Cisco認證網(wǎng)絡(luò)安全-UTM設(shè)備的選擇與評判

1、Cisco認證網(wǎng)絡(luò)安全:UTM設(shè)備的選擇與評判根據(jù)產(chǎn)品生命周期的理論，我們可以看到目前的防火墻正從成熟期向衰退期過渡，而UTM則正穩(wěn)步邁向成熟。但對于防火墻產(chǎn)品，由于標(biāo)準(zhǔn)化程度相對較高，用戶根本上不存在選擇的困難。而對于UTM, 一般用戶在選擇時通常是一頭霧水：由于目前針對UTM尚沒有形成正式的產(chǎn)品標(biāo)準(zhǔn)，因此各廠家實現(xiàn)UTM的技術(shù)方式，以及UTM所包含的功能特性都存在肯定的差異，甚至有個別廠商僅僅將防火墻進展簡潔包裝，就打著UTM的旗號進展宣傳，給用戶造成了很大的誤導(dǎo)。詳細到UTM的選擇上，用戶可能存在更多的懷疑：哪些功能是必需的?哪些功能是可選的？哪些性能指標(biāo)是打算性的？如何選擇性能適宜的設(shè)

2、備?如何才能實現(xiàn)更快捷高效的部署治理上述問題可以歸納為：如何推斷一款安全設(shè)備是合格的UTM設(shè)備，以及如何依據(jù)實際需求來選擇適宜的UTM。要答復(fù)這個問題，一般來說需要從功能、性能和治理性三個方面進展考量。功能的要求在UTM的全部功能中，并不是全部的功能都是必要的，用戶需要依據(jù)自己的需求來確定選購目標(biāo)。但一般來說，UTM設(shè)備應(yīng)當(dāng)包括如下根本功能，才具備根本的可用性：根底防火墻功能：包括狀態(tài)過濾、訪問掌握、NAT轉(zhuǎn)換等，這些是防火墻的根本功能，也是UTM中必不行缺的功能。入侵防備(IPS)功能：入侵防備功能是UTM區(qū)分于防火墻的最根本特征。傳統(tǒng)防火墻具有的是2-4層的防備力量，對更高層的協(xié)議不具備檢

3、測力量，而UTM正是通過入侵檢測和防備技術(shù)的實現(xiàn)，具有了 2-7層的全面防備力量。從這一個角度來說，入侵檢測力量的凹凸，是衡量一款UTM是否專業(yè)的重要標(biāo)準(zhǔn)。防病毒功能：UTM所采納的網(wǎng)絡(luò)防病毒引擎同桌面防病毒產(chǎn)品在實現(xiàn)上有肯定的差異，病毒的實際檢測率也是選擇UTM設(shè)備的重要參考。VPN功能：UTM應(yīng)支持最根本的VPN功能，即端到端的IPSec VPN。高可用性(HA)：由于UTM整合了眾多的安全特性，使得其對穩(wěn)定性的要求較一般安全設(shè)備要更加苛刻，由于一旦發(fā)生故障，可能會導(dǎo)致全部安全防備功能失效，造成無法挽回的損失。UTM應(yīng)具備高可用性，能夠采納主備模式，在檢測到鏈路和設(shè)備故障時由備份設(shè)備取代主

4、設(shè)備，供應(yīng)不連續(xù)的安全防護。上述功能可認為是UTM的標(biāo)準(zhǔn)功能，假如一款設(shè)備不具備上述全部功能，則不能被稱為合格的UTM設(shè)備。譬如有的廠家推出的產(chǎn)品雖然號稱UTM,但只是在傳統(tǒng)防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵擋網(wǎng)絡(luò)層的DOS攻擊而不具備入侵防備功能，在本質(zhì)上仍舊是防火墻的有限增加，其所能滿意的用戶價值也是有限的。除了上述功能，視不同用戶的需求，UTM可能還需要實現(xiàn)以下功能：動態(tài)路由功能：實現(xiàn)RIP、OSPF等路由功能，對于小型客戶，將路由器局部功能整合到UTM中，可以節(jié)約投資，并使得網(wǎng)絡(luò)接入更加扁平、易治理。擴展的VPN功能：通過SSL VPN和L2TP VPN，可以供

5、應(yīng)更敏捷的VPN組網(wǎng)力量，包括無客戶端或瘦客戶端的VPN部署，對動態(tài)用戶的支持等。內(nèi)容過濾：狹義的內(nèi)容過濾是對網(wǎng)頁內(nèi)容、URL、網(wǎng)頁控件等的過濾，廣義的內(nèi)容過濾還包括對各種互聯(lián)網(wǎng)應(yīng)用比方IM/P2P、網(wǎng)絡(luò)嬉戲、股票軟件、流媒體應(yīng)用等的檢測和掌握;在業(yè)務(wù)互聯(lián)網(wǎng)化的今日，這局部功能對用戶特殊是對企業(yè)用戶，價值日益凸顯。反垃圾郵件：對于UTM中是否實現(xiàn)反垃圾郵件，存在肯定的爭議，但不行否認的是在UTM中實現(xiàn)反垃圾郵件有肯定的先天優(yōu)勢，借助入侵防備引擎的深度掃描力量，對通過郵件的入侵可以到達良好的防備效果。而對垃圾郵件的處理性能上，UTM較專業(yè)的反垃圾郵件網(wǎng)關(guān)仍舊有肯定的差距。負載分擔(dān)功能：在雙機熱備

