防火墻的終結(jié)者

“防火墻已經(jīng)死了，現(xiàn)代的網(wǎng)絡(luò)安全產(chǎn)品就是UTM”，作為世界上首次提出UTM概念并推出UTM設(shè)備的Fortinet公司總裁兼CEO的謝青作出這個論斷時，距從2004年IDC正式給出UTM（Unified Threat Management，統(tǒng)一威脅管理）的定義時算起只過了五年的時間。事實上這個時間還可以再縮短一些，當(dāng)2008年7月28日，Cisco宣布其暢銷多年的PIX防火墻停止銷售，取而代之的是ASA系列UTM產(chǎn)品時，就已經(jīng)意味著防火墻時代的終結(jié)，UTM時代的開始。

UTM具有高度集成的安全功能，到如今，它已遠遠超出最初IDC定義時防病毒、入侵檢測和防火墻的范圍，它還可將內(nèi)容過濾、反垃圾郵件、VPN等諸多安全功能集成到一個設(shè)備中來，這種設(shè)計模式在當(dāng)前網(wǎng)絡(luò)威脅復(fù)雜化的趨勢下，滿足了企業(yè)對威脅管理多樣化的要求，受到業(yè)界的追捧，一直以來增長迅速。據(jù)IDC報告顯示，目前UTM市場已經(jīng)超過了防火墻市場，到2011年UTM將會是最大的單向市場，復(fù)合年均增長率將達到26.2%;在中國，2009年UTM市場規(guī)模將超過10億元，并且未來5年內(nèi)，年復(fù)合增長率超過50%。

使用UTM產(chǎn)品的優(yōu)勢

UTM將諸多安全功能高度集成，帶來的好處的顯而易見的。

首先是整合所帶來的成本降低。在UTM產(chǎn)品的購買者中，中小企業(yè)用戶占很大一部分，這些企業(yè)由于成本所限，難以針對其各方面的安全需求獲得一個滿意的安全解決方案，而UTM產(chǎn)品可讓他們以較低的成本獲得更加全面的安全防護。

其次，可大大降低安全部署及維護的技術(shù)。使用UTM產(chǎn)品可一次性獲得多項安全功能，這與同時使用多個不同網(wǎng)絡(luò)安全設(shè)備相比，部署起來會簡單得多，而且也便于網(wǎng)絡(luò)管理員進行管理和維護。

另外，UTM產(chǎn)品中集成多項安全功能，UTM廠商為了便于用戶使用，往往都極為注重產(chǎn)品易用性，對于缺乏信息安全人員的中小企業(yè)來說，使用起來會簡單得多，而且需要的安全技術(shù)人員數(shù)量也會更少。

當(dāng)前UTM面臨的問題

不過，高度集成在帶來好處的同時，也帶來了一些壞處。作為立體防御的安全網(wǎng)關(guān)，UTM在快速發(fā)展并被越來越多用戶認可的同時，一直就面臨著不少問題。

首先是安全功能高度集成帶來的性能下降問題，這一直是制約UTM發(fā)展的瓶頸。很長時間以來，UTM產(chǎn)品的購買者主要集中在政府以及中小企業(yè)用戶上，而電信、金融、電力等大型企業(yè)少有涉足，主要原因之一就在于其性能的不足。不過，如今一些UTM廠商已經(jīng)推出了萬兆多核級的UTM產(chǎn)品，這在一定程度上解決了性能不足的問題。

還有一個是易用性的問題，“簡單、易用”，這是很多用戶購買UTM產(chǎn)品時考慮的一個重要方面。由于UTM中集成有多個功能，如何在部署配置、管理維護，以及對網(wǎng)絡(luò)的兼容性上保證易用性，這成為UTM廠商開發(fā)產(chǎn)品時需要考慮的重點之一。

另外一個則是功能強大性的問題，UTM在一個產(chǎn)品中有多個安全功能模塊，而一個安全廠商往往只在一兩個方面具有自己獨特的技術(shù)長處，如何保障眾多安全功能模塊中每一個的功能都能媲美單獨設(shè)備的功能，這也是UTM廠商在開發(fā)中需要考慮的重點。目前，大多數(shù)廠商除了加強自身技術(shù)實力外，往往采取強強聯(lián)合的方式來增強各個模塊的功能，如今UTM的功能強大性基本已得到用戶的認可。

