认为受条件所限,暂时从权者有之——
Juniper观点是防火墙技术已经很难抵御现有的多种网络安全威胁,若仅从功能上看,UTM无疑可以很好地解决问题,但在安全设备硬件条件没有质地飞跃条件下,IPS和防火墙从功能上应该分开。所以Juniper将防火墙和IPS以不同模块的形式集成在一个设备内,同时二者保持配置的相对独立性。
东软的观点是,目前的UTM亟待解决三个问题。第一,多核平台是UTM性能满足部署要求的前提条件,如果多核技术走向成熟,比如INTEL的80核的CPU产品实现量产,完全可以突破目前硬件平台的处理瓶颈;第二,UTM在软件上最大的挑战在于计算任务的并行化以及攻击防御开发的模式上。一个UTM产品必须能够在协议、漏洞、攻击以及业务等多个层次上进行检测,才能提供全方位的防护;第三,UTM需要集成高性能的安全协处理器以保证加解密,压缩/解压缩等安全防护外围处理的性能。这三方面的问题解决后,UTM才会真正成熟和普及。
从新架构是方向
无论下一代防火墙到底是不是今天的UTM,有一点是可以肯定的——网关类安全设备功能非单一性将是总趋势。而解决今天UTM所面临的效能与性能平衡问题,其出路在于从设计构下一代防火墙架构。
作为网管员,或许你早已知道,目前UTM硬件技术则是由两种不同的平台之上发展而来,一种是采用防火墙架构平台,另一种则是基于入侵检测技术产品平台之上研发而来。
一时间,技术不同技术的某些产品供应商均表明自身技术上有优势,而对方技术有瑕疵。
防火墙技术起家的厂商认为,以入侵检测为基础的UTM设备在抵御网络攻击能力不强;而基于入侵基础技术之上的UTM设备供应商则指责说,基于防火墙技术的UTM产品,在打开了内容过滤或反病毒功能后,设备性能会极端下降。
一位业内资深安全专家曾对笔者言道,下一代防火墙若要让用户广泛接受,一定不能走上述UTM发展的老路。下一代防火墙不存在是采用防火墙,还是采用入侵检测技术为基础平台,这一争论不休的问题。因为下一代防火墙设备将根据用户的实际需求,从新构建其内部软硬件系统,增添更多的功能,现有设备无论是基于什么样的平台,都不一定能适用于未来的发展需要,重新设计UTM平台架构则是大势所趋。
“很难对从防火墙和IPS产品演进而来的UTM产品做好和不好的评价,”SonicWALL中国区技术经理蔡永生对上述争论的看法是,“UTM产品关键看其实现的功能和性能,如防病毒和入侵的的数量、签名更新的速度、产品性能等。”正如蔡永生所言,防火墙和入侵检测是UTM功能必须要具备信息安全功能,用户是不会看使用的UTM产品是基于哪种平台架构,只要好使管用就好。
而且我们断言,下一代防火墙这一产品若要具备长久的生命力,一定不会是防火墙或者是入侵检测基础上的多种信息安全功能的简单叠加。