Cisco認證網(wǎng)絡安全:UTM設備的選擇與評判

自從2004年IDC提出UTM的概念以來，在其后的四年間，UTM的發(fā)展可謂迅速，在美國市場，UTM的市場份額已經(jīng)超越防火墻，成為安關市場的主流。在中國，UTM的遠大前程也展露無疑：根據(jù)IDC的統(tǒng)計，2007年UTM硬件增長迅猛，“全年同比增長87.6%，其中下半年同比增長105.4%，是2007 年下半年增長速度最快的安全子市場”(IDC《中國IT安全市場分析與預測，2007》)。而在同期，防火墻的市場份額則開始出現(xiàn)衰退。2008年上半年，這個趨勢更加明顯，越來越多的用戶開始選擇UTM，或者從防火墻升級到UTM，來為自己的網(wǎng)絡提供更深入、更立體、更全面的安全防御。
    按照產(chǎn)品生命周期的理論，我們可以看到目前的防火墻正從成熟期向衰退期過渡，而UTM則正穩(wěn)步邁向成熟。但對于防火墻產(chǎn)品，由于標準化程度相對較高，用戶基本上不存在選擇的困難。而對于UTM，普通用戶在選擇時通常是一頭霧水：由于目前針對UTM尚沒有形成正式的產(chǎn)品規(guī)范，因此各廠家實現(xiàn)UTM的技術(shù)方式，以及UTM所包含的功能特性都存在一定的差異，甚至有個別廠商僅僅將防火墻進行簡單包裝，就打著UTM的旗號進行宣傳，給用戶造成了很大的誤導。
    具體到UTM的選擇上，用戶可能存在更多的疑惑：哪些功能是必須的?哪些功能是可選的?哪些性能指標是決定性的?如何選擇性能合適的設備?如何才能實現(xiàn)更快捷高效的部署管理……
    上述問題可以歸納為：如何判斷一款安全設備是合格的UTM設備，以及如何根據(jù)實際需求來選擇合適的UTM。要回答這個問題，一般來說需要從功能、性能和管理性三個方面進行考量。
    1. 功能的要求
    在UTM的所有功能中，并不是所有的功能都是必要的，用戶需要根據(jù)自己的需求來確定采購目標。但一般來說，UTM設備應該包括如下基本功能，才具備基本的可用性：
    基礎防火墻功能：包括狀態(tài)過濾、訪問控制、NAT轉(zhuǎn)換等，這些是防火墻的基本功能，也是UTM中必不可缺的功能。
    入侵防御(IPS)功能：入侵防御功能是UTM區(qū)別于防火墻的最基本特征。傳統(tǒng)防火墻具有的是2-4層的防御能力，對更高層的協(xié)議不具備檢測能力，而UTM正是通過入侵檢測和防御技術(shù)的實現(xiàn)，具有了2-7層的全面防御能力。從這一個角度來說，入侵檢測能力的高低，是衡量一款UTM是否專業(yè)的重要標準。
    防病毒功能：UTM所采用的網(wǎng)絡防病毒引擎同桌面防病毒產(chǎn)品在實現(xiàn)上有一定的差異，病毒的實際檢測率也是選擇UTM設備的重要參考。
    VPN功能：UTM應支持最基本的VPN功能，即端到端的IPSec VPN。
    高可用性(HA)：由于UTM整合了眾多的安全特性，使得其對穩(wěn)定性的要求較一般安全設備要更加苛刻，因為一旦發(fā)生故障，可能會導致所有安全防御功能失效，造成無法挽回的損失。UTM應具備高可用性，能夠采用主備模式，在檢測到鏈路和設備故障時由備份設備取代主設備，提供不間斷的安全防護。
    上述功能可認為是UTM的標準功能，如果一款設備不具備上述所有功能，則不能被稱為合格的UTM設備。譬如有的廠家推出的產(chǎn)品雖然號稱UTM，但只是在傳統(tǒng)防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵御網(wǎng)絡層的DOS攻擊而不具備入侵防御功能，在本質(zhì)上仍然是防火墻的有限增強，其所能滿足的用戶價值也是有限的。
    除了上述功能，視不同用戶的需求，UTM可能還需要實現(xiàn)以下功能：
    動態(tài)路由功能：實現(xiàn)RIP、OSPF等路由功能，對于小型客戶，將路由器部分功能整合到UTM中，可以節(jié)省投資，并使得網(wǎng)絡接入更加扁平、易管理。
    擴展的VPN功能：通過SSL VPN和L2TP VPN，可以提供更靈活的VPN組網(wǎng)能力，包括無客戶端或瘦客戶端的VPN部署，對動態(tài)用戶的支持等。
    內(nèi)容過濾：狹義的內(nèi)容過濾是對網(wǎng)頁內(nèi)容、URL、網(wǎng)頁控件等的過濾，廣義的內(nèi)容過濾還包括對各種互聯(lián)網(wǎng)應用比如IM/P2P、網(wǎng)絡游戲、股票軟件、流媒體應用等的檢測和控制;在業(yè)務互聯(lián)網(wǎng)化的今天，這部分功能對用戶特別是對企業(yè)用戶，價值日益凸顯。
    反垃圾郵件：對于UTM中是否實現(xiàn)反垃圾郵件，存在一定的爭議，但不可否認的是在UTM中實現(xiàn)反垃圾郵件有一定的先天優(yōu)勢，借助入侵防御引擎的深度掃描能力，對通過郵件的入侵可以達到良好的防御效果。而對垃圾郵件的處理性能上，UTM較專業(yè)的反垃圾郵件網(wǎng)關仍然有一定的差距。
