下一代UTM设备的选择与评判

UTM设备的急速发展，在美国市场的市场份额已经超过了防火墙。在国内市场，单纯的防火墙也显现出市场份额逐步降低的趋势。尤其是进入2009年以来，这个趋势更加明显，越来越多的用户开始选择UTM，或者从防火墙升级到UTM，来为自己的网络提供更深层次、更具管理性且更全面的防御能力。

用户在选择防火墙时，依照吞吐量、并发连接数等数据标准参考，基本上不存在设备选型的困难。由于各个厂家对于UTM的技术实现方式各不相同，甚至有些厂家将防火墙进行简单包装，就打着UTM的旗号大肆宣传，迷惑用户对UTM的选型。

l 传统UTM问题重重

传统的UTM解决方案在命名、性能、吞吐量、冗余和管理上存在的种种问题。实际上是将几种不同的产品封装在一个盒子里，没有考虑太多有关产品集成或冗余堆积的问题，由此会导致对数据流量进行两次、甚至三次的检测，从而严重降低了网络传输的性能。对于网络流量大的企业来说，这类产品并不实用。

如今，IDC又提出了代表七层融合安全的下一代安全网关——X-UTM，用户又该如何选择?

根据IDC的X-UTM技术标准，安全产品在全功能打开情况下，不仅要完成HTTP的大包处理，而且要完成各种网络应用协议的小包处理，在此基础上单个端口吞吐量仍然可以达到1Gbps，再加上其具有的高可用性(会话级别切换)、多安全区域等功能，从而可以从技术上保证企业用户关键应用的安全实现。

对X-UTM而言，其诞生的意义源于安全，其首要标准就是“管理网络层，控制应用层”。维护从网络到应用的安全体系，成为了X-UTM的价值所在。如何判断一款安全设备是合格的X-UTM设备，以及如何根据实际需求来选择合适的X-UTM。

l 合格X-UTM的三大指标

根据IDC和Fortinet的设计要求，一款合格的X-UTM设备，其处理引擎必须具备分类处理的能力，比如针对HTTP实现处理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。

因此，所谓帮助用户实现应用层安全，就是要使安全设备符合真正互联网流量的体系结构，而不是单独做一个Web安全网关。要回答这个问题，一般来说需要从功能、管理和管控三个方面进行考量。

第一，丰富的功能

有的厂家推出的产品虽然号称UTM，但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能，或者仅仅能够抵御网络层的DoS攻击而不具备入侵防御功能，在本质上仍然是防火墙的有限增强，所能满足的用户价值也是有限的。

X-UTM对用户来说，作为一种网关产品，X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现，单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备，其核心都是在保护Web，这些设备不需要考虑DNS、VoIP，它们都属于应用层的专项安全产品。

同时，X-UTM还需要能够提供完全的IP安全审计。通过对病毒、Web过滤、垃圾邮件等等模块的日志审计报告的分析，系统需要能够完全体现出这些七层威胁，包括对数据还原的支持。对于企业管理员来说，信息泄露、BBS信息都要能够完整地被还原。

第二，可定制的管理

无论是UTM，还是代表下一代安全网关的X-UTM，由于支持众多的安全特性，X-UTM的系统管理面临很大的挑战。如何将防火墙、VPN、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来，使其既能方便配置，又能更好地协同工作，是UTM的系统管理要解决的首要问题。易用性是UTM系统管理最基本的要求，除此之外，还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。

同时，如何让用户去习惯系统，将其变成自己的东西，而不是混杂地去被动接受，这是很重要的。而且这个定制化的体系，必须具备丰富性的特点。比如针对防病毒，需要支持流行的协议，如FTP POP3 Web 2.0 IM等等，还要考虑不同的端口、文件的大小限制、超时如何处理、文件类型识别等多种情况，系统必须支持灵活的配置。

而在Web过滤方面，安全厂商必须有一个服务系统，帮助用户去识别全球不同类型的网站，主动帮助用户去进行分析，才能体现自身的服务优势。如果仅仅自己写一个地址、域名，根本就不符合X-UTM的初衷。因为根本达不到帮助用户真正屏蔽有害网站的效果。要知道，当前越来越多的网站隐藏性都很强，需要专业公司的技术帮助。

第三，策略化管控

根据Fortinet的统计，一个中等规模的企业，其网络流量分配比例大致为：25%的HTTP封包，75%的UDP、DNS、IM、视频等应用。不难看出，HTTP协议仅仅是网络中的一部分，大量的基础网络协议和应用都需要X-UTM提供周到的保护。对于中小企业，可能选择具有二三十兆转发性能的UTM产品就已足够，而对于大型企业或运营级用户，则需要几百兆甚至G比特的处理能力。

X-UTM对企业而言，由于要管理的范畴大得多：企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护，甚至是企业内部的每一个个体都需要保护。

比如像Web过滤，里面有大量的特性，X-UTM需要根据用户的群组、不同用户的角色分配，判定哪些用户可以访问哪些资源，哪些用户不能访问哪些资源，或者通过特殊的策略，灵活进行分配。

在集群管理方面，当在一个网络中部署多台X-UTM设备时，可以通过集中管理中心来对设备组进行配置，这样经过一次配置，组内所有的X-UTM设备可以整体生效。

换句话说，不能说Web上有策略就是过滤，从Fortinet的经验看，具体的分类标准——50类起步，没有80类都不能算优秀。可以看出，X-UTM强调颗粒化的安全管理，不能把所有结果丢给用户，需要符合用户的实际需求。