自第一款UTM誕生至今已經(jīng)有七八年的時(shí)間了,在這七八年里,網(wǎng)絡(luò )技術(shù)伴隨著(zhù)網(wǎng)絡(luò )流量、安全威脅等持續增長(cháng),逐漸暴露出了傳統UTM的弊端,使之已經(jīng)不能適應客戶(hù)的需求。但是,UTM的優(yōu)勢卻是毋庸置疑的,在各安全廠(chǎng)商的努力下,逐漸解決了UTM的瓶頸,市場(chǎng)需求開(kāi)始大幅增加,甚至在高要求的電信運營(yíng)市場(chǎng)也即將有用武之地。
UTM發(fā)展遇瓶頸
UTM即統一威脅管理,顧名思義,該產(chǎn)品具有多種安全威脅的防御功能,包括防火墻、VPN、網(wǎng)關(guān)防毒、IPS、訪(fǎng)問(wèn)控制、內容安全等。由于具備了多項功能,UTM可以幫助客戶(hù)大大節省資產(chǎn)投資,并且更易于管理,受到了客戶(hù)的推崇。但是隨著(zhù)網(wǎng)絡(luò )流量的不斷提升和新的安全威脅的不斷出現,傳統的UTM已經(jīng)不再能夠滿(mǎn)足客戶(hù)的需要。
首先,隨著(zhù)網(wǎng)絡(luò )技術(shù)的快速發(fā)展,網(wǎng)絡(luò )帶寬越來(lái)越高且越來(lái)越便宜,對于客戶(hù)來(lái)說(shuō),網(wǎng)絡(luò )流量與日俱增,接入帶寬從原來(lái)的10M/100Mbit/s向1Gbit/s甚至是10Gbit/s升級,這對UTM的性能提出了很高的要求,傳統的UTM將所有功能都打開(kāi)后,會(huì )導致網(wǎng)絡(luò )速率急速下降,雖然解決了安全威脅,但是卻讓客戶(hù)的效率大大降低,顯然無(wú)法滿(mǎn)足客戶(hù)的需求。
其次,目前各種網(wǎng)絡(luò )應用發(fā)展迅速,且呈多元化和隱蔽化的特點(diǎn),這就要求UTM能夠準確地檢測出這些應用的合法性及所攜帶的網(wǎng)絡(luò )攻擊。比如,當前P2P、即時(shí)通信、微博、在線(xiàn)支付以及移動(dòng)互聯(lián)網(wǎng)應用已經(jīng)滲透到用戶(hù)的日常生活中,且適用范圍和頻度越來(lái)越大,這給不法分子提供了有利的攻擊手段,他們往往將各種病毒、木馬程序、惡意代碼等移植到這些應用中,并且這些攻擊會(huì )隱藏在客戶(hù)的正常業(yè)務(wù)數據之中,通過(guò)HTTP方式避開(kāi)客戶(hù)的安全防護體系,使防護失效。同時(shí),網(wǎng)頁(yè)掛馬、SQL注入、網(wǎng)絡(luò )釣魚(yú)等攻擊方式也讓正常使用在線(xiàn)交易的客戶(hù)不知不覺(jué)蒙受了損失。
因此,為了適應不斷變化的網(wǎng)絡(luò )環(huán)境,新一代UTM必須在性能和功能兩方面共同提升,解決客戶(hù)在使用過(guò)程中遇到的問(wèn)題是根本,即在性能方面提高UTM的吞吐能力、并發(fā)連接和每秒新建連接及縮小時(shí)延等,應用可視化也是被重點(diǎn)提及的功能之一。另外,由于UTM集成多項功能,需要保證產(chǎn)品的易用性和穩定性。
軟硬兼施突破傳統UTM
針對上述的新一代UTM所需要具有的性能和功能要求,安全領(lǐng)域的廠(chǎng)商和專(zhuān)家不斷摸索和驗證,特別是在提升UTM的性能方面,在核心層面的處理器方面經(jīng)歷了單CPU、NP技術(shù)到ASIC與FPGA協(xié)處理技術(shù)再到多核技術(shù)的長(cháng)期探索,目前UTM的性能已經(jīng)從數百兆提升至百吉(如圖所示)。
然而,單純的處理性能提升并不是新一代UTM的全部,目前主流UTM安全廠(chǎng)商提出了高性能處理器、多核架構、專(zhuān)用OS等結合的手段,從軟硬兩方面雙管齊下,有效地滿(mǎn)足了客戶(hù)的需求。