    負載分擔功能：在雙機熱備的基礎之上，通過HA雙主或集群的方式，實現(xiàn)UTM的負載分擔。在對流量要求較高的場景下，通過負載分擔可以提高安關整體的數(shù)據(jù)處理能力。
    2. 性能的要求
    對UTM產(chǎn)品來說，對其性能的考量較傳統(tǒng)網(wǎng)絡設備或防火墻來說要復雜的多。UTM的性能取決于其使用的具體功能：使用不同的安全特性，甚至對同一安全特性的不同配置方式，對UTM性能的影響都是不一樣的。舉例來說，如果在UTM中同時使用防病毒和內(nèi)容過濾功能，性能肯定比只使用防病毒功能要低;而在只使用防病毒功能的情況下，對所有業(yè)務流量進行病毒掃描肯定比只對Web業(yè)務流量進行掃描的性能要低。
    為了簡化起見，在評測UTM的性能時一般只考慮兩種場景：一是針對防火墻的性能，也就是UTM只啟用基礎防火墻功能，而不啟用防病毒、入侵防御等高級安全特性;另外是針對UTM全特性的性能，也就是開啟防病毒、入侵防御、內(nèi)容過濾甚至反垃圾郵件等所有高級安全特性。在第一種場景下，其性能的評估跟防火墻的性能評估方法是一致的。在對UTM全特性的性能評估中，主要考慮以下關鍵指標：
    UTM應用層轉(zhuǎn)發(fā)性能：傳統(tǒng)防火墻采用吞吐量來評估轉(zhuǎn)發(fā)性能，而UTM由于工作在2到7層，單純使用IP或UDP的吞吐量測試不具有實際意義，因此使用應用層轉(zhuǎn)發(fā)性能來進行評估更加準確。通?？刹捎肏TTP并進行文件傳輸，來評估UTM所支持的應用層轉(zhuǎn)發(fā)性能。
    并發(fā)連接數(shù)：并發(fā)連接數(shù)是UTM可以同時維護的用戶連接數(shù)，一般來說同一用戶會存在多個連接。并發(fā)連接數(shù)越高，UTM所能支持的連接用戶就越多。
    新建連接速率：新建連接速率是UTM每秒鐘能夠處理用戶的應用層請求的速率，它代表了設備在面對大量網(wǎng)絡終端的訪問請求時，所能體現(xiàn)出的響應速度。如果新建連接速率，會導致用戶的網(wǎng)絡訪問速度慢等問題。
    對于UTM來說，自然是性能越高，所能提供的數(shù)據(jù)處理能力更高，但高性能的處理設備必然費用昂貴，用戶在選擇時需要根據(jù)預算選擇具有合適處理能力的產(chǎn)品即可。對于中小企業(yè)，可能選擇具有二三十兆轉(zhuǎn)發(fā)性能的UTM產(chǎn)品就已足夠，而對于大型企業(yè)或運營級用戶，則需要幾百兆甚至G比特的處理能力。
    3. 管理性要求
    由于支持眾多的安全特性，UTM的系統(tǒng)管理面臨很大的挑戰(zhàn)。如何將防火墻、VPN、防病毒、入侵防御、反垃圾郵件這樣眾多的功能有機地結(jié)合起來，使其既能方便配置，又能更好地協(xié)同工作，是UTM的系統(tǒng)管理要解決的首要問題。易用性是UTM系統(tǒng)管理最基本的要求，除此之外，還必須考慮到對病毒和入侵防御特征庫的升級更新、集中部署等情況的支持。
    易用性：由于UTM包含了眾多的安全特性，因此能否方便快捷地部署，成為了用戶的首要訴求。曾有用戶調(diào)查顯示，用戶對UTM易用性的關注超越了入侵防御和防病毒，成為用戶在選購UTM時最關注的問題。
    集中管理能力：UTM應該具有基于組的集群管理功能，當在一個網(wǎng)絡中部署多臺UTM設備時，可以通過集中管理中心來對設備組進行配置，這樣經(jīng)過一次配置，組內(nèi)所有的UTM設備可以整體生效。另外通過集群管理，可以把分散在不同地方的UTM設備的日志進行統(tǒng)一分析處理，形成的網(wǎng)絡安全風險分析報告。
    病毒庫和入侵防御特征庫的在線升級：跟防火墻不同，UTM的病毒庫、入侵特征庫、反垃圾郵件庫必須及時進行更新，這樣才能具有最新的安全防護能力，因此需要對UTM定期進行升級。尤其是通過在線升級的方式，能夠保證設備在最短的時間內(nèi)獲得更新。能否提供在線升級，以及在線升級的頻度，是考慮廠家實力和技術(shù)水平的重要指標。
    日志和流量處理能力：UTM應能夠?qū)Σ《?、入侵等高威脅性事件進行日志記錄，并通過郵件等方式進行告警;應能通過NetFlow等技術(shù)對網(wǎng)絡流量進行分析，可以查詢實時流量和歷史流量，這不僅可以幫助管理者更好地評估網(wǎng)絡狀況，還能夠通過異常流量分析，發(fā)現(xiàn)潛伏的網(wǎng)絡威脅。
    根據(jù)對功能、性能和管理性三個方面的評估，用戶基本上能夠選擇合格、合適的UTM設備。目前可供選擇的UTM品牌眾多，國外的包括Juniper、Fortinet、Sonicwall、Checkpoint等主流信息安全廠商都推出了自己的UTM產(chǎn)品。在國內(nèi)，啟明星辰公司于2005年率先發(fā)布天清漢馬系列UTM產(chǎn)品，宣告國內(nèi)安全廠商正式進軍UTM領域，隨后安氏領信、聯(lián)想網(wǎng)御、天融信等公司也紛紛通過自研或合作的方式，推出了自己的UTM產(chǎn)品。在國內(nèi)外廠商的大力投入下，中國的UTM市場正進入群雄逐鹿、精彩紛呈的階段。