登录
由此可见,传统的UTM技术也已经无法满足包括中小企业在内的众多用户日益增长的网络需求和安全需求。
硬件性能制约安全功能
那么现在到底应该需要什么样的信息安全设备可以满足用户现在以及未来的信息安全需求呢?我们应该先从其对安全的需求和管理说起。Juniper认为,理想的安全管理应该包括四大部分:
首先,设备应该具备丰富的安全功能可以阻挡包括网络、应用和内容等在内的不同方面的攻击;其次,预留额外的性能空间来保护高速局域网,其中很重要的一个指标就是可处理百兆以上的内容安全流量;再次,支持各种LAN和WAN连接方式;最后,由企业在总部进行集中控制管理也十分重要。
达到上述要求说起容易做起难。因为集成式防火墙或者是UTM不能充分发挥全部功能的制约条件是硬件。就好比从前,在486这个老古董上不可能让WINDOWS 95飞奔一样,目前网络硬件设备的运算速度是无法兼顾性能与效能的。
要兼顾性能与功能的平衡
从长远发展看,硬件性能一定会发展,然而在目前条件下如何让防火墙和UTM设备在性能与效能之间取得一个平衡点,则是我们的当务之急。
解决方法就是根据用户实际情况细分安全需求,将安全设备的系统资源进行合理分配,针对UTM设备中经常提到IPS、病毒防护、反垃圾邮件、VPN和URL过滤等功能分析一下,我们就可以看出哪些功能是用户需要,同时还不会影响到设备的性能:
在安全设备硬件条件没有质的飞跃条件下,IPS和防火墙从功能上看应该分开,防火墙起源于路由器属于网络第三层设备;而IPS则是第七层的网络应用,对于用户而言,最关键安全应用是入侵防御,是保护服务器不被人入侵,但IPS同样非常重要。为了解决这个矛盾,Juniper现阶段是将防火墙和IPS以不同模块的形式集成在一个设备内,同时二者保持配置的相对独立性。
众所周知,目前病毒大致可以分成三大类:文件型病毒、网络病毒(以蠕虫病毒为代表)以及Web病毒。利用网关设备防范文件型病毒听起来就有些可笑,毕竟是“术业有专攻”,文件型病毒还是应该由专门的杀毒软件来处理更为合适,这样对设备的效能提升以及网络传输速度均会有大幅提升。
如今利用Web页面进行传播已经成为木马病毒快速流传的主要手段,网关型安全设备对此应该具备一定的防范能力,应该对文件的大小有所限制。
垃圾邮件防护功能虽然对安全设备的系统资源损耗较大,但由于其传输不要求时时性,因此集成型防火墙以及UTM完全可以使用垃圾邮件过滤功能。
VPN功能现在几乎成为防火墙、UTM设备的标配功能,这一点也是值得我们注意和商榷的。从应用上看,VPN主要有SSL VPN和IPSec VPN两种,其中IPSec VPN是一种基础设施性质的安全技术,它尽量提高IP环境的安全性;而典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。作为网关设备,IPSec VPN功能更适合植入其中,SSL VPN当有大量用户使用时,将极大消耗系统资源。因此我们认为,集成式防火墙以及UTM产品应集成IPSec VPN功能。
| 第1页:第一代UTM很难真正满足用户需求 | 第2页:硬件性能制约安全功能 |