此外，由于涉及到多個功能模塊，UTM系統(tǒng)的穩(wěn)定性也會受到一定影響，相比傳統(tǒng)安全設(shè)備而言，UTM的穩(wěn)定性仍有不足。

而且，由于將所有安全功能放在一個設(shè)備上，風(fēng)險也集中到了UTM上，如果UTM設(shè)備出現(xiàn)問題，將會導(dǎo)致安全防御措施失效，若UTM設(shè)備存在漏洞，也可能造成嚴重的影響。

除了以上這些高度集成帶來的弊端外，由于目前多數(shù)UTM產(chǎn)品所包括的安全功能都是傳統(tǒng)的邊界安全防護網(wǎng)關(guān)的功能，傳統(tǒng)網(wǎng)關(guān)防御的弊端，即無法應(yīng)對來自內(nèi)部的威脅這一缺陷仍然存在。不過目前已有廠商作出了嘗試，如啟明星辰前不久推出的UTM2網(wǎng)關(guān)?終端統(tǒng)一安全套件，該產(chǎn)品將網(wǎng)關(guān)安全和終端安全產(chǎn)品組合在一起，進一步進行跨界組合，以圖實現(xiàn)對網(wǎng)絡(luò)邊界和內(nèi)網(wǎng)終端的全面防護。

下一代的UTM

如今，隨著企業(yè)IT應(yīng)用越來越多，網(wǎng)絡(luò)狀況越來越復(fù)雜，企業(yè)面臨的網(wǎng)絡(luò)威脅也在不斷變化，并且越來越多樣化，企業(yè)的安全需求也在不斷變化，對UTM提出了更高的要求，而上述UTM的弊端也愈發(fā)突顯。而且，特別是自金融危機以來，由于IT預(yù)算縮緊，不少原本對UTM興趣不大的高端用戶也把目光轉(zhuǎn)移到UTM上，這也要求UTM的技術(shù)與性能再上一個層次，才能滿足他們的需要。這種情況下，IDC提出了UTM的下一代技術(shù)標準：X-UTM（也稱為可擴展UTM或企業(yè)級UTM）。

X-UTM并非一個新的產(chǎn)品類型，我們更應(yīng)該說，它是下一代的UTM。作為UTM的下一代技術(shù)標準，X-UTM的核心在于面向用戶安全需求進行靈活擴展，使其優(yōu)秀的多層安全技術(shù)緊密融合并有效使用。與傳統(tǒng)UTM技術(shù)相比，X-UTM技術(shù)標準更加關(guān)注產(chǎn)品的功能集成度、產(chǎn)品的網(wǎng)絡(luò)層強壯性、技術(shù)融合的可用性、簡化管理復(fù)雜度、靈活的產(chǎn)品部署，以及全功能的原發(fā)型響應(yīng)支持。

而要實現(xiàn)這些，X-UTM首先必須解決性能上的問題。根據(jù)IDC的X-UTM技術(shù)標準，X-UTM安全產(chǎn)品在全功能打開情況下，不僅要完成HTTP的大包處理，而且要完成各種網(wǎng)絡(luò)應(yīng)用協(xié)議的小包處理，在此基礎(chǔ)上單個端口吞吐量仍然可以達到1Gbps，再加上其具有的高可用性（會話級別切換）、多安全區(qū)域等功能，從而可以從技術(shù)上保證企業(yè)用戶關(guān)鍵應(yīng)用的安全實現(xiàn)。而且，在真實的網(wǎng)絡(luò)環(huán)境中，X-UTM設(shè)備放在企業(yè)內(nèi)網(wǎng)里需要承擔(dān)不同的協(xié)議和流量，其處理引擎必須具備分類處理的能力。比如在1G的出口流量中，針對HTTP的實現(xiàn)應(yīng)用層安全處理吞吐至少應(yīng)達到400M、SMTP 300M、POP3 300M，而網(wǎng)絡(luò)層轉(zhuǎn)發(fā)應(yīng)該達到1G。而這些都對UTM廠商的綜合實力提出了嚴峻考驗，這些廠家必須具備不斷發(fā)展的核心的軟件及硬件技術(shù)和服務(wù)能力。

目前，僅有部分UTM廠商已推出可以稱為X-UTM的產(chǎn)品。但我們可以預(yù)見，在不遠的將來，X-UTM將為以其令人驚訝的實用性，真正地實現(xiàn)從網(wǎng)絡(luò)到應(yīng)用的融合，實現(xiàn)統(tǒng)一威脅擴展的理念。