科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道多核UTM 解决功能与性能的矛盾

多核UTM 解决功能与性能的矛盾

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从2008年开始,“多核”这个词汇广泛地出现在了信息安全领域,由此引发了信息安全领域最大的变革就是万兆UTM(统一威胁管理)的出现。多核以及多线程技术的出现,解决了UTM“产品功能多样性与性能不足的矛盾”问题。

来源:CSDN 2009年5月26日

关键字: 防火墙 统一威胁管理 UTM

  • 评论
  • 分享微博
  • 分享邮件

  从2008年开始,“多核”这个词汇广泛地出现在了信息安全领域,由此引发了信息安全领域最大的变革就是万兆UTM(统一威胁管理)的出现。多核以及多线程技术的出现,解决了UTM“产品功能多样性与性能不足的矛盾”问题。

  问题的解决让众多UTM设备供应商欣喜不已——要知道上述矛盾可以说是UTM的先天不足,这一问题困扰UTM厂商多年。借着新技术的出现,一时间,高性能UTM产品纷纷面世。

  IDC报告显示,由于UTM的产品设计顺应了安全需求趋势,满足了对威胁管理多样化的要求,2007年美国UTM的市场空间已经超越了防火墙,成为安全网关市场的主流; 同年,中国UTM市场全年同比增长87.6%,其中下半年同比增长105.4%。2009年中国UTM市场规模将超过10亿元,未来5年,年复合增长率超过50%。

  没有需求是不可能让UTM市场如此快速增长的。多核多线程技术出现之前,很多企业已经关注到高校、大企业、电信运营商等行业,用户对UTM也非常感兴趣,从功能的专业性而言完全可以满足这些行业用户的需求,多核多线程技术出现后,满足上述用户需求成为众多安全设备提供商水到渠成的事情。

  中小企业被多核技术抛弃?

  采用多核多线程技术之后的UTM产品,无疑可以满足很多行业用户的需求。在很多人为此鼓掌相庆的同时,他们好像忘记了一件重要的事情——中小企业用户本应该是UTM的面世的最大受益者。而多核多线程技术的出现,中小企业用户好像并没有得到什么实惠——无论是从IT投资预算上还是实际带宽需求考虑,万兆安全网关与中小企业的关联性实在有限。

  实际上,中小企业在安全网关上一直面临三大困境:UTM功能与性能的矛盾、安全缺乏专业化以及产品不易使用。

  或许有网友对中小企业还要面对“功能与性能的矛盾”困境表示不解——多核及多线程技术的推出不是已经很好的解决了这一矛盾吗?的确,新技术的发展是在整个产品技术层面解决了这一问题,但这一解决只是宏观上的。从微观角度看,目前市场上的多核产品,往往和万兆,最低也是千兆安全网关相关;适用于中小企业使用的百兆UTM产品,绝大多数还是采用传统硬件架构,当杀毒、深度检测等功能开启时,其性能降低的程度甚至可以影响到企业的正常业务运转。

  安全工程技术人员从整体上讲又较为匮乏,中小企业本来在IT投入上就有限,安全技术人员很难养得起、留得住。这直接导致中小信息安全技术水平缺乏专业性。而中小企业面临的信息安全问题是一个综合性问题,不是那么简单就可以解决的。安全缺乏专业化问题是中小企业亟待解决的问题。

  从信息安全行业发展来看,起到重要促进作用的是企业,而中小企业所占比重达到了90%以上。出于安全防御需求、部署实施和成本预算的综合考虑,企业对于安全有着“简单化”的需求,包括选择部署简单化、策略实施简单化、安全防御简单化、管理维护简单化。目前很多UTM产品需要用户具有较强的专业性,否则很难制定出有针对性的安全防护策略。众所周知,安全策略制定不到位,安全设备如同摆设。

  若说安全厂商在多核UTM上抛弃了中小企业也有些绝对——日前,H3C公司针对中小企业应用发展趋势,推出了基于多核、多线程安全平台的新一代UTM设备H3C SecPath UTM系列。

  中小企业虽然IT运维水平受到资金、人才储备等诸多因素限制,但他们也同样面临如下安全问题:

  电脑怕丢数据 单位有自己的办公局域网,工作时许多电脑接入网络,有些电脑里有重要数据,使用者害怕上网会感染病毒,造成电脑中的数据无法使用,这些电脑可能安装了杀毒软件,但个人时常忘记升级病毒库,对最新的病毒缺乏免疫力,这时一个具有病毒过滤功能的UTM部署在网关位置,可以在相当程度上避免电脑感染来自外部网络的病毒。