聯(lián)想網(wǎng)御UTM產(chǎn)品經(jīng)理劉巖認為,客戶(hù)對UTM最關(guān)心的問(wèn)題有兩個(gè),一是全開(kāi)啟性能,二是易用性。全開(kāi)啟性能關(guān)鍵是看開(kāi)啟入侵防御、防病毒、反垃圾郵件等主要安全模塊后的性能表現,因此想突破UTM的性能瓶頸要從優(yōu)化入侵檢測引擎、防病毒引擎、反垃圾郵件引擎入手。同時(shí),聯(lián)想網(wǎng)御還利用一鍵配置、跨域統一管理解決UTM的易用性問(wèn)題。
Hillstone山石網(wǎng)科產(chǎn)品經(jīng)理張龍勇認為UTM瓶頸從硬件架構和與之相適應的軟件系統來(lái)突破。他表示:“當前網(wǎng)絡(luò )攻擊的有組織性、隱蔽性、突發(fā)性都要求UTM的硬件設計拋棄傳統的X86/NP/ASIC等架構,因為這些架構已經(jīng)不能滿(mǎn)足大流量情況下對應用層攻擊的檢測和防護,多核+高速交換應該是目前的最佳選擇之一。此外,與這種硬件架構配合的軟件系統需要具備并行計算能力,要能夠合理地在多個(gè)多核CPU之間進(jìn)行最優(yōu)化調度,以充分發(fā)揮多核架構的優(yōu)勢,使性能可以隨著(zhù)核數的增加而線(xiàn)性增長(cháng)。”
SonicWALL同樣運用軟硬件相結合的手段。SonicWALL技術(shù)經(jīng)理蔡永生介紹道:“軟件方面SonicWALL擁有獲得專(zhuān)利的RFDPI(免重組深度包檢測)引擎,這是全球第一個(gè)流掃描引擎,在快速流掃描的同時(shí)避免傳統UTM造成的網(wǎng)絡(luò )延時(shí)。在硬件方面,SonicWALL在2007年底首推了多核UTM硬件平臺,使用了Cavium公司的OCTEON芯片,這個(gè)專(zhuān)門(mén)為應用層安全設計的專(zhuān)用多核處理器能夠在不影響網(wǎng)絡(luò )性能的前提下保障網(wǎng)絡(luò )安全性。此外,正在研發(fā)中的SuperMassive采用刀片式架構,每個(gè)刀片采用16核架構,而且多個(gè)設備可以實(shí)現堆疊,大大提高UTM性能。”
電信級應用掃除三大障礙
據IDC發(fā)布的數據顯示,隨著(zhù)技術(shù)瓶頸的逐步解決,UTM的市場(chǎng)規模大幅增加,廣泛應用在能源、金融、高校、政府等行業(yè)和部門(mén),同樣在運用在電信運營(yíng)商的內網(wǎng)中,但是在電信骨干網(wǎng)等現網(wǎng)中,還沒(méi)有得到很好的應用。中國移動(dòng)網(wǎng)管支撐中心陳敏時(shí)表示,UTM的性能還沒(méi)有達到運營(yíng)商的需求,目前運營(yíng)商還是在使用防火墻、入侵檢測、防病毒等專(zhuān)用設備,但未來(lái)隨著(zhù)產(chǎn)業(yè)的成熟,UTM當然是一種很好的選擇。
據陳敏時(shí)介紹,UTM要在電信網(wǎng)中得到使用,需要在性能、線(xiàn)速以及標準化三方面繼續努力。首先我國的電信網(wǎng)流量很大,這需要UTM應該具有相適應的網(wǎng)絡(luò )吞吐性能。其次,運營(yíng)商希望UTM功能全打開(kāi)時(shí),要能達到線(xiàn)速的水平,即如果是10Gbit/s的接口,處理后必須是10Gbit/s,如果降低了就無(wú)法使用。第三,目前的UTM還沒(méi)有達到產(chǎn)業(yè)化的成果,行業(yè)對UTM沒(méi)有一個(gè)統一的標準,這導致了不同的廠(chǎng)商推出的UTM都是不一樣的,雖然都“美其名曰”解決了諸多瓶頸,但是方式、方法都存在異同,這同樣給運營(yíng)商采購UTM帶來(lái)難題,不同廠(chǎng)商的不同產(chǎn)品不便于在網(wǎng)絡(luò )中廣泛使用。
通信世界周刊
