X-UTM之五步出击


【CNW.com.cn 专稿】2009年新年伊始,伴随着金融海啸的冲击,以IDC为代表的市场分析公司在全球推出了应对经济危机的全新信息安全技术与标准。其中最为著名的,就是目前大红大紫的X-UTM技术标准。

一击:X-UTM路向何方

根据IDC的报告,X-UTM标准的推出,主要是考虑到企业在经济环境不景气,IT预算缩水的大背景下,安全产品与技术方案必须满足企业用户安全应用与管理的需求。与传统UTM技术不同的是,X-UTM技术标准更加关注产品的功能集成度,产品的网络层强壮性,技术融合的可用性,简化管理的复杂度,灵活的产品部署,以及全功能的原发型响应支持。

此前Fortinet中国区技术总监李宏凯在接受本报独家专访时表示,早先UTM技术的推广和应用最初是从中小型企业开始的,因为UTM产品真正帮助他们节省了费用和维护成本,实现了安全的最优化实施。但大部分高端用户依然比较支持传统的安全分布式设备和实施方式。另外一方面,这些大型企业对UTM技术的成熟性和实际效果不是很信任。

因此,X-UTM的扩展性概念就是希望高端用户能接受这样的技术。近年来,安全威胁的融合性也逐渐使高端用户意识到分布式安全的防御弱点和动态安全的管理成本问题,但对UTM的性能和技术还有一定的排斥心理。X-UTM技术对硬件技术和软件系统提出了更高的要求,使真正的X-UTM产品可以完全满足高端用户的实际需求。

从X-UTM技术分析,其核心内涵就是提高了UTM安全防御技术的实用性和扩展性,使其优秀的多层安全技术紧密融合并有效使用。根据IDC的观点,X是扩展性的标记,代表没有具体的限制。因此,X-UTM的技术本身就意味着对未来的扩展性支持。可以说是下一代安全网关的完美诠释,甚至用终结描述也不为过。

不过有意思的是,Hillstone首席技术专家杨庆华向记者透露,他不认为X-UTM会取代当前的UTM市场。他表示,X-UTM是UTM技术的延伸,可以解决过去UTM的很多缺点(比如产品性能的不足,产品在增加新的功能后,整机能力不足等)。应该说X-UTM是下一代的UTM产品,只是UTM技术发展的下一个阶段并不是一个新的产品类型。

二击:X-UTM的技术标准

事实上,IDC提出的X-UTM概念,主要确定了安全产品的一种发展方向和以安全需求为导向的扩展性标准,其中没有固定的具体功能标准。这点也正体现了UTM技术发展的可持续性。

换句话说,UTM的目的是在一个系统上解决用户所面临的绝大部分安全问题。除了今天企业用户所了解的防火墙、防病毒、反垃圾邮件、IPS入侵防御、网页过滤等安全功能外,基于企业的网关边界来提供安全检测技术已经成为X-UTM研究发展的基础。例如Fortinet最新系统就增加了DLP数据泄密保护、广域网加速、SSL加密数据安全检测等多项扩展功能。这些都可以为企业用户提供更完善和低成本的安全管理部署。

另外,杨庆华也认为,X-UTM作为下一代UTM技术,首先必须解决UTM性能上的问题。除此之外,X-UTM应该针对安全攻防发展的趋势,对安全做更加细粒度的控制,做到对用户和应用的精确识别和管理。对此,他表示利用多核及多核并行技术,将会极大地提高安全产品的稳定性及运行所有安全功能后的性能问题,所以不排除X-UTM设备占领大型企业和高端行业用户的可能。

此前Check Point安全顾问杜建峰曾向记者透露,他心目中的X-UTM应该具备灵活的功能性和统一的管理性两类技术标准。有意思的是,在记者看来,Check Point 在今年新推出的软件刀片架构正是IDC X-UTM定义的理想体现。要知道,这种软件刀片架构不仅适用于大型企业和高端行业用户,同时也适用于中小型企业用户。企业用户可以根据需求,灵活选择一个或多个软件刀片功能。毕竟大型企业也有一个从中小型发展的过程,也有一个根据需要从一个刀片扩展到多个刀片的功能需求。

