【51CTO.com 綜合消息】近年來(lái)，隨著安全技術(shù)的發(fā)展和安全意識(shí)的提升，能夠綜合防范多種網(wǎng)絡(luò)威脅的UTM產(chǎn)品正逐漸得到廣大用戶(hù)的青睞。

國(guó)內(nèi)外大小廠(chǎng)商也都乘勢(shì)殺入了這個(gè)市場(chǎng)。X-Firewall、云火墻、XTM、UTM2，多少概念欲迷人眼；多核架構(gòu)、硬件加速、千兆、萬(wàn)兆，無(wú)數(shù)性能試比高低。在這個(gè)紛亂的市場(chǎng)，用戶(hù)如何能夠選擇到符合自己需求的UTM產(chǎn)品呢？通過(guò)這幾年對(duì)各廠(chǎng)商UTM產(chǎn)品的了解、測(cè)試和使用，我們總結(jié)了一些心得。

首先，我們需要確認(rèn)，是為了核心網(wǎng)絡(luò)還是為了普通網(wǎng)絡(luò)進(jìn)行采購(gòu)。如果是核心網(wǎng)絡(luò)，對(duì)安全產(chǎn)品的首要要求是高性能和高穩(wěn)定性，選擇UTM產(chǎn)品也許并不合適。而普通網(wǎng)絡(luò)，特別是分支機(jī)構(gòu)網(wǎng)絡(luò)，對(duì)安全產(chǎn)品的首要要求是綜合防護(hù)能力和易用性，選擇UTM產(chǎn)品則是明智之舉。

區(qū)分核心網(wǎng)絡(luò)和普通網(wǎng)絡(luò)，根據(jù)每個(gè)用戶(hù)實(shí)際情況的不同，可能有各種不同的判斷標(biāo)準(zhǔn)，如大型數(shù)據(jù)中心，總部信息中心等。從經(jīng)驗(yàn)上看，我們也可以暫時(shí)的用實(shí)際流量進(jìn)行簡(jiǎn)單劃分。通常實(shí)際流量能達(dá)到500M以上的，就可以劃分為核心網(wǎng)絡(luò)了。

然后，我們需要考慮，我們到底需要什么樣的功能組合？在考慮功能組合時(shí)，最好能夠遵循只有必須在網(wǎng)關(guān)上完成的功能才在UTM中進(jìn)行考慮的原則，以盡量的提高部署UTM后整個(gè)網(wǎng)絡(luò)的可用性。在這個(gè)原則下，防火墻+IPS+AV應(yīng)該是最基本的要求。然后從加強(qiáng)內(nèi)部管理出發(fā)，上網(wǎng)行為管理和流量控制也是比較有用的功能。在有需要的場(chǎng)合，將VPN（包括IPSEC VPN和SSL VPN）放在UTM中也比較適合。

而某些廠(chǎng)商宣傳的抗DDoS攻擊、反垃圾郵件和內(nèi)網(wǎng)終端管理則不宜于整合進(jìn)UTM之中。UTM主要還是應(yīng)該工作在多數(shù)流量正常的環(huán)境之中，僅需要具備抵御常規(guī)攻擊的能力即可。對(duì)抗DDoS這種大規(guī)模攻擊手段，應(yīng)該交給專(zhuān)業(yè)的抗攻擊設(shè)備或者應(yīng)急響應(yīng)服務(wù)來(lái)解決。而專(zhuān)業(yè)的抗攻擊設(shè)備也通常都是采用牽引方式旁路處理，而不是放在網(wǎng)關(guān)處。

至于反垃圾郵件，盡管目前多數(shù)的UTM設(shè)備都支持此功能，但這是一個(gè)明顯的可以不在網(wǎng)關(guān)處進(jìn)行考慮的功能。而內(nèi)網(wǎng)終端管理這功能放進(jìn)UTM中則幾乎是一個(gè)宣傳的噱頭了。UTM完全可以去和終端管理系統(tǒng)聯(lián)動(dòng)來(lái)做諸如準(zhǔn)入一類(lèi)的功能（其實(shí)用802.1x和交換機(jī)聯(lián)動(dòng)更好，不過(guò)不是所有交換機(jī)都具備此功能）。但是終端管理功能，顯然違背了能不在網(wǎng)關(guān)上工作的功能就不在網(wǎng)關(guān)上作的原則，加重了網(wǎng)關(guān)的工作壓力。更何況還存在著整個(gè)網(wǎng)絡(luò)被某臺(tái)異常的終端拖垮的風(fēng)險(xiǎn)。

因此，在不考慮硬件性能瓶頸的時(shí)候，較好的UTM功能組合應(yīng)為：FW+IPS+AV（主要處理網(wǎng)絡(luò)病毒，文件病毒交給防毒軟件）+應(yīng)用管理+流控+VPN（IPsec和SSl）。

考慮到硬件性能和預(yù)算限制時(shí)，可以根據(jù)需要，先把VPN（特別是SSL VPN）和流控去掉，看看是否能夠滿(mǎn)足硬件性能和預(yù)算限制；如果還不行，再把應(yīng)用管理劃掉；再不行則犧牲AV功能。

