自UTM產品誕生到現在,其技術已經從最初的以防火墻、入侵防御、防病毒的集成技術發展至以防火墻、入侵防御、防病毒、URL過濾、VPN、流量管理為主的集成技術。UTM市場規模在2010年達到約8.5億人民幣,有20家以上的廠商提供UTM產品,越來越多的用戶開始選擇UTM,或者從防火墻升級到UTM,來為自己的網絡提供更深層次、更具管理性且更全面的防御能力。
同時,我們也要看到傳統的UTM概念實際上是將多種技術集成在一個盒子里,沒有考慮到太多產品集成調度的問題,由此導致數據包經過二次、三次甚至多次拆包。更有甚者,有的廠家拿來一些第三方提供的引擎,在防火墻產品上進行簡單集成,就當作UTM產品來賣,以此迷惑客戶選型意圖。這些原因使得傳統UTM在網絡流量大的場合并不適用。
此外,用戶越來越希望使用的設備不再只是集成大量功能模塊、策略規則復雜、產生一大堆告警和日志的防護設備,而是希望能對整個互聯網數據流體系結構提供全方位控制及預測,并且控制結果可呈現的設備。
最后,互聯網應用的日新月異完全超出了信息安全業者的預期,大量的Web2.0應用鋪天蓋地,移動互聯網接入無時無刻不在傳遞著我們的思想,云計算讓我們可以使用的網絡資源看似很遠但又近在眼前,看似很近卻又遠在天邊。網絡時代的應用模式,在保障連通性上對信息安全業者提出了新的挑戰。
以上原因都在呼喚下一代UTM安全網關技術的出現,網御星云認為下一代UTM安全網關應該在以下方面進行技術革新:
基于多核CPU的系統架構利用64位高性能多核CPU的并行處理能力為應用層數據處理提供快速運算保障。通過流引擎和多核CPU調度算法,保證多核CPU的平均負載分擔,使性能和容量可以隨CPU核數的增加線性增長,最大限度開發多核CPU的執行效率,實現功能全開情況下設備的高吞吐量運行。
此種架構下的設備性能應體現為整機最大吞吐大于40Gps,IPS吞吐大于8Gps,防病毒吞吐大于2Gps,HTTP并發連接數達到或超過1000萬。
IPv6和IPv4雙協議棧支持最后一組IPv4地址已于2011年2月3日由國際互聯網名稱和編號分配公司(ICANN)分配給了亞太區運營商,近43億個IPv4地址“池子”枯竭了。國際互聯網協會2012年早些時候宣布,全球主要互聯網服務提供商、家庭網絡設備制造商以及互聯網公司將于2012年6月6日正式啟用IPv6服務及產品。屆時,IPv6不再局限于實驗性產品,將正式投入商用并成為互聯網發展的重要一環。同時,有數據顯示中國5億網民只擁有不到2.5億個IPv4地址,而北美不到2億的網民數量卻擁有30億個IPv4地址,可以說在IPv4地址的爭奪上中國已經輸掉一輪。現在,IPv6即將進入實用階段,對IPv6地址的爭奪就如同商場促銷一樣,“數量有限,先到先得”,中國本土企業必須在這場爭奪中沖在前面,為國家互聯網絡發展、為成為信息化時代巨人打下堅實基礎。
網御星云始終認為,國內信息安全業者的首要角色是保衛國家安全,以成為國家信息網絡建設、信息安全政策制定的穩固基石。在這個前提下,建設IPv6體系必須作為下一代UTM安全網關的核心技術,對入侵防御、病毒防護等提供全方位支持,并且應兼顧IPv6地址和IPv4地址共存的環境,對IPv6地址和IPv4地址的相互轉換提供實際的解決方案。
模塊化從硬件到軟件均采用模塊化技術,充分保護用戶投資,設備應具有應用擴展能力、存儲擴展能力、接口擴展能力和移動接入擴展能力。通過應用擴展模塊,可隨時增加需要的應用處理能力,分模塊的升級更加方便,任何擴展模塊的增加、去除都對其他模塊沒有影響,并且不影響系統整體穩定性,保證應用處理能力與時俱進;通過存儲擴展模塊,可在確保不占用系統存儲空間的前提下,增加額外的高可靠性存儲設備,用來保存重要信息,以滿足政策要求;通過接口擴展模塊,不管用戶網絡如何變化,均可保證連通性,并可最大限度挖掘設備潛力,接口擴展能力最低達到25個千兆接口,必須可支持4個以上萬兆接口的擴展;通過無線局域網接入擴展模塊,使設備具有WiFi接入能力,取代落后的無線路由器接入方式,為中小企業業務安全運行保駕護航;通過廣域網移動接入模塊,可以隨心所欲拓展設備使用空間,應對車載、船載等特殊使用環境。
此外,高度集成的產品模塊,往往帶來設置流程復雜的問題,各功能模塊之前的相互依存關系也會相當復雜。下一代UTM安全網關對這種情況要有足夠的能力避免,模塊之間應采用彈性融合技術,保證各模塊間的線性遞進關系,不出現設置流程斷開或反復設置的問題廣泛的應用識別庫和上網行為管理據統計,Google互聯網獨立頁面數量已經超過1萬億,如此龐大的網頁數量需要一個精、準的URL庫與之匹配,這個庫至少應具備50個大類,1000萬以上的URL.
各種的互聯網應用,如P2P、IM、Web2.0,必須有與之相對應的應用識別庫,其中能識別的P2P、IM等應用需達到600種以上,Web2.0應用須達到15萬種以上。
必須具備獨立的上網行為管理模塊,對網絡應用流量進行細粒度的控制與優化。
獨立的帶寬管理保證帶寬,為某種特定應用或某些重點客戶指定最小的保證帶寬,保證關鍵應用的服務質量。
最大帶寬限制,為特定應用或某些客戶指定最大使用帶寬,限制非關鍵應用過度消耗帶寬資源。
帶寬均衡,高優先級通道可借用空閑或低優先級通道的帶寬,低優先級帶寬可在網絡空閑時臨時獲得較高的帶寬,從而保證帶寬得到合理的、高效的使用,不出現撐死和餓死的情況。
帶寬組,組內帶寬動態均衡,所有成員帶寬之和不大于設定組帶寬。
實時監控與流量分析實時顯示全網或是每一條廣域網鏈路的上下行流量、總流量、內外網主機數、P2P主機數、加速的TCP連接數、活動的TCP連接數、UDP連接數以及總連接數。
實時監控占用帶寬最大的內部主機的上下行流量、連接數等,監控主機數量可設。
實時監控占用帶寬最大的用戶的IP、上下行流量、連接數等,監控用戶數量可設。
實時監控占用帶寬最大的應用的IP、上下行流量、連接數等,監控應用數量可設。
能夠按照源IP地址、目的IP地址、源端口、目的端口、協議等自定義需求生成各種格式流量報表。
流量報表包括數據表、曲線圖、堆疊面積圖等多種格式。
易于使用的人機界面為了避免用戶面臨復雜的功能設置時無所適從,下一代UTM安全網關需要深入開展人機工程學研究,開發符合用戶實際使用習慣的界面操作流程,對用戶操作報以適度的人性化反饋信息,提升設備操作愉悅感,降低設備部署強度。設備界面應具有一定的可定制化能力,用戶可以各取所需選擇自己關心的界面查看,不常用的界面可以選擇隱藏,或者當需要的時候可以立即打開顯示。
京公網安備 11010502049343號