yīng)該是產(chǎn)品設(shè)計(jì)上保證這些安全能力是有機(jī)融合甚至是完全一體的�,這樣才能真正實(shí)現(xiàn)簡(jiǎn)化安全解決方案,讓用戶的安全變得簡(jiǎn)單����。
