隨著Hi-End級(jí)IPS設(shè)備的崛起,將所有安全功能集成在IPS中的設(shè)想已經(jīng)成為現(xiàn)實(shí)。高性能、高可靠、高安全、高性價(jià)比,我們仿佛已經(jīng)感受到了新一代UTM設(shè)備的深遠(yuǎn)影響。
傳統(tǒng)UTM的瓶頸
在上期《網(wǎng)絡(luò)世界》的技術(shù)特寫(xiě)中,我們?cè)?jīng)討論過(guò),隨著IPS的性能越發(fā)強(qiáng)大,很多IPS廠商已經(jīng)開(kāi)始將大量的安全功能,如VPN、網(wǎng)頁(yè)過(guò)濾等集成到IPS而不是防火墻上。特別是一些Hi-End級(jí)IPS廠商,更是將全功能的防火墻集成于自家產(chǎn)品之中。
這不由讓記者想到了另外一個(gè)產(chǎn)品—統(tǒng)一威脅管理(UTM)。UTM是近年來(lái)比較熱門的話題:它提倡在一個(gè)硬件平臺(tái)上整合各種安全功能,如防火墻、VPN、網(wǎng)關(guān)防病毒、入侵檢測(cè)與防御、流量分析、內(nèi)容過(guò)濾等,它的出現(xiàn)在于一些中小企業(yè)用戶缺乏安全技術(shù)人員,希望憑借網(wǎng)關(guān)處的一個(gè)硬件設(shè)備,一攬子解決所有的安全問(wèn)題。
業(yè)內(nèi)人士指出,UTM的概念是完美的,但在以前的具體實(shí)施中存在問(wèn)題。
很多用戶在實(shí)際應(yīng)用中都將反病毒或者IPS功能關(guān)閉,因?yàn)橹挥羞@樣設(shè)備才能正常運(yùn)行。一旦將反病毒功能打開(kāi),一些設(shè)計(jì)不佳的UTM產(chǎn)品性能迅速衰減,有些降幅甚至在70%以上,這是用戶不能忍受的;而一旦打開(kāi)了IPS功能,由于許多廠商的IPS技術(shù)基礎(chǔ)是建立在IDS之上,并沒(méi)有實(shí)質(zhì)性的進(jìn)展,在off line的IDS上人們能夠容忍高誤報(bào)率,但在in line模式的IPS中將會(huì)導(dǎo)致網(wǎng)絡(luò)不斷被虛假的報(bào)警阻斷,正常的流量進(jìn)不來(lái)。
TippingPoint網(wǎng)絡(luò)技術(shù)顧問(wèn)李臻認(rèn)為,性能的問(wèn)題可以通過(guò)采用更好的芯片技術(shù),如“FPGA + NP”來(lái)解決,一些Hi-End級(jí)的IPS廠商都已經(jīng)具備了這樣的實(shí)力,而且在高性能的基礎(chǔ)上,廠商可以采用更加深入的檢測(cè)方法,因此目前高端IPS誤報(bào)率已經(jīng)得到了很好的控制。
不過(guò),正是由于過(guò)硬的IPS產(chǎn)品大多掌握在Hi-End大廠手中,因此很多廠家認(rèn)為UTM設(shè)備的定位應(yīng)該進(jìn)行調(diào)整。
新基礎(chǔ)、新定位
Juniper的技術(shù)經(jīng)理徐洪濤指出,傳統(tǒng)的UTM設(shè)備被定位在低端市場(chǎng),這不僅影響了廠家投入的積極性,而且對(duì)于用戶的實(shí)際應(yīng)用也是不公平的。他表示,從2004年起,隨著高端IPS產(chǎn)品大量整合安全功能與服務(wù),預(yù)示著UTM設(shè)備將會(huì)從傳統(tǒng)的以防火墻為主導(dǎo),過(guò)渡到以IPS為主導(dǎo),而UTM整體市場(chǎng)的發(fā)展,也將會(huì)向高端延伸。
“多合一的安全網(wǎng)關(guān)簡(jiǎn)化了用戶的安全設(shè)備部署,也方便了用戶的安全管理,也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)方向,個(gè)人認(rèn)為這樣的設(shè)備集成到哪里、叫什么名字并不重要,關(guān)鍵是看能否提供足夠的安全功能和性能實(shí)現(xiàn)。”徐洪濤說(shuō)。
從目前情況看,國(guó)內(nèi)用戶部署UTM設(shè)備的目標(biāo)都是為了減少節(jié)省設(shè)備和人員成本,同時(shí)減少因?yàn)楣舳鸬膿p失,可以在網(wǎng)絡(luò)和應(yīng)用級(jí)攻擊造成任何損壞之前有效地識(shí)別并阻止這些攻擊。從這個(gè)意義說(shuō),UTM設(shè)備可以有效地保護(hù)重要的網(wǎng)絡(luò)資源,同時(shí)最大限制地減少因?yàn)楣舴治觥㈨憫?yīng)和災(zāi)后恢復(fù)引起的人力成本,從而節(jié)省企業(yè)的開(kāi)銷。
Radware的資深工程師滕昕表示,UTM既提出了具體產(chǎn)品的形態(tài),又涵蓋了更加深遠(yuǎn)的邏輯范疇。很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念。
雖然主流Hi-End大廠在UTM設(shè)備中加入了眾多的新興技術(shù),不過(guò)目前市場(chǎng)的主要出貨量還在中低端。
