Fortinet倡導X-UTM回歸全面安全之道
【51CTO.com 綜合消息】曾幾何時,以全面安全著稱的UTM系統被各種“雜七雜八”的“功能”所充斥,對用戶而言,對于UTM部署的毫無頭緒已經造成了嚴重的困擾。今天,X-UTM的出現徹底改寫了UTM設備混亂的布局,一切為了用戶,從網絡層到應用安全,已經成為X-UTM不可動搖的使命。
不給用戶找麻煩
早先接觸過UTM的企業用戶都有一個感覺,UTM很復雜——各種繁多的功能、種種配置的禁忌,以及紛亂繁多的管理模式,給本就不太專業用戶們帶來了困擾。在金融海嘯的今天,大量企業渴望降低IT系統的管理復雜度,簡化部署與運營維護的開支,而傳統的UTM恰恰給企業拉了后腿。
也許是看到了傳統設備的不足,IDC在提出X-UTM概念之初,就已經把可定制、可管理作為X-UTM的標準之一。對于IDC的倡議,筆者也是非常贊同。因為UTM這類設備發展到今天,其自身的復雜度已經到了無法回避的地步。此前Fortinet一直強調,一定要讓用戶自身去習慣UTM,將設備提供的功能模塊變成用戶在業務運維上“自己的東西”,而非單純、混雜地去被動接受。
此次X-UTM定制化體系的提出,客觀上要求安全廠商的產品必須具備功能豐富性與整合性的特點。比如針對防病毒,X-UTM需要支持流行的應用協議,如FTP、POP3、Web、IM等等;針對不同的端口,X-UTM需要提供文件的大小限制、超時處理步驟、文件類型識別等功能,并且可以提供靈活的配置組合;針對Web過濾系統,X-UTM要求安全廠商必須有一個服務體系,主動幫助企業用戶去識別全球范圍內不同類型的網站,幫助用戶去進行風險分析。換句話說,當前生產X-UTM的安全廠商必須能夠提供自身的主動安全服務。
回首當年,很多國內安全廠商推出的所謂“UTM”方案,僅僅在系統中寫一個IP地址、域名,就宣稱具備Web過濾的能力,這種有限的“靜態服務”根本就不符合UTM的初衷。可悲的是,個別時候甚至在電信運營商的網絡里都能發現類似的產品。無疑,很多國內安全廠商從產品設計之初就混淆了UTM的概念與要求,這類產品不僅達不到幫助用戶真正屏蔽有害網站的效果(這些網站的屬性很隱藏,需要專業公司的技術幫助),而且還給用戶的后期管理添了麻煩。
X-UTM應用融合
當前,X-UTM需要將用戶的應用與安全的大方向進行融合與匹配。同樣以Web過濾為例,其中會涉及到大量的用戶層面特性,比如能否根據用戶的組、不同用戶的角色差異,判定哪些用戶可以訪問某些網絡資源,哪些用戶不能訪問。其中設備需要提供更多靈活的特殊策略組合,幫助用戶開展應用層面的安全管理。
僅從用戶體驗來看,X-UTM強調Web過濾的分類類別。對安全廠商而言,X-UTM的標準無疑嚴格許多,傳統上那種在UTM中設定一類Web阻擋策略的做法行不通了。從Fortinet對于X-UTM的設計建議可以看出,Web過濾的起步分類標準就要50類,做到優秀級別至少80類。
換句話說,X-UTM相當強調顆粒化的安全管理。正如Fortinet一直所強調的,安全廠商不能把所有信息反饋的結果簡單丟給用戶。相反,安全廠商需要從用戶的實際需求出發,提供基于功能、策略、應用的定制化的安全服務。
維護網絡責任
對X-UTM而言,其誕生的意義源于安全。然而,在企業用戶紛繁復雜的應用面前,安全并非單一存在:不拋棄網絡層,維護從網絡到應用的安全體系,成為了X-UTM的價值所在。
X-UTM對用戶來說,其首要標準就是“絕對不能拋棄網絡層”。作為一種網關產品,X-UTM需要處理的東西很多。總結當前各種新興安全設備可以發現,單純的Web防火墻、上網行為管理、HTTP過濾網關等設備,其核心都是在保護Web,這些設備不需要考慮DNS、VoIP,它們都屬于應用層的專項安全產品。
然而,X-UTM對企業而言,要管理的范疇大得多:企業用戶訪問互聯網需要管控、企業的OA資源需要保護、企業內部VPN網絡需要保護,甚至是企業內部的每一個個體都需要保護。
舉例來看,現代企業需要網關防病毒功能,根據經驗安全設備至少需要提供每月一萬種的病毒支持;另外,對協議的廣義支持能力,還有對用戶的超時管理,也是安全設備需要考慮的問題;此外,當前業界看重流掃描技術,這有點類似IPS的模式。比如一個病毒是10層壓縮,安全設備需要進行層層解壓,從而對設備的強壯性提出了挑戰。
面對這些問題,單純的防火墻、IPS、Web過濾、反垃圾郵件等設備無法全盤解決。以前有句諺語:“10個人的企業好管理,100個人就困難了”,每個人的應用都復雜,企業的網絡管理員需要避免個體用戶的應用濫用導致網絡癱瘓,給企業帶來各種主動和被動的風險。而這恰恰是X-UTM的職責所在。
X-UTM的特點是,設備放在企業內網里面需要承擔不同的協議和流量。換句話說,X-UTM在網絡里面都是要承載所有協議。根據Fortinet的統計,一個中等規模的企業,其網絡流量分配比例大致為:25%的HTTP封包,75%的UDP、DNS、IM、視頻等應用。不難看出,HTTP協議僅僅是網絡中的一部分,大量的基礎網絡協議和應用都需要X-UTM提供周到的保護。
總之一句話:X-UTM是保護企業的。在一個企業的網絡環境中,什么樣的流量都會具備。從實際的情況看,企業辦公室上網運行的各種應用非常復雜,比如在線游戲、QQ、MSN、電子郵件、VoIP等等。在這樣的情況下,X-UTM的性能就不可以存在短板。
根據IDC和Fortinet的設計要求,一款合格的X-UTM設備,其處理引擎必須具備分類處理的能力,比如針對HTTP實現處理吞吐500M、SMTP 400M、POP3 300M。因此,所謂幫助用戶實現應用層安全,就是要使安全設備符合真正互聯網流量的體系結構,而不是單獨做一個Web安全網關。豪無疑問,X-UTM的責任更加重要!