  服务器怕数据被篡改 单位局域网中有对外提供服务的服务器,例如Web服务器、FTP服务器,网管人员害怕黑客入侵到服务器中,篡改其中的数据,造成破坏,这时一个具有入侵防御功能的UTM部署在网关位置,可以在相当程度上阻止黑客的入侵。

  通信速度要保障,通信内容要控制 单位的网络,上班时间应该专门用于工作,有些人偷偷上网娱乐,影响工作效率,还会降低正常数据通信的速度;还有些人利用网络偷偷向外传递单位的机密资料;更有甚者发布危害社会的言论,破坏单位的对外形象。单位主管必然要求网管人员采取措施,这时一个具有网站过滤、流量管理、网络行为审计功能的UTM部署在网关位置,就可以帮助网管人员:屏蔽娱乐性网站,禁用娱乐类软件(如迅雷),对敏感资料传递进行监督,对网络行为进行追溯,满足单位主管的要求,本质上是保障好通信速度,控制好通信内容。

  保密通信有必要 有些单位是有分支结构的,相互之间传送业务数据需要加密,需要网关具有VPN功能,这时也可以使用UTM,因为UTM一般都有VPN功能。

  上述网络安全问题,本质上是由数据的重要性和通信的重要性引起的。而UTM的价值在于它以低成本解决较多的网络安全问题,为中小企业在IT基础投资、安全风险、损失减免之间找到了一个很好的平衡点。

  UTM与防火墙等专业安全设备的区别就好像“瑞士军刀”与专用刀具的区别。对一个小单位,例如一个技术型小企业或一所小学,因为工作或学习对网络应用依赖度高,所以各种网络安全问题都可能会遇到,都需要解决;但这些单位的网络用户数不多,租用的出口线路带宽小,出口实际流量峰值也不大,允许投入网络安全方面的经费也较少,这时候适合使用UTM,网管人员(往往就是一个员工或老师兼职的)可以利用UTM这把“瑞士军刀”自力更生,开动脑筋,把各项功能巧妙地用起来,把网络安全问题一个一个地解决。

  这类用户若要采用防火墙等专用安全设备就不划算了,防火墙解决不了的问题,需要再买入侵防御设备,入侵防御设备解决不了的问题需要再买流量管理设备……那些专用设备适合于大型单位,流量大,网络安全要求高,经费多,可以一个接一个地部署设备,各司其职,每个设备专心解决好一个问题,但这种方式对小单位,考虑投入收益比,明显是不合适。

  华三通信推出的H3C SecPath UTM采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、 VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

  

  H3C公司的SecPath U200产品不仅能够全面有效的保证用户网络的安全,还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性,产品具有八大功能:

  * 完善的防火墙功能 提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。

  * 丰富的VPN特性 支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理。

  * 实时的病毒防护 采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。

  * 实时的垃圾邮件防护 可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。

  * 先进的URL过滤 实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。

  * 全面的流量管理 能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用。

  * 细致的行为审计 可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。

  * NAT应用 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能。

  多核与多线程技术的出现解决了用户对UTM设备在“功能与性能”矛盾问题。可用性的提升,让中小企业在信息安全的总体拥有成本实现了降低。2008年初,华三公司硬件研发部门传来爆炸性的好消息,基于多核多线程芯片的专用硬件电路设计、测试成功,这种全新的硬件架构特别适合UTM这种多功能产品的开发,而且由于这种电路的成本得到了极大的控制,开发产品的成本明显下降,这使得UTM产品的开发真正成为了可能。

  与此同期,华三公司将研发多年的iWare软件平台与全新的多核多线程硬件电路进行了整合,经过测试,推出了具有自主知识产权的第一款专门面对普教职教、中小企业等SMB用户的UTM产品:SecPath U200-CS。随后,又推出了SecPath U200-CM、SecPath U200-CA两款产品。

  开发产品费用的降低,使得产品的制造等一系列随之降低,这从根本上保证了用户拥有成本的降低。

  针对中小企业IT管理水平相对较低的特点,H3C SecPath U200产品采用了简单易用的Web UI管理方式,支持基于SNMP和TR-069协议的管理,用户可以通过H3C UTM管理软件实现统一管理也可以通过H3C SecCenter安全管理中心实现统一管理。设备运营管理的简单,无疑降低了信息管理的门槛,IT人员的管理成本随之降低。

  H3C SecPath U200并没有因为产品是针对中小企业用户需求而推出的,就降低了产品品质;相反其产品品质具备电信级设备高可靠性。H3C SecPath UTM采用H3C公司拥有自主知识产权的软、硬件平台;软硬件平台应用从电信运营商到中小企业用户,经历了多年的市场考验;支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份;36年的平均无故障时间(MTBF)。低故障率保障了中小企业运营成本的降低。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章