除以上功能外，好的UTM產(chǎn)品還應(yīng)具備良好的易用性。例如在設(shè)備故障時(shí)保證網(wǎng)絡(luò)不中斷的硬件Bypass能力，根據(jù)用戶(hù)需求利用預(yù)設(shè)模塊進(jìn)行策略快速切換的能力，在大規(guī)模部署時(shí)的集中管理能力等等。在我們接觸過(guò)的眾多產(chǎn)品中，提供了“一鍵配置”的某廠(chǎng)商設(shè)備給我們留下了深刻的印象。其設(shè)備上設(shè)置了高中低3個(gè)按鈕，通過(guò)觸按按鈕，可以直接在預(yù)設(shè)的策略模板中進(jìn)行切換。

例如在部署某個(gè)新應(yīng)用或者進(jìn)行網(wǎng)絡(luò)調(diào)整時(shí)，切換至全通策略；在面對(duì)上級(jí)檢查或者緊急情況時(shí)，切換至只允許特定應(yīng)用通過(guò)的策略等，都可以通過(guò)設(shè)備上的按鈕直接切換，而無(wú)需再進(jìn)入配置界面進(jìn)行調(diào)整。特別的適合于大規(guī)模部署時(shí)的應(yīng)用。

再來(lái)看性能。目前廠(chǎng)商的產(chǎn)品規(guī)格中多按照防火墻、IPS、AV等各種功能模塊進(jìn)行單獨(dú)的性能標(biāo)注。此時(shí)，我們需要向廠(chǎng)商確定，其標(biāo)注的性能參數(shù)是只打開(kāi)該項(xiàng)功能時(shí)的數(shù)據(jù)還是功能全開(kāi)時(shí)的數(shù)據(jù)。市面上有不少的產(chǎn)品，如果只當(dāng)一個(gè)單獨(dú)的防火墻或者IPS或者AV網(wǎng)關(guān)使用時(shí)，可以樣樣精通；但是一旦功能全開(kāi)，則樣樣稀松。從實(shí)用出發(fā)，在選擇產(chǎn)品時(shí)應(yīng)要求廠(chǎng)家提供功能全開(kāi)（至少是防火墻+IPS+AV同時(shí)打開(kāi)）時(shí)性能數(shù)據(jù)，并在采購(gòu)合同中予以約束。

鑒于廠(chǎng)商有時(shí)迫于宣傳和競(jìng)爭(zhēng)的需要提供的是理論上的最高性能，有條件的客戶(hù)最好能夠采用測(cè)試儀先進(jìn)行一下性能測(cè)試。

由于Smartbizs、IXIA等標(biāo)準(zhǔn)測(cè)試儀的出現(xiàn)，現(xiàn)在對(duì)諸如UTM此類(lèi)的網(wǎng)絡(luò)產(chǎn)品進(jìn)行性能測(cè)試是一件很簡(jiǎn)單的事情。但在具體測(cè)試過(guò)程中，應(yīng)注意以下要點(diǎn)。

1：64-1518字節(jié)的UDP吞吐測(cè)試僅能證明設(shè)備的網(wǎng)絡(luò)層吞吐能力，對(duì)于UTM這樣的設(shè)備，還應(yīng)該做讀取32k頁(yè)面的HTTP吞吐測(cè)試，以驗(yàn)證其應(yīng)用層性能。

2：如果有技術(shù)能力的，在測(cè)試時(shí)最好不采用測(cè)試儀默認(rèn)的數(shù)據(jù)包，而是重新自行構(gòu)造。

3：應(yīng)在加入一定背景流壓力（至少維持5萬(wàn)以上并發(fā)連接）時(shí)進(jìn)行入侵檢測(cè)和防病毒的檢測(cè)率測(cè)試。

4：盡可能采用市場(chǎng)抽樣的方式獲得被測(cè)設(shè)備。如果是廠(chǎng)商提供的，應(yīng)進(jìn)行封樣，并與最終采購(gòu)產(chǎn)品進(jìn)行詳細(xì)的比對(duì)。

5：順序做功能測(cè)試和性能測(cè)試。要求廠(chǎng)商工程師在測(cè)試開(kāi)始前完成配置工作，一旦測(cè)試開(kāi)始，在整個(gè)測(cè)試過(guò)程中絕對(duì)不允許廠(chǎng)商對(duì)設(shè)備再進(jìn)行操作。

認(rèn)清需求選功能，嚴(yán)格測(cè)試定性能。希望每位用戶(hù)都能選到符合自己需求的網(wǎng)絡(luò)安全產(chǎn)品。

【編輯推薦】

1. 貴公司安全措施失效的五個(gè)原因
2. Red Hat Enterprise Linux4.0功能與安全
3. 安全使用RedHat Linux系統(tǒng)
4. Red Hat PXE Server DHCP包遠(yuǎn)程拒絕服務(wù)漏洞

【責(zé)任編輯：安泉 TEL：（010）68476606】