1.4 UTM的价值
在衡量UTM设备的价值时,出发点和衡量角度很关键,比较客观的出发点是实际需求,考量设备本身与实际需求的耦合度,不失为一个好的办法。
2006年底,国内一家咨询机构和一家著名的安全企业联合,对国内UTM市场进行了一次大规模的摸底调查,主要目标就是站在用户选择UTM设备的角度,对UTM进行多个角度的考量。这次调研历时三个月,在全国9个省20个城市,对120余个用户样本进行了详尽的当面调研,用户样本覆盖政府、教育、金融、电力等8大行业。
对这次调研,我们重点关注UTM本身对满足实际需求的价值,也就是功能特性方面的质量,而对诸如价格、可获得性等方面不进行讨论。
调研中涉及衡量UTM解决实际问题的价值体现在多个方面:性能、管理、入侵防御、防病毒、VPN、防火墙、高可用性、其他等,假设总体权重为100,综合所有样本的看法,得出每个方面的平均权重如图1-6所示。
可以看出,对于UTM设备,购买者关注顺序是易管理、性能、入侵防御、防病毒、防火墙、VPN、高可用性、其他,排在第一位的是易管理。按照调研最初的预想,排在前三位的是性能、入侵防御、防病毒,易管理应该排在第四位之后,但这个调研结果与最初的预想结果有很大的不同。
图1-6 UTM各功能价值体现权重图
这个调研结果站在满足实际需求的出发点,给出了衡量UTM设备价值的纬度,下面做个分析,看为什么会有这种结果出现。
为什么易管理会排在第一位?
UTM是安全技术集大成者,覆盖了OSI参考模型的2~7层,是建立在入侵、漏洞、检测、扫描、控制、审计等多类技术基础之上的,具备超过10种独立安全能力,本身的技术体系比较复杂。实际使用中,安全策略是根据自身情况量身定做的,在总体安全策略的规范下,通过多种安全功能来统一实现,网管员需要了解各种技术以及其中的内在联系。
这就对网络维护人员产生了比较高的要求。对安全技术原理的理解与掌握、实际网络安全管理经验成为不可或缺的条件。而目前我国专业安全人员的数量还不多,很多单位不具备高素质的网络管理人员,无法做到对UTM设备很好的掌握和使用。在这种情况下,就要求UTM设备具备操作简单、维护便捷,对UTM设备本身的易管理性提出了挑战。
调研过程中,一些网管员甚至提出了“三键到位”、“一个模板配置所有安全策略”等具体而严格的要求,这也充分体现了网络管理员对“易管理”的渴望,易管理毫无悬念地排在了第一位,并且占据了高达25%的权重。
接下来为什么是性能?
在启用多种安全能力后,UTM的性能一般会下降为启用防火墙能力的10%~50%,下降的幅度取决于UTM设备的软件架构设计、算法优化、硬件平台等。高达50%以上的性能下降幅度对UTM的实际使用产生了很大的影响,使UTM的可用性有了下降,功能和性能的矛盾是UTM中固有的问题,如图1-7所示。
图1-7 UTM中的功能和性能是固有矛盾
实际使用中,可以在策略配置上进行优化,只针对重要保护对象启用防病毒、入侵防御,这种做法使UTM性能下降幅度较小,但整体的安全性就下降了。还有一种方法,就是提高硬件平台的档次,实际需要百兆性能,可以选择千兆设备,下降后的性能仍可以达到百兆,满足实际需求;这个办法带来的直接影响就是成本的上升,包括硬件成本和服务成本,都会有大幅度甚至翻倍的上升。
调研中,网管员对于UTM性能大幅下降带来的可用性表示担忧,认为现在网络流量越来越大,带宽占用逐步增加,UTM性能如果不彻底解决,会阻碍UTM的大范围使用。因此,性能的权重为16%。
入侵防御为什么能在功能项中拔取头筹?
在UTM众多的功能中,防火墙、VPN、入侵防御、防病毒是必备的基本功能,内容过滤、P2P控制、反垃圾邮件、高可用性等属于增值功能。
对于增值功能的内容过滤、P2P控制、反垃圾邮件,不同行业的网管员关注重点不同,政府单位对内容过滤会比较关注,尤其是政治敏感型的内容过滤;而学校则对P2P控制非常关注,很多学生的无限制下载对网络带宽造成了巨大浪费,威胁到了正常业务;一些企业则对反垃圾邮件很关注,企业的信息交互60%以上是通过电子邮件的,过多的垃圾邮件会影响工作效率。正是由于不同行业的单位对增值功能的关注点不同,也导致增值功能具备了行业特色,故在调研中关注点得分比较分散。
对于防火墙、VPN、高可用性,网管员们认为这是非常成熟的技术,标准化程度也很高,同时具有广泛的应用基础,普遍认为防火墙和VPN功能可以做到优秀,不需要特别关注。
UTM实现了2~7层的防御,在应用层上进行了安全技术融合,对于病毒、入侵、木马等是网管员关注的重点,对于基本功能的入侵防御(IPS)和防病毒(AV),都给予了普遍的关注。防病毒是一个系统工程,除了在网关位置部署病毒网关或使用UTM的防毒功能外,在网络内部的每个主机上还会安装防病毒软件,相互配合、相互补充,构成整体的防病毒体系,因此,UTM中的防病毒功能并不是唯一的防毒手段,其权重占到11%。入侵通常来自于网络,网关几乎是唯一的通道,而且入侵的对象和目标是明确的,入侵的目标已经从扬名转移到明确的政治或经济目的上,产生的破坏和危害更大,因此,入侵防御功能被认为是功能中最有价值的,权重占到16%。
可以看出,站在实际需求角度,对UTM具备的多个纬度进行衡量后,易管理、性能、入侵防御功能是排在最前面的,是网管员们最关注的UTM价值点。如果用一句话总结,那就是“简单易用地把UTM的效能最大化”。其中“效能”是指开启多种安全能力情况下的性能。