【51CTO.com 綜合消息】曾幾何時，以全面安全著稱的UTM系統(tǒng)被各種“雜七雜八”的“功能”所充斥，對用戶而言，對于UTM部署的毫無頭緒已經(jīng)造成了嚴(yán)重的困擾。今天，X-UTM的出現(xiàn)徹底改寫了UTM設(shè)備混亂的布局，一切為了用戶，從網(wǎng)絡(luò)層到應(yīng)用安全，已經(jīng)成為X-UTM不可動搖的使命。

不給用戶找麻煩

早先接觸過UTM的企業(yè)用戶都有一個感覺，UTM很復(fù)雜——各種繁多的功能、種種配置的禁忌，以及紛亂繁多的管理模式，給本就不太專業(yè)用戶們帶來了困擾。在金融海嘯的今天，大量企業(yè)渴望降低IT系統(tǒng)的管理復(fù)雜度，簡化部署與運營維護的開支，而傳統(tǒng)的UTM恰恰給企業(yè)拉了后腿。

也許是看到了傳統(tǒng)設(shè)備的不足，IDC在提出X-UTM概念之初，就已經(jīng)把可定制、可管理作為X-UTM的標(biāo)準(zhǔn)之一。對于IDC的倡議，筆者也是非常贊同。因為UTM這類設(shè)備發(fā)展到今天，其自身的復(fù)雜度已經(jīng)到了無法回避的地步。此前Fortinet一直強調(diào)，一定要讓用戶自身去習(xí)慣UTM，將設(shè)備提供的功能模塊變成用戶在業(yè)務(wù)運維上“自己的東西”，而非單純、混雜地去被動接受。

此次X-UTM定制化體系的提出，客觀上要求安全廠商的產(chǎn)品必須具備功能豐富性與整合性的特點。比如針對防病毒，X-UTM需要支持流行的應(yīng)用協(xié)議，如FTP、POP3、Web、IM等等；針對不同的端口，X-UTM需要提供文件的大小限制、超時處理步驟、文件類型識別等功能，并且可以提供靈活的配置組合；針對Web過濾系統(tǒng)，X-UTM要求安全廠商必須有一個服務(wù)體系，主動幫助企業(yè)用戶去識別全球范圍內(nèi)不同類型的網(wǎng)站，幫助用戶去進行風(fēng)險分析。換句話說，當(dāng)前生產(chǎn)X-UTM的安全廠商必須能夠提供自身的主動安全服務(wù)。

回首當(dāng)年，很多國內(nèi)安全廠商推出的所謂“UTM”方案，僅僅在系統(tǒng)中寫一個IP地址、域名，就宣稱具備Web過濾的能力，這種有限的“靜態(tài)服務(wù)”根本就不符合UTM的初衷。可悲的是，個別時候甚至在電信運營商的網(wǎng)絡(luò)里都能發(fā)現(xiàn)類似的產(chǎn)品。無疑，很多國內(nèi)安全廠商從產(chǎn)品設(shè)計之初就混淆了UTM的概念與要求，這類產(chǎn)品不僅達(dá)不到幫助用戶真正屏蔽有害網(wǎng)站的效果（這些網(wǎng)站的屬性很隱藏，需要專業(yè)公司的技術(shù)幫助），而且還給用戶的后期管理添了麻煩。

X-UTM應(yīng)用融合

當(dāng)前，X-UTM需要將用戶的應(yīng)用與安全的大方向進行融合與匹配。同樣以Web過濾為例，其中會涉及到大量的用戶層面特性，比如能否根據(jù)用戶的組、不同用戶的角色差異，判定哪些用戶可以訪問某些網(wǎng)絡(luò)資源，哪些用戶不能訪問。其中設(shè)備需要提供更多靈活的特殊策略組合，幫助用戶開展應(yīng)用層面的安全管理。

僅從用戶體驗來看，X-UTM強調(diào)Web過濾的分類類別。對安全廠商而言，X-UTM的標(biāo)準(zhǔn)無疑嚴(yán)格許多，傳統(tǒng)上那種在UTM中設(shè)定一類Web阻擋策略的做法行不通了。從Fortinet對于X-UTM的設(shè)計建議可以看出，Web過濾的起步分類標(biāo)準(zhǔn)就要50類，做到優(yōu)秀級別至少80類。

