X-UTM从概念诞生到产品成型,将会经历一系列的应用考验。在此过程中,并非所有的X-UTM都能满足用户的需求。实际情况是,由于技术上的复杂性,X-UTM将会在市场中掀起一场技术风暴:从体系结构到去伪存真!
关注X-UTM体系结构
X-UTM是可扩展的统一威胁管理技术,它的特点就是可发展性,其最大挑战也是对未来统一安全威胁的快速响应和扩展性,以及服务能力和管理能力的扩展性。
由于X-UTM的技术复杂性,导致其产品体系结构呈现不同格局,像多核、NP、ASIC甚至是FPGA,都曾在市场中出现过。不过要说最看好那种体系结构,专家们的意见又往往大相径庭。
事实上,每种硬件技术和结构都有其一定的特点和优势,最重要的是硬件结构要显现和服务于哪些安全功能。既然今天的安全趋势讲的是网络和应用的融合,那么从终端用户的角度看,只要能提供网络层和应用层最佳的性能和扩展性的硬件结构就是最合适的X-UTM结构。
Fortinet的看法是,X-UTM作为统一威胁的安全网关,要检测2-7层的数据流,保证网络层数据流的最小延迟和最大转发率,因此基于网络加速的NP+基于内容检测加速的ASIC芯片是最有效的UTM硬件技术。它首先可以保证最稳定和高性能的3层包转发率,因为X-UTM也是台路由器,这是最基本的性能需求,需要保证视频、音频、DNS、UDP等数据包的高速性能。其次,X-UTM需要进行深层包重组和深度检测的安全协议,如HTTP、SMTP、POP3、SMTPS、HTTPS等等,这些协议需要加速处理内容层解码和扫描速度的芯片。Fortinet正是采用了两种芯片技术进行分层处理来保证最高性能的X-UTM处理。
相对而言,各种体系结构都有其自身优势,怎么让各种技术发挥最大的作用,才是厂家要努力的工作。目前Fortinet的产品,已经做到了利用专用ASIC的高速转发能力,从而实现了2-7层的高速处理,实现了从网络到VPN加密、应用层的分析和处理。从这点上分析,综合各种技术优势的综合体系结构才是最理想的X-UTM体系。
X-UTM真伪PK
虽然目前X-UTM概念推出时间不长,但市场中已经存在一种“真伪X-UTM”的声音,有专家认为像“第三代Web安全网关、高性能安全网关、UTM2等产品都属于伪阵营”,认为其网络处理的短板不能称之为X-UTM。
事实上,这个问题很敏感,从某些意义上说,可能“伪X-UTM”稍稍有些严厉了。不过需要指出的是,任何产品,不论叫什么,都只是称呼,厂家的目的只有一个,满足用户的应用需求。一个产品设计功能很全,在用户环境中使用了某项或某几项功能,网络出现严重的阻塞,用户还会使用这样的功能吗?那这个功能还有什么实际的用途吗?因此用户在挑选X-UTM产品的时候,需要以自身的需求去衡量X-UTM的真伪。
Fortinet的看法是,X-UTM技术是为用户的安全防御而设计的,不是单一的安全产品。当前市场上有很多不同类型的安全网关类产品,很多都是把几个安全功能合在一起,就成为了一个网关,这些产品都不是真正的X-UTM产品,因为这些产品不能覆盖2-7层的高性能处理,只限制于某种单一的协议应用,只适合保护部分应用服务器的安全。
Fortinet公司认为,X-UTM之所以是统一威胁管理的技术,重要的特点就在于它真正地实现了网络到应用的融合,这种融合没有核心的软件和硬件技术是不能真正实现的。这种融合涵盖了多种协议的IPS系统攻击防御、系统的邮件安全、P2P的应用鉴别、应用级的安全识别等等,而这些才是X-UTM的核心所在。”
X-UTM技术趋势
通过对X-UTM技术进行分析,Fortinet公司认为,X-UTM厂家必须具备不断发展的安全技术和服务能力。提供持续的扩展性支持。无论是已经推出X-UTM产品的厂商,还是打算推出X-UTM产品的厂商,都需要明确一点----X-UTM技术需要为用户提供最完善的安全功能防御和安全服务系统。
根据外电报道,基于X-UTM的安全服务系统正在与云安全的概念作融合。以Fortinet为例,每个用户都可以在终端设备上连接到FortiGuard云安全服务网络,并得益于全球云安全网络的自动化安全分析和升级。可以看出,不断推出的安全特性丰富了X-UTM的绿色安全概念。
目前来看,大量新型安全技术与X-UTM的整合在加快。其中包括新推出的广域网络加速技术、SSL加密流安全检测技术、终端安全的统一管理技术、应用层控制技术、DLP数据防泄密保护技术、甚至是基于用户的安全定制技术等,统统都在被X-UTM“据为己有”。
对此,Fortinet的研发中心表示,在不远的将来,X-UTM具备的令人惊讶的实用性,将会真正实现统一威胁扩展的理念。而在那个时候,企业用户将会从网关到终端体会出X-UTM带来的安全新体验。