防火墻的終結(jié)者

“防火墻已經(jīng)死了，現(xiàn)代的網(wǎng)絡(luò)安全產(chǎn)品就是UTM”，作為世界上首次提出UTM概念并推出UTM設(shè)備的Fortinet公司總裁兼CEO的謝青作出這個(gè)論斷時(shí)，距從2004年IDC正式給出UTM（Unified Threat Management，統(tǒng)一威脅管理）的定義時(shí)算起只過了五年的時(shí)間。事實(shí)上這個(gè)時(shí)間還可以再縮短一些，當(dāng)2008年7月28日，Cisco宣布其暢銷多年的PIX防火墻停止銷售，取而代之的是ASA系列UTM產(chǎn)品時(shí)，就已經(jīng)意味著防火墻時(shí)代的終結(jié)，UTM時(shí)代的開始。

UTM具有高度集成的安全功能，到如今，它已遠(yuǎn)遠(yuǎn)超出最初IDC定義時(shí)防病毒、入侵檢測(cè)和防火墻的范圍，它還可將內(nèi)容過濾、反垃圾郵件、VPN等諸多安全功能集成到一個(gè)設(shè)備中來，這種設(shè)計(jì)模式在當(dāng)前網(wǎng)絡(luò)威脅復(fù)雜化的趨勢(shì)下，滿足了企業(yè)對(duì)威脅管理多樣化的要求，受到業(yè)界的追捧，一直以來增長迅速。據(jù)IDC報(bào)告顯示，目前UTM市場(chǎng)已經(jīng)超過了防火墻市場(chǎng)，到2011年UTM將會(huì)是最大的單向市場(chǎng)，復(fù)合年均增長率將達(dá)到26.2%;在中國，2009年UTM市場(chǎng)規(guī)模將超過10億元，并且未來5年內(nèi)，年復(fù)合增長率超過50%。

使用UTM產(chǎn)品的優(yōu)勢(shì)

UTM將諸多安全功能高度集成，帶來的好處的顯而易見的。

首先是整合所帶來的成本降低。在UTM產(chǎn)品的購買者中，中小企業(yè)用戶占很大一部分，這些企業(yè)由于成本所限，難以針對(duì)其各方面的安全需求獲得一個(gè)滿意的安全解決方案，而UTM產(chǎn)品可讓他們以較低的成本獲得更加全面的安全防護(hù)。

其次，可大大降低安全部署及維護(hù)的技術(shù)。使用UTM產(chǎn)品可一次性獲得多項(xiàng)安全功能，這與同時(shí)使用多個(gè)不同網(wǎng)絡(luò)安全設(shè)備相比，部署起來會(huì)簡單得多，而且也便于網(wǎng)絡(luò)管理員進(jìn)行管理和維護(hù)。

另外，UTM產(chǎn)品中集成多項(xiàng)安全功能，UTM廠商為了便于用戶使用，往往都極為注重產(chǎn)品易用性，對(duì)于缺乏信息安全人員的中小企業(yè)來說，使用起來會(huì)簡單得多，而且需要的安全技術(shù)人員數(shù)量也會(huì)更少。

當(dāng)前UTM面臨的問題

不過，高度集成在帶來好處的同時(shí)，也帶來了一些壞處。作為立體防御的安全網(wǎng)關(guān)，UTM在快速發(fā)展并被越來越多用戶認(rèn)可的同時(shí)，一直就面臨著不少問題。

首先是安全功能高度集成帶來的性能下降問題，這一直是制約UTM發(fā)展的瓶頸。很長時(shí)間以來，UTM產(chǎn)品的購買者主要集中在政府以及中小企業(yè)用戶上，而電信、金融、電力等大型企業(yè)少有涉足，主要原因之一就在于其性能的不足。不過，如今一些UTM廠商已經(jīng)推出了萬兆多核級(jí)的UTM產(chǎn)品，這在一定程度上解決了性能不足的問題。

還有一個(gè)是易用性的問題，“簡單、易用”，這是很多用戶購買UTM產(chǎn)品時(shí)考慮的一個(gè)重要方面。由于UTM中集成有多個(gè)功能，如何在部署配置、管理維護(hù)，以及對(duì)網(wǎng)絡(luò)的兼容性上保證易用性，這成為UTM廠商開發(fā)產(chǎn)品時(shí)需要考慮的重點(diǎn)之一。

另外一個(gè)則是功能強(qiáng)大性的問題，UTM在一個(gè)產(chǎn)品中有多個(gè)安全功能模塊，而一個(gè)安全廠商往往只在一兩個(gè)方面具有自己獨(dú)特的技術(shù)長處，如何保障眾多安全功能模塊中每一個(gè)的功能都能媲美單獨(dú)設(shè)備的功能，這也是UTM廠商在開發(fā)中需要考慮的重點(diǎn)。目前，大多數(shù)廠商除了加強(qiáng)自身技術(shù)實(shí)力外，往往采取強(qiáng)強(qiáng)聯(lián)合的方式來增強(qiáng)各個(gè)模塊的功能，如今UTM的功能強(qiáng)大性基本已得到用戶的認(rèn)可。