換句話說，X-UTM相當(dāng)強調(diào)顆?；陌踩芾?。正如Fortinet一直所強調(diào)的，安全廠商不能把所有信息反饋的結(jié)果簡單丟給用戶。相反，安全廠商需要從用戶的實際需求出發(fā)，提供基于功能、策略、應(yīng)用的定制化的安全服務(wù)。

維護網(wǎng)絡(luò)責(zé)任

對X-UTM而言，其誕生的意義源于安全。然而，在企業(yè)用戶紛繁復(fù)雜的應(yīng)用面前，安全并非單一存在：不拋棄網(wǎng)絡(luò)層，維護從網(wǎng)絡(luò)到應(yīng)用的安全體系，成為了X-UTM的價值所在。

X-UTM對用戶來說，其首要標(biāo)準(zhǔn)就是“絕對不能拋棄網(wǎng)絡(luò)層”。作為一種網(wǎng)關(guān)產(chǎn)品，X-UTM需要處理的東西很多。總結(jié)當(dāng)前各種新興安全設(shè)備可以發(fā)現(xiàn)，單純的Web防火墻、上網(wǎng)行為管理、HTTP過濾網(wǎng)關(guān)等設(shè)備，其核心都是在保護Web，這些設(shè)備不需要考慮DNS、VoIP，它們都屬于應(yīng)用層的專項安全產(chǎn)品。

然而，X-UTM對企業(yè)而言，要管理的范疇大得多：企業(yè)用戶訪問互聯(lián)網(wǎng)需要管控、企業(yè)的OA資源需要保護、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)需要保護，甚至是企業(yè)內(nèi)部的每一個個體都需要保護。

舉例來看，現(xiàn)代企業(yè)需要網(wǎng)關(guān)防病毒功能，根據(jù)經(jīng)驗安全設(shè)備至少需要提供每月一萬種的病毒支持；另外，對協(xié)議的廣義支持能力，還有對用戶的超時管理，也是安全設(shè)備需要考慮的問題；此外，當(dāng)前業(yè)界看重流掃描技術(shù)，這有點類似IPS的模式。比如一個病毒是10層壓縮，安全設(shè)備需要進行層層解壓，從而對設(shè)備的強壯性提出了挑戰(zhàn)。

面對這些問題，單純的防火墻、IPS、Web過濾、反垃圾郵件等設(shè)備無法全盤解決。以前有句諺語：“10個人的企業(yè)好管理，100個人就困難了”，每個人的應(yīng)用都復(fù)雜，企業(yè)的網(wǎng)絡(luò)管理員需要避免個體用戶的應(yīng)用濫用導(dǎo)致網(wǎng)絡(luò)癱瘓，給企業(yè)帶來各種主動和被動的風(fēng)險。而這恰恰是X-UTM的職責(zé)所在。

X-UTM的特點是，設(shè)備放在企業(yè)內(nèi)網(wǎng)里面需要承擔(dān)不同的協(xié)議和流量。換句話說，X-UTM在網(wǎng)絡(luò)里面都是要承載所有協(xié)議。根據(jù)Fortinet的統(tǒng)計，一個中等規(guī)模的企業(yè)，其網(wǎng)絡(luò)流量分配比例大致為：25%的HTTP封包，75%的UDP、DNS、IM、視頻等應(yīng)用。不難看出，HTTP協(xié)議僅僅是網(wǎng)絡(luò)中的一部分，大量的基礎(chǔ)網(wǎng)絡(luò)協(xié)議和應(yīng)用都需要X-UTM提供周到的保護。

總之一句話：X-UTM是保護企業(yè)的。在一個企業(yè)的網(wǎng)絡(luò)環(huán)境中，什么樣的流量都會具備。從實際的情況看，企業(yè)辦公室上網(wǎng)運行的各種應(yīng)用非常復(fù)雜，比如在線游戲、QQ、MSN、電子郵件、VoIP等等。在這樣的情況下，X-UTM的性能就不可以存在短板。

根據(jù)IDC和Fortinet的設(shè)計要求，一款合格的X-UTM設(shè)備，其處理引擎必須具備分類處理的能力，比如針對HTTP實現(xiàn)處理吞吐500M、SMTP 400M、POP3 300M。因此，所謂幫助用戶實現(xiàn)應(yīng)用層安全，就是要使安全設(shè)備符合真正互聯(lián)網(wǎng)流量的體系結(jié)構(gòu)，而不是單獨做一個Web安全網(wǎng)關(guān)。豪無疑問，X-UTM的責(zé)任更加重要！