2009年新年伊始,伴随着金融海啸的冲击,以IDC为代表的市场分析公司全球推出了应对经济危机的全新信息安全技术与标准。其中最为著名的,就是目前大红大紫的X-UTM技术标准(也称为可扩展UTM或企业级UTM)。
一问:X-UTM路向何方
根据IDC的分析报告,X-UTM标准的推出,主要是考虑到企业在经济环境不景气,IT预算缩水的大背景下,安全产品与技术方案必须满足企业用户安全应用与管理的需求。与传统UTM技术不同的是,X-UTM技术标准更加关注产品的功能集成度、产品的网络层强壮性、技术融合的可用性、简化管理复杂度、灵活的产品部署,以及全功能的原发型响应支持。
Fortinet中国区技术总监李宏凯表示,早先UTM技术的推广和应用最初是从中小型企业开始的,因为UTM产品真正帮助他们节省了费用和维护成本,实现了安全的最优化实施。但大部分高端用户依然比较支持传统的安全分布式的设备和实施方式。另外一方面,这些大型企业对UTM技术的成熟性和实际效果不是很信任。
因此,X-UTM的扩展性概念一个方面就是希望高端用户能接受这样的技术。近年来安全威胁的融合性也逐渐使高端用户意识到分布式安全的防御弱点和动态安全的管理成本问题,但对UTM的性能和技术还有一定的排斥心理。X-UTM技术对硬件技术和软件系统提出了更高的要求,使真正的X-UTM产品可以完全满足高端用户的实际需求。
从X-UTM的技术标准分析,其核心内涵就是提高了UTM安全防御技术的实用性和扩展性,使其优秀的多层安全技术紧密融合并有效使用。根据IDC的观点,X是扩展性的标记,代表没有具体的限制。因此,X-UTM的技术本身就意味着对未来的扩展性支持,可以说是下一代安全网关的完美诠释,甚至用终结描述也不为过。
二问:X-UTM的技术标准
事实上,IDC提出的X-UTM概念,主要确定了安全产品的一种发展方向和以安全需求为导向的扩展性标准,其中没有固定的具体功能标准。这点也正体现了UTM技术发展的可持续性。
换句话说,UTM的目的是在一个系统上解决用户所面临的绝大大部分安全问题。除了今天企业用户所了解的防火墙、防病毒、反垃圾邮件、IPS入侵防御、网页过滤等安全功能外,基于企业的网关边界来提供安全检测技术已经成为X-UTM研究发展的基础。例如Fortinet最新系统就增加了DLP数据泄密保护、广域网加速、SSL加密数据安全检测等多项扩展功能。这些都可以为企业用户提供更完善和底成本的安全管理部署。
X-UTM作为下一代UTM技术,必须解决UTM性能上的问题。除此之外,X-UTM应该针对安全攻防发展的趋势,对安全做更加细粒度的控制,做到对用户和应用的精确识别和管理。所以不排除X-UTM设备占领大型企业和高端行业用户的可能。
从Fortinet倡导的理念看,X-UTM应该具备灵活的功能性和统一的管理性两类技术标准。相对而言,Fortinet新推出的FOS4.0系统完全体现了X-UTM的可定制化、扩展性和统一管理的技术标准。其X-UTM的核心系统不仅完全扩展了网络层到应用层的安全和管理,而且进行了一定的扩展设计。
三问:X-UTM网络层情结
UTM是统一威胁管理的安全防护,是可以配置在企业网络出口、服务器前端的设备,以便实现不同业务网络之间等各种应用环境下的网络到应用层的全防卫防御。
Fortinet的看法是,X-UTM和目前市场上的Web网关包括部分行为管理的产品不是一个概念。类似的产品只是把UTM或者X-UTM的部分功能整合在一起,以部分应用为基础进行销售,依然是以某种应用为防御基础的。例如Web安全网关仅对基于HTTP的应用进行保护,网络层安全和其他协议的内容安全是不进行防御的。事实上,Fortinet公司的产品线中也有专用的Web安全网关,但这决不是UTM或者X-UTM的概念。
客观的说,这些独立的安全产品有一定的市场应用空间,对一定的用户环境是有价值的。具体来说,要区分X-UTM和这些专向产品的特点。用户可以根据具体的实际需求进行选择,专向产品的保护对象和功能覆盖是不能和X-UTM产品比较的
应该说,只有在真正解决了网络层安全的基础上才能提供有平台基础来承载X-UTM的多样化应用安全防御。UTM也好,X-UTM也罢,其产品首先是个高速的网络层安全设备,保证基本的网络层数据的最大数据转发性能和低延迟是基础。否则在实际网络中,接口的处理性能出现问题,就更谈不上应用层数据的处理了。
此前IDC曾经撰文表示,在X-UTM的系统结构中是分层多引擎处理的,不同的应用有不同的检测系统,不需要上层处理的网络数据包不会有任何的影响,直接在接口芯片进行快速转发,因此可以实现不同数据包的并发处理。
真实的网络环境中混杂着不同的协议,不同的数据包大小,不同的复杂应用, X-UTM的特点就在于其对真正混合数据的全面处理技术,不是单一的协议支持,单一的防御技术,因此,网络层的高速性能是前提和基础。
当然,这样说并非忽视对HTTP协议的深层解析。但是,企业内部和网络上的协议不仅没有简化的趋势,反而有快速发展的势头。P2P、IM等等网络应用越来越多,协议的变化也越来越频繁。作为实现统一安全管理的设备,X-UTM必须对这些变化做即时的响应,才能保证用户的网络正常运行。
对此,IDC的看法是,X-UTM是对一个安全厂商综合实力的考验,不但要考验厂商的防火墙、VPN等传统安全的开发和市场适应的能力,同时也是厂商综合安全的能力的考验,比如防病毒、入侵防御、攻击研究、Web应用过滤等;另外,这也是对厂商的网络应用的开发能力的考验,动态路由协议的支持、网络管理能力、带宽管理能力等;最后,这还是对厂商硬件设计能力的巨大的考验。
Fortinet认为,多功能综合安全网关是一个复杂的系统,不能仅仅关注HTTP一个点,而是要结合各种应用,包括对VoIP的安全保护。这样算下来,X-UTM对系统的硬件的处理能力要求极高。从实际情况看,比起专有的应用保护设备,X-UTM性能开销要高出多个数量级。
换言之,如果厂家没有强大的硬件研发能力,靠传统的工控机厂商提供商品化的硬件,是无法满足X-UTM对高性能的要求的。同时,如何使高性能的硬件在系统中发挥最大的能力,则需要一套实时的多任务并行处理的安全操作系统,这对于大多数的安全厂商又是一个很大的难题。所以,只有具有各方面综合实力的厂商才能做X-UTM。
本文转自d1net(转载)