此外，由于涉及到多個(gè)功能模塊，UTM系統(tǒng)的穩(wěn)定性也會(huì)受到一定影響，相比傳統(tǒng)安全設(shè)備而言，UTM的穩(wěn)定性仍有不足。

而且，由于將所有安全功能放在一個(gè)設(shè)備上，風(fēng)險(xiǎn)也集中到了UTM上，如果UTM設(shè)備出現(xiàn)問題，將會(huì)導(dǎo)致安全防御措施失效，若UTM設(shè)備存在漏洞，也可能造成嚴(yán)重的影響。

除了以上這些高度集成帶來的弊端外，由于目前多數(shù)UTM產(chǎn)品所包括的安全功能都是傳統(tǒng)的邊界安全防護(hù)網(wǎng)關(guān)的功能，傳統(tǒng)網(wǎng)關(guān)防御的弊端，即無法應(yīng)對(duì)來自內(nèi)部的威脅這一缺陷仍然存在。不過目前已有廠商作出了嘗試，如啟明星辰前不久推出的UTM2網(wǎng)關(guān)?終端統(tǒng)一安全套件，該產(chǎn)品將網(wǎng)關(guān)安全和終端安全產(chǎn)品組合在一起，進(jìn)一步進(jìn)行跨界組合，以圖實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界和內(nèi)網(wǎng)終端的全面防護(hù)。

下一代的UTM

如今，隨著企業(yè)IT應(yīng)用越來越多，網(wǎng)絡(luò)狀況越來越復(fù)雜，企業(yè)面臨的網(wǎng)絡(luò)威脅也在不斷變化，并且越來越多樣化，企業(yè)的安全需求也在不斷變化，對(duì)UTM提出了更高的要求，而上述UTM的弊端也愈發(fā)突顯。而且，特別是自金融危機(jī)以來，由于IT預(yù)算縮緊，不少原本對(duì)UTM興趣不大的高端用戶也把目光轉(zhuǎn)移到UTM上，這也要求UTM的技術(shù)與性能再上一個(gè)層次，才能滿足他們的需要。這種情況下，IDC提出了UTM的下一代技術(shù)標(biāo)準(zhǔn)：X-UTM（也稱為可擴(kuò)展UTM或企業(yè)級(jí)UTM）。

X-UTM并非一個(gè)新的產(chǎn)品類型，我們更應(yīng)該說，它是下一代的UTM。作為UTM的下一代技術(shù)標(biāo)準(zhǔn)，X-UTM的核心在于面向用戶安全需求進(jìn)行靈活擴(kuò)展，使其優(yōu)秀的多層安全技術(shù)緊密融合并有效使用。與傳統(tǒng)UTM技術(shù)相比，X-UTM技術(shù)標(biāo)準(zhǔn)更加關(guān)注產(chǎn)品的功能集成度、產(chǎn)品的網(wǎng)絡(luò)層強(qiáng)壯性、技術(shù)融合的可用性、簡化管理復(fù)雜度、靈活的產(chǎn)品部署，以及全功能的原發(fā)型響應(yīng)支持。

而要實(shí)現(xiàn)這些，X-UTM首先必須解決性能上的問題。根據(jù)IDC的X-UTM技術(shù)標(biāo)準(zhǔn)，X-UTM安全產(chǎn)品在全功能打開情況下，不僅要完成HTTP的大包處理，而且要完成各種網(wǎng)絡(luò)應(yīng)用協(xié)議的小包處理，在此基礎(chǔ)上單個(gè)端口吞吐量仍然可以達(dá)到1Gbps，再加上其具有的高可用性（會(huì)話級(jí)別切換）、多安全區(qū)域等功能，從而可以從技術(shù)上保證企業(yè)用戶關(guān)鍵應(yīng)用的安全實(shí)現(xiàn)。而且，在真實(shí)的網(wǎng)絡(luò)環(huán)境中，X-UTM設(shè)備放在企業(yè)內(nèi)網(wǎng)里需要承擔(dān)不同的協(xié)議和流量，其處理引擎必須具備分類處理的能力。比如在1G的出口流量中，針對(duì)HTTP的實(shí)現(xiàn)應(yīng)用層安全處理吞吐至少應(yīng)達(dá)到400M、SMTP 300M、POP3 300M，而網(wǎng)絡(luò)層轉(zhuǎn)發(fā)應(yīng)該達(dá)到1G。而這些都對(duì)UTM廠商的綜合實(shí)力提出了嚴(yán)峻考驗(yàn)，這些廠家必須具備不斷發(fā)展的核心的軟件及硬件技術(shù)和服務(wù)能力。

目前，僅有部分UTM廠商已推出可以稱為X-UTM的產(chǎn)品。但我們可以預(yù)見，在不遠(yuǎn)的將來，X-UTM將為以其令人驚訝的實(shí)用性，真正地實(shí)現(xiàn)從網(wǎng)絡(luò)到應(yīng)用的融合，實(shí)現(xiàn)統(tǒng)一威脅擴(kuò)展的理念。