随着Hi-End级IPS设备的崛起,将所有安全功能集成在IPS中的设想已经成为现实。高性能、高可靠、高安全、高性价比,我们仿佛已经感受到了新一代UTM设备的深远影响。
传统UTM的瓶颈
在上期《网络世界》的技术特写中,我们曾经讨论过,随着IPS的性能越发强大,很多IPS厂商已经开始将大量的安全功能,如VPN、网页过滤等集成到IPS而不是防火墙上。特别是一些Hi-End级IPS厂商,更是将全功能的防火墙集成于自家产品之中。
这不由让记者想到了另外一个产品—统一威胁管理(UTM)。UTM是近年来比较热门的话题:它提倡在一个硬件平台上整合各种安全功能,如防火墙、VPN、网关防病毒、入侵检测与防御、流量分析、内容过滤等,它的出现在于一些中小企业用户缺乏安全技术人员,希望凭借网关处的一个硬件设备,一揽子解决所有的安全问题。
业内人士指出,UTM的概念是完美的,但在以前的具体实施中存在问题。
很多用户在实际应用中都将反病毒或者IPS功能关闭,因为只有这样设备才能正常运行。一旦将反病毒功能打开,一些设计不佳的UTM产品性能迅速衰减,有些降幅甚至在70%以上,这是用户不能忍受的;而一旦打开了IPS功能,由于许多厂商的IPS技术基础是建立在IDS之上,并没有实质性的进展,在off line的IDS上人们能够容忍高误报率,但在in line模式的IPS中将会导致网络不断被虚假的报警阻断,正常的流量进不来。
TippingPoint网络技术顾问李臻认为,性能的问题可以通过采用更好的芯片技术,如“FPGA + NP”来解决,一些Hi-End级的IPS厂商都已经具备了这样的实力,而且在高性能的基础上,厂商可以采用更加深入的检测方法,因此目前高端IPS误报率已经得到了很好的控制。
不过,正是由于过硬的IPS产品大多掌握在Hi-End大厂手中,因此很多厂家认为UTM设备的定位应该进行调整。
新基础、新定位
Juniper的技术经理徐洪涛指出,传统的UTM设备被定位在低端市场,这不仅影响了厂家投入的积极性,而且对于用户的实际应用也是不公平的。他表示,从2004年起,随着高端IPS产品大量整合安全功能与服务,预示着UTM设备将会从传统的以防火墙为主导,过渡到以IPS为主导,而UTM整体市场的发展,也将会向高端延伸。
“多合一的安全网关简化了用户的安全设备部署,也方便了用户的安全管理,也是网络安全发展的一个方向,个人认为这样的设备集成到哪里、叫什么名字并不重要,关键是看能否提供足够的安全功能和性能实现。”徐洪涛说。
从目前情况看,国内用户部署UTM设备的目标都是为了减少节省设备和人员成本,同时减少因为攻击而引起的损失,可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击。从这个意义说,UTM设备可以有效地保护重要的网络资源,同时最大限制地减少因为攻击分析、响应和灾后恢复引起的人力成本,从而节省企业的开销。
Radware的资深工程师滕昕表示,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念。
虽然主流Hi-End大厂在UTM设备中加入了众多的新兴技术,不过目前市场的主要出货量还在中低端。
针对这种情况,Juniper大中华区新兴技术经理吴若松解释说,由于UTM设备是in line模式接入,因此设备本身必须具备良好的性能和高可靠性,同时在统一的管理平台下,实现集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,因此,向UTM方向演进将是IPS的发展趋势。他认为,以IPS为基础的高端UTM设备至少需要具备五大特征:
第一,实现网络安全协议层防御。普通的防火墙、IPS只能实现第二到第四层的防护,但是真正的安全不能停留在底层,用户需要一个深入内容的安全检测,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护是UTM设备必须做到的。
第二,通过分类检测技术降低误报率。in line模式的设备一旦误报率过高,将会对用户带来灾难性的后果。因此UTM设备也必须和Hi-End级IPS设备一样,在深度包检测方面下功夫,同时实现精确匹配与升级服务,从而保证效果。
第三,对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙,对于有意延伸到高端应用的UTM显然不合适。
第四,具有高可靠、高性能的硬件平台支撑。IPS型UTM设备必须以高性能、高可靠性的专门设计、专用芯片、专用硬件平台为支撑,以避免UTM设备在复杂环境下,性能与可靠性出现瓶颈,威胁到用户业务的正常运行。
第五,实现功能的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地进行管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
代表产品
据悉,符合上述五点要求的高端UTM产品已经出炉,以Juniper、Radware、Fortinet、WatchGuard为代表的厂商已经在新产品中取得突破。
像Juniper ISG就是一款有代表性的产品。ISG是涵盖了全功能深层检测防火墙、VPN 和DoS解决方案的集成安全网关产品,能够为关键的高流量网络分段提供安全可靠的连接以及网络层和应用层保护。Juniper ISG可以提供多个千兆位接口、模块化架构和虚拟化功能。基本防火墙/VPN系统最多支持4个I/O模块和3个安全模块,用于IDP集成。ISG系列可通过升级来支持集成入侵检测与防护功能,从而针对现有和新型威胁提供网络层和应用层防护功能。
而Radware的实现方式更加灵活,它将内容检测CID与入侵防御DP作了结合,不仅可以利用StringMatch硬件引擎实现安全交换和高速的深入包检测,而且可在对所有网络流量进行双向扫描的基础上,提供容错和充分优化的防病毒扫描和内容过滤功能。CID可优化任何防病毒过滤工具或URL过滤工具,从而实现了灵活、可自定义的安全架构,确保了高性能、高性价比和高度可扩展的内容安全和应用安全。
新UTM的发展方向
■ 基础架构
● 以Hi-End级IPS为基础
● 在七层防护基础上,提高性能、降低误报率
● 对DoS及DDoS有专门的防御手段
● 集成全功能防火墙产品
■ 应用实现
● 能够实现多种功能的统一管理
● 从中低端市场向高端市场延伸
● 易部署、易使用,方便用户的安全管理