6、的根底之上，通過HA雙主或集群的方式，實現(xiàn)UTM的負載分擔(dān)。在對流量要求較高的場景下，通過負載分擔(dān)可以提高安關(guān)整體的數(shù)據(jù)處理力量。性能的要求對UTM產(chǎn)品來說，對其性能的考量較傳統(tǒng)網(wǎng)絡(luò)設(shè)備或防火墻來說要簡單的多。UTM的性能取決于其使用的詳細功能：使用不同的安全特性，甚至對同一安全特性的不同配置方式，對UTM性能的影響都是不一樣的。舉例來說，假如在UTM中同時使用防病毒和內(nèi)容過濾功能，性能確定比只使用防病毒功能要低;而在只使用防病毒功能的狀況下，對全部業(yè)務(wù)流量進展病毒掃描確定比只對Web業(yè)務(wù)流量進展掃描的性能要低。為了簡化起見，在評測UTM的性能時一般只考慮兩種場景：一是針對防火墻的性能，也就是

7、UTM只啟用根底防火墻功能，而不啟用防病毒、入侵防備等高級安全特性;另外是針對UTM全特性的性能，也就是開啟防病毒、入侵防備、內(nèi)容過濾甚至反垃圾郵件等全部高級安全特性。在第一種場景下，其性能的評估跟防火墻的性能評估方法是全都的。在對UTM全特性的性能評估中，主要考慮以下關(guān)鍵指標(biāo)：UTM應(yīng)用層轉(zhuǎn)發(fā)性能：傳統(tǒng)防火墻采納吞吐量來評估轉(zhuǎn)發(fā)性能，而UTM由于工作在2到7層，單純使用IP或UDP的吞吐量測試不具有實際意義，因此使用應(yīng)用層轉(zhuǎn)發(fā)性能來進展評估更加精確。通?？刹杉{HTTP并進展文件傳輸，來評估UTM所支持的應(yīng)用層轉(zhuǎn)發(fā)性能。并發(fā)連接數(shù)：并發(fā)連接數(shù)是UTM可以同時維護的用戶連接數(shù)，一般來說同一用戶會

8、存在多個連接。并發(fā)連接數(shù)越高，UTM所能支持的連接用戶就越多。新建連接速率：新建連接速率是UTM每秒鐘能夠處理用戶的應(yīng)用層懇求的速率，它代表了設(shè)備在面對大量網(wǎng)絡(luò)終端的訪問懇求時，所能表達出的響應(yīng)速度。假如新建連接速率，會導(dǎo)致用戶的網(wǎng)絡(luò)訪問速度慢等問題。對于UTM來說，自然是性能越高，所能供應(yīng)的數(shù)據(jù)處理力量更高，但高性能的處理設(shè)備必定費用昂貴，用戶在選擇時需要依據(jù)預(yù)算選擇具有適宜處理力量的產(chǎn)品即可。對于中小企業(yè)，可能選擇具有二三十兆轉(zhuǎn)發(fā)性能的UTM產(chǎn)品就已足夠，而對于大型企業(yè)或運營級用戶，則需要幾百兆甚至G比特的處理力量。治理性要求由于支持眾多的安全特性，UTM的系統(tǒng)治理面臨很大的挑戰(zhàn)。如何將防

9、火墻、VPN、防病毒、入侵防備、反垃圾郵件這樣眾多的功能有機地結(jié)合起來，使其既能便利配置，又能更好地協(xié)同工作，是UTM的系統(tǒng)治理要解決的首要問題。易用性是UTM系統(tǒng)治理最根本的要求，除此之外，還必需考慮到對病毒和入侵防備特征庫的升級更新、集中部署等狀況的支持。易用性：由于UTM包含了眾多的安全特性，因此能否便利快捷地部署，成為了用戶的首要訴求。曾有用戶調(diào)查顯示，用戶對UTM易用性的關(guān)注超越了入侵防備和防病毒，成為用戶在選購UTM時最關(guān)注的問題。集中治理力量：UTM應(yīng)當(dāng)具有基于組的集群治理功能，當(dāng)在一個網(wǎng)絡(luò)中部署多臺UTM設(shè)備時，可以通過集中治理中心來對設(shè)備組進展配置，這樣經(jīng)過一次配置，組內(nèi)全部

10、的UTM設(shè)備可以整體生效。另外通過集群治理，可以把分散在不同地方的UTM設(shè)備的日志進展統(tǒng)一分析處理，形成的網(wǎng)絡(luò)安全風(fēng)險分析報告。病毒庫和入侵防備特征庫的在線升級：跟防火墻不同，UTM的病毒庫、入侵特征庫、反垃圾郵件庫必需準(zhǔn)時進展更新，這樣才能具有最新的安全防護力量，因此需要對UTM定期進展升級。尤其是通過在線升級的方式，能夠保證設(shè)備在最短的時間內(nèi)獲得更新。能否供應(yīng)在線升級，以及在線升級的頻度，是考慮廠家實力和技術(shù)水平的重要指標(biāo)。日志和流量處理力量：UTM應(yīng)能夠?qū)Σ《?、入侵等高威逼性大事進展日志記錄，并通過郵件等方式進展告警;應(yīng)能通過NetFlow等技術(shù)對網(wǎng)絡(luò)流量進展分析，可以查詢實時流量和歷史流量，這不僅可以幫忙治理者更好地評估網(wǎng)絡(luò)狀況，還能夠通過特別流量分析，發(fā)覺埋伏的網(wǎng)絡(luò)威逼。依據(jù)對功能、性能和治理性三個方面的評估，用戶根本上能夠選擇合格、適宜的UTM設(shè)備。目前可供選擇的UTM品牌眾多，國外的包括Juniper、Fortinet、Sonicwall