相对而言,Fortinet新推出的FOS4.0系统完全体现了X-UTM的可定制化、可扩展性和统一管理的技术标准。其X-UTM的核心系统不仅完全扩展了网络层到应用层的安全和管理,而且还进行了一定的扩展设计。

三击:X-UTM网络层情结

UTM是统一威胁管理的安全防护,是可以配置在企业网络出口、服务器前端的设备,以便实现不同业务网络之间等各种应用环境下的网络到应用层的全方位防御。

对此,李宏凯始终坚持,X-UTM和目前市场上的Web网关,包括部分行为管理的产品不是一个概念。他认为,类似的产品只是把UTM或者X-UTM的部分功能整合在一起,以部分应用为基础进行销售,依然是以某种应用为防御基础的。例如Web安全网关仅对基于HTTP的应用进行保护,网络层安全和其他协议的内容安全是不进行防御的。他补充说,Fortinet公司的产品线中也有专用的Web安全网关,但这决不是UTM或者X-UTM的概念。

客观的说,这些独立的安全产品有一定的市场应用空间,对一定的用户环境是有价值的。具体来说,要区分X-UTM和这些专项产品的特点。用户可以根据具体的实际需求进行选择,专项产品的保护对象和功能覆盖是不能拿来和X-UTM产品做比较的。

在记者看来,只有在真正解决了网络层安全的基础上,才能提供有平台基础来承载X-UTM的多样化应用安全防御。UTM也好,X-UTM也罢,其产品首先是个高速的网络层安全设备,保证基本的网络层数据的最大数据转发性能和底延迟是基础。否则在实际网络中,接口的处理性能出现问题,就更谈不上应用层数据的处理了。

此前IDC曾经撰文表示,在X-UTM的系统结构中是分层多引擎处理的,不同的应用有不同的检测系统,不需要上层处理的网络数据包也不会有任何的影响,直接在接口芯片就可以进行快速转发。因此可以实现不同数据包的并发处理。

“真实的网络环境中混杂着不同的协议。不同的数据包大小, 不同的复杂应用, X-UTM的特点就在于其对真正混合数据的全面处理技术,不是单一的协议支持,单一的防御技术。因此,网络层的高速性能是前提和基础。”李宏凯如是说。

对此,杨庆华的看法更加务实一些,他说:“对HTTP协议的深层解析仍然是X-UTM的必不可少的部分。但是,企业内部和英特网上的网络协议不仅没有简化的趋势,反而有快速发展的势头。P2P、IM等等网络应用越来越多,协议的变化也越来越频繁。作为实现统一安全管理的设备,X-UTM必须对这些变化做即时的响应,才能保证用户的网络正常运行。”

另外他也认为,X-UTM是对一个安全厂商综合实力的考验,不但要考验厂商的防火墙、VPN等传统安全的开发和市场适应能力,同时也是对厂商综合安全能力的考验。比如防病毒、入侵防御、攻击研究、Web应用过滤等。另外,这也是对厂商的网络应用开发能力的考验,对动态路由协议的支持、网络管理能力、带宽管理能力等。最后,这还是对厂商硬件设计能力的巨大考验。

持类似观点的还有杜建峰,他也认为,多功能综合安全网关是一个复杂的系统,不能仅仅关注HTTP一个点,而是要结合各种应用,包括对VoIP的安全保护。这样算下来,X-UTM对系统硬件的处理能力要求极高。从实际情况看,比起专有的应用保护设备,X-UTM性能开销要高出多个数量级。

为此,杨庆华强调,如果厂家没有强大的硬件研发能力,只靠传统的工控机厂商提供商品化的硬件,是无法满足X-UTM对高性能要求的。同时,如何使高性能的硬件在系统中发挥最大的能力,则需要一套实时的、多任务并行处理的安全操作系统,这对于大多数的安全厂商又是一个很大的难题。所以,只有具备各方面综合实力的厂商才能做X-UTM。

四击:X-UTM体系结构

记者发现,由于X-UTM的技术复杂性,导致其产品体系结构呈现不同格局,像多核、NP、ASIC、甚至是FPGA,都曾在市场中出现过。不过要说到最看好哪种体系结构,专家们的意见又往往大相径庭。

