【IT168 专稿】越来越多的厂商推出了UTM产品,里面也不乏有鱼目混珠的产品,把几个功能简单加在一起就打着UTM的幌子欺骗用户。为了帮助广大用户选型,在此列举了UTM产品现状以及在选购UTM设备时需要重点考察的几个部分。
市场中UTM现状
但是,目前很多企业用户对于UTM产品存在一种“偏见”,即“多而不专”。由于 UTM是整合了防火墙、防病毒、入侵检测等多种安全功能,这样,UTM产品就能以一顶百得代替所有的安全产品,企业就不用去花费重金购买单独的安全产品, 从而有效地降低成本投入。殊不知,UTM把很多功能都集合在一起,好像“1+1+1=3”,但实际的应用情况并不只是简单地将多个“1”相加在一起。
正如任何事情都有其两面性一样,UTM的缺点也同样来自于它的整合性,由于UTM在一个设备上整合了多个安全功能模 块,受处理能力及成本的限制,UTM设备所实现的反垃圾邮件、反病毒等功能离单一安全设备的水平尚有一定的差距,达不到单一安全设备的安全级别。此 外,UTM设备在启用基本防火墙功能的情况下,再开启反病毒、入侵检测等耗费系统资源的应用模块时,整体性能会有所下降,某些产品甚至会有70%多的性能 下降。
需要注意的是,这些缺陷更多出现在低端UTM上,并不等同于所有的UTM均会存在这样的缺陷。在高端UTM领域,一些特有的技术设计会在很大程度上弥 补“多而不专”的缺陷。比如机架板卡式的高端UTM。它利用硬件板卡技术,每一种安全应用均有独立的CPU、存储、总线等,各安全应用之间不存在资源的竞 争,因此能够保证“鱼与熊掌兼得”,即使是在多种安全功能同时打开时,仍然能够保证整个UTM设备的高性能。同时还能够实现所谓“数据量安全调度”的能 力,提高UTM设备的处理效率。
UTM产品细分
经过这些年的发展,无论从产品架构、功能配置、还是用户选择上,UTM产品逐渐进入一个成熟的应用时期,高中低档产品各有针对,大中小型企业各取所需。
目前,低端UTM产品在一些中小企业,特别是一些小型企业或公司用户中的应用还是相对比较多的。对于这些的中小企业而言,他们的网络系统带宽较低,对安全的要求也不高。另外,他们的项目预算也通常有限,因此,这些中小企业对UTM产品的需求主要集中在:安全功能全、管理简单、价格便宜等方面,而对 UTM的性能、安全的专业性等方面并没有太多的要求。
由于低端UTM产品在性能上的一些限制,在中大型企业的应用相对较少。事实上,在中大型企业用户,通常应用的是一些高端的UTM产品。这些产品通常为 机架板卡式结构,各安全功能通过独立的硬件板卡提供,每一块板卡均配置了独立的系统资源,包括独立的CPU、独立的存储、独立的总线等。板卡间不存在资源 的竞争,因此能够做到即使是多个安全功能全部打开的情况下,仍然保证系统的高性能。而在安全功能方面,高端UTM上的每一种安全功能均为所谓的 “best-of-breed”同类非常好的的安全应用,通常是在全球市场及技术均居前列的安全引擎,保证了系统的高安全性及足够的安全功能。一些中大型企业 应用了这些产品,效果良好,包括大型制造业、汽车、电力、学校、政府,以及金融类、运营商用户等。
此外,大型企业和中小型企业对安全产品的需求存在较大区别。大型企业使用UTM产品注重产品的可用性、可靠性和可扩展性。为避免出现系统的单点故障导 致正常的应用受到影响,要求UTM产品具有双机热备、UTM群集等功能;高性能、多功能的合成安全产品来解决网络中主要的安全威胁,如防火墙、入侵检测与 防护、网关防病毒、内容过滤和VPN等功能;扩展功能模块或增加网络接口模块为将来的安全系统扩展留下空间。
UTM的优点在于整合化,它以较低的成本满足了企业对信息处理安全的大部分需求,避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作,并提供简单易用的界面给非专业的用户进行常规的维护工作。因此, UTM在企业中能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。
UTM选购关注以下几点
1.考察UTM的性能及稳定性