針對(duì)這種情況,Juniper大中華區(qū)新興技術(shù)經(jīng)理吳若松解釋說(shuō),由于UTM設(shè)備是in line模式接入,因此設(shè)備本身必須具備良好的性能和高可靠性,同時(shí)在統(tǒng)一的管理平臺(tái)下,實(shí)現(xiàn)集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,因此,向UTM方向演進(jìn)將是IPS的發(fā)展趨勢(shì)。他認(rèn)為,以IPS為基礎(chǔ)的高端UTM設(shè)備至少需要具備五大特征:
第一,實(shí)現(xiàn)網(wǎng)絡(luò)安全協(xié)議層防御。普通的防火墻、IPS只能實(shí)現(xiàn)第二到第四層的防護(hù),但是真正的安全不能停留在底層,用戶需要一個(gè)深入內(nèi)容的安全檢測(cè),除了傳統(tǒng)的訪問(wèn)控制之外,還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用,實(shí)現(xiàn)七層協(xié)議的保護(hù)是UTM設(shè)備必須做到的。
第二,通過(guò)分類檢測(cè)技術(shù)降低誤報(bào)率。in line模式的設(shè)備一旦誤報(bào)率過(guò)高,將會(huì)對(duì)用戶帶來(lái)災(zāi)難性的后果。因此UTM設(shè)備也必須和Hi-End級(jí)IPS設(shè)備一樣,在深度包檢測(cè)方面下功夫,同時(shí)實(shí)現(xiàn)精確匹配與升級(jí)服務(wù),從而保證效果。
第三,對(duì)于以IPS為基礎(chǔ)的UTM產(chǎn)品,所集成的防火墻必須是全功能產(chǎn)品。特別是像NAT、動(dòng)態(tài)端口等功能都要支持。因?yàn)槿绻麅H僅集成了精簡(jiǎn)版的防火墻,對(duì)于有意延伸到高端應(yīng)用的UTM顯然不合適。
第四,具有高可靠、高性能的硬件平臺(tái)支撐。IPS型UTM設(shè)備必須以高性能、高可靠性的專門設(shè)計(jì)、專用芯片、專用硬件平臺(tái)為支撐,以避免UTM設(shè)備在復(fù)雜環(huán)境下,性能與可靠性出現(xiàn)瓶頸,威脅到用戶業(yè)務(wù)的正常運(yùn)行。
第五,實(shí)現(xiàn)功能的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身,因此,它必須具有能夠統(tǒng)一控制和管理的平臺(tái),使用戶能夠有效地進(jìn)行管理。這樣,設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理,同時(shí),一體化管理也能消除信息產(chǎn)品之間由于無(wú)法溝通而帶來(lái)的信息孤島,從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候,能夠更好地保障用戶的網(wǎng)絡(luò)安全。
代表產(chǎn)品
據(jù)悉,符合上述五點(diǎn)要求的高端UTM產(chǎn)品已經(jīng)出爐,以Juniper、Radware、Fortinet、WatchGuard為代表的廠商已經(jīng)在新產(chǎn)品中取得突破。
像Juniper ISG就是一款有代表性的產(chǎn)品。ISG是涵蓋了全功能深層檢測(cè)防火墻、VPN 和DoS解決方案的集成安全網(wǎng)關(guān)產(chǎn)品,能夠?yàn)殛P(guān)鍵的高流量網(wǎng)絡(luò)分段提供安全可靠的連接以及網(wǎng)絡(luò)層和應(yīng)用層保護(hù)。Juniper ISG可以提供多個(gè)千兆位接口、模塊化架構(gòu)和虛擬化功能。基本防火墻/VPN系統(tǒng)最多支持4個(gè)I/O模塊和3個(gè)安全模塊,用于IDP集成。ISG系列可通過(guò)升級(jí)來(lái)支持集成入侵檢測(cè)與防護(hù)功能,從而針對(duì)現(xiàn)有和新型威脅提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù)功能。
而Radware的實(shí)現(xiàn)方式更加靈活,它將內(nèi)容檢測(cè)CID與入侵防御DP作了結(jié)合,不僅可以利用StringMatch硬件引擎實(shí)現(xiàn)安全交換和高速的深入包檢測(cè),而且可在對(duì)所有網(wǎng)絡(luò)流量進(jìn)行雙向掃描的基礎(chǔ)上,提供容錯(cuò)和充分優(yōu)化的防病毒掃描和內(nèi)容過(guò)濾功能。CID可優(yōu)化任何防病毒過(guò)濾工具或URL過(guò)濾工具,從而實(shí)現(xiàn)了靈活、可自定義的安全架構(gòu),確保了高性能、高性價(jià)比和高度可擴(kuò)展的內(nèi)容安全和應(yīng)用安全。
新UTM的發(fā)展方向
■ 基礎(chǔ)架構(gòu)
● 以Hi-End級(jí)IPS為基礎(chǔ)
● 在七層防護(hù)基礎(chǔ)上,提高性能、降低誤報(bào)率
● 對(duì)DoS及DDoS有專門的防御手段
● 集成全功能防火墻產(chǎn)品
■ 應(yīng)用實(shí)現(xiàn)
● 能夠?qū)崿F(xiàn)多種功能的統(tǒng)一管理
● 從中低端市場(chǎng)向高端市場(chǎng)延伸
● 易部署、易使用,方便用戶的安全管理