事实上,每种硬件技术和结构都有其一定的特点和优势,最重要的是硬件结构要显现和服务于哪些安全功能。既然今天的安全趋势讲的是网络和应用的融合,那么在记者看来,只要能提供网络层和应用层最佳的性能和扩展性的硬件结构,就是最合适的结构。

李宏凯认为,X-UTM作为统一威胁的安全网关,要检测2~7层的数据流,要保证网络层数据流的最小延迟和最大转发率,因此基于网络接口的NP+ASIC芯片是最有效的技术。它可以保证最稳定和高性能的3层包转发率。另外,X-UTM同时也是台路由器,这是最基本的性能需求,需要保证视频、音频、DNS、UDP等数据包的高速性能。其次,X-UTM需要进行深层包重组和深度检测的安全协议,如HTTP、SMTP、POP3、SMTPS、HTTPS等等,需要加速处理内容层解码和扫描速度的芯片。Fortinet正是采用了两种芯片技术进行分层处理,来保证最高性能的X-UTM处理。

相对而言,杨庆华更加看好多核安全体系结构,但他并不排斥ASIC和NP结构。“应该说各种体系结构都有其自身优势,怎么能让各种技术发挥最大的作用,才是厂家要努力去做的工作。目前的Hillstone产品,已经做到了利用ASIC的高速转发能力做3~4层的处理;利用多核的高处理能力,做VPN、应用层分析和处理。所以,综合各技术优势的综合体系结构才是最理想的体系。”

五击:真伪X-UTM

虽然目前X-UTM概念推出时间不长,但市场中已经存在一种“真伪X-UTM”的声音。有专家认为,像“第三代Web安全网关,高性能安全网关,UTM2等产品都属于伪阵营”。认为其网络处理的短板不能称之为X-UTM。

对此,杨庆华坦言这个问题很敏感。出于对友商的顾虑,他并没有直接引用伪X-UTM一词。“任何产品,不论它叫什么,都只是称呼,大家的目的只有一个,满足用户的要求。一个产品功能很全,在用户环境中使用了某项或某几项功能,网络就出现了严重的阻塞,用户还会使用这样的功能吗?那这个功能还有什么实际的用途吗?从我此前对X-UTM的理解,用户必然会得出真伪的答案。”

无疑,X-UTM技术是为用户的安全防御而设计的,不是单一的安全产品。对此李宏凯表示,现在市场上有很多不同类型的安全网关类产品,很多都是把几个安全功能合在一起,就成为了一个网关,这些产品都不是真正的X-UTM产品。

他说:“X-UTM之所以是统一威胁管理的技术,重要的特点就在于它真正地实现了网络到应用的融合,这种融合没有核心的软件和硬件技术是不能真正实现的。这种融合涵盖了多种协议的IPS系统攻击防御、系统的邮件安全、P2P的应用鉴别、应用级的安全识别等等,而这些才是X-UTM的核心所在。”(更多内容详见http://www.cnw.com.cn/P/1365)

编看编想

X-UTM的未来之路

X-UTM的特点就是可扩展性,其最大挑战也是对未来统一安全威胁的快速响应和扩展性,以及服务能力和管理能力的扩展性。

此前本报曾就X-UTM技术进行过分析,总的来看,X-UTM厂家必须具备不断发展的安全技术和服务能力。无论是Check Point、Hillstone、Fortinet这些已经推出X-UTM产品的厂商,还是打算推出X-UTM产品的厂商,都需要明确一点——X-UTM技术需要为用户提供最完善的安全功能防御和安全服务系统。

根据美国《Network World》的报道,基于X-UTM的安全服务系统正在与云安全的概念融合。以Fortinet为例,每个用户都可以在终端设备上连接到FortiGuard云安全服务网络。不断推出的安全特性丰富了X-UTM的绿色安全概念。

目前来看,大量新型安全技术与X-UTM的整合在加快。其中包括新推出的广域网络加速技术、SSL加密流安全检测技术、终端安全的统一管理技术、应用层控制技术、DLP数据防泄密保护技术、甚至是基于用户的安全定制技术等,统统都在被X-UTM“据为己有”。

换句话说,在不远的将来,X-UTM所具备的令人惊讶的实用性,将会真正实现统一威胁扩展的理念。