由于UTM将所有的安全功能置于一台设备之内,无形中也带给了我们更高的风险。一旦UTM设备出现问题,所有的安全防御措施将陷入停顿;而一旦UTM设备被成功侵入或突破,整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙,其他功能再好也是空谈。性能及稳定性包括几个方面,如设备抗攻击能力、性能处理技术等。
设备抗攻击能力是指UTM设备对各种攻击的抵抗能力。包括抵御攻击的种类、数量。特别是对DoS和DDoS攻击的抵抗力。建议选择采购的UTM必须集成有对防DoS攻击的能力(目前市面上很多UTM没有这个功能,造成很大的隐患)。性能处理技术方面可以考察UTM设备是否能按不同的服务分别处理模块(比如不是Http、Ftp或Pop3等协议的数据就不需经过杀毒模块和垃圾邮件处理模块),这样可以通过对不同服务的数据流采取不同的处理模式来减轻CPU负担,从而保证UTM网关对数据包处理的有效性。另外,还可以考察是否分优先级别处理不同业务模块,是否采用协处理器或集成加速卡来进行负荷分担处理等等。
另外,所选择的UTM设备性能也一定要满足用户目前的用户容量和未来几年内的用户扩展要求。
2.考察UTM的功能模块
通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。在这些眼花缭乱的功能里,用户应该有一双明亮的眼睛。因为并不是每一个功能都是需要的,用户不必要为了一些不需要的功能花冤枉钱。当然,价钱相等的情况下功能越多越好。当前随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面因为缺乏有效的管理机制,也给企业带来更多的内部安全威胁,包括:员工效率管理的挑战、内部机密泄漏的挑战、机构承担法律责任的挑战、带宽利用率不足的挑战等。目前有些厂商为了解决此互联网滥用的问题,在UTM设备里面也集成了强大的上网行为管理模块,包括访问控制、监控审计,我们建议用户在选型UTM设备的时候,除了考察外部安全功能模块外,也最好能采购同时集成上网行为管理内网安全模块的设备,尤其对于中小企业,籍此实现“让安全一步到位”。
3.考察UTM的易用性
易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外,很重要的需要考察是否有详细的日志乃至数据中心。UTM这种设备不像交换机,安装好了可以100年不变。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂,最好能支持中文操作界面。日志特别重要,好的日志系统应该有详细的记录,包括防火墙日志、流量日志、网络监控日志等,日志应该便于分类和排序,最好能以饼图、柱状图等进行显示,方便统计和对数据的分析。有些做的比较好的厂商甚至提供独立的数据中心,这样一方面可以不影响网关性能,另外也可以实现对日志容量的无限存储。
4.考察UTM的性价比
如何在合理的设备投资和实际上所能提供的功能、性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。为较低需求而采用高端的UTM设备将造成用户投资的浪费,同样为较高的应用需求而采用低端设备将无法达到预计的性能指标。一般而言,同等价格获得越多的功能和性能,则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1~2年内能够使用得到的,否则就无法体现其价值。
从行业角度而言,各行业对于网络安全的关注点也有所不同,比如教育行业:访问不合适的内容,造成潜在的责任问题;传播病毒、蠕虫和其他基于内容的攻 击;由于滥用校园网消耗宽带资源,降低网络效率。政府、金融行业:识别和防护从外部和内部进入的混合型安全攻击;阻挡病毒、蠕虫等通过Email、Web 和文件的传递进入网络。医疗行业:确保病人记录以加密格式存储和传输;确保医院的IT系统不会因网络入侵而受损。这些彼此不同的关注点对于UTM产品的应 用也存在不同侧重的影响。
编者按:
总之,需要明确的是,UTM的设计思路应始终是把安全放在第一位,只有在安全之上,才能谈性能。事实上,和其他企业级IT产品一样,UTM的技术寿命一般是三到五年,因此无论采用何种技术,只要能够达到企业的出口带宽,并能够满足企业五年的发展需求就够了。因此要计算五年总拥有成本,再评估适合自己的产品。相对单一网络安全设备,部署UTM更容易管理和维护。
