多用途安全设备将防火墙/VPN、内容过滤、入侵防御等整合到一个盒子中,作为易于管理的设备赢得了青睐。但是,关于这些统一威胁管理(UTM)设备的公开秘密是,它们在检查内容时占用了一部分带宽。
如今市场上的UTM产品在使用全套安全服务时,其性能损失高达50%,这并不罕见。UTM供应商也承认这种情况,他们有时会建议客户通过购买比通常需要更高带宽的设备来补偿。
SonicWall的产品线经理约翰•库恩(John Kuhn)表示:“当你打开所有服务时,速度会受到影响。”该公司的UTM产品支持的带宽范围从每秒数十兆到超过1千兆不等。“当然要考虑性能,可能会损失50%。”
对于低端的UTM设备是正确的,对于达到千兆速度的高端设备也是正确的。
UTM供应商Fortinet的企业营销副总裁Chris Roekl承认:“越深入内容,你的绩效就越差,可能会损失一半的绩效。”Fortinet的FortiGate线UTM设备支持从10Mbps到48Gbps的速度。
其他几家UTM设备供应商,包括互联网安全系统(ISS)、安全计算和赛门铁克(Symantec),同样直言不讳地表示,客户可能会在速度上遭遇高达50%的性能损失。
ISS的产品营销总监马克·巴特勒说:“一般来说,这更像是10%,但50%是可能的。”ISS在Proventia系列中提供三种多功能安全设备。
“我们采取的方法是我们大小(设备)根据用户的数量,我们必须支持,”巴特勒说,注意到最新的国际空间站Proventia MX 1004的产品,支持100个并发用户,3006 MX多达250个并发用户和MX 5010多达500个并发用户。
思科(Cisco)提供了各种型号的自适应安全设备(Adaptive Security Appliance, ASA),其最高速率为1.2Gbps,但它不愿承认性能下降超过10%。
尽管与带宽相关的任何缺点,UTM似乎已经存在了。UTM是研究公司IDC的安全分析师Charles Kolodgy两年前提出的一个词,指的是基础是防火墙或防火墙/VPN的多用途安全设备。
“它必须有防火墙/VPN,网关防病毒,最好还有入侵防御,”Kolodgy说,他估计UTM市场到年底将达到8.5亿美元,高于去年的7亿美元。
虽然Fortinet在高端市场领先,SonicWall在低端市场领先,但科洛奇表示,随着思科一年前推出的ASA家电撼动了低端市场,这个仍处于萌芽阶段的市场正在迅速变化。
不同厂商的UTM设备差别很大。一些生产UTM产品的供应商必须与其他安全公司合作,在他们的UTM产品上支持反病毒或其他内容过滤,当他们内部没有这种技术时。
例如,思科和Secure Computing都是趋势科技的合作伙伴,而SonicWall则是McAfee的合作伙伴。eSoft提供InstaGate UTM的最高速度为190Mbps,它使用自己的反病毒过滤程序,但求助于Aluria的反间谍软件和Secure Computing的网络过滤程序。Crossbeam Systems利用Check Point FireWall-1 UTM以及趋势科技、阿拉丁和Websense进行内容过滤。
尽管思科负责ASA和PIX防火墙的高级产品经理Mike Jones表示,“这不再是仅仅保护互联网边缘,而是深入内部”,在公司网络内部提供防火墙、反垃圾邮件和URL过滤,但大多数供应商看到他们的UTM产品部署在互联网网关上。
然而,部署UTM设备的企业通常是在公司总部和分支机构的互联网接入点上进行部署。根据销售多用途安全设备的供应商及其客户的说法,多用途安全设备的价值源于管理单个设备而不是多个设备的简单性。
伊利诺伊州Geneseo公司的首席技术官John Wickwire说:“对我们来说,内容过滤和入侵防御的单一管理点是一个关键点。”该公司部署了安全计算的响尾蛇G2。
然而,其他技术经理对于是否把所有的安全鸡蛋放在一个UTM篮子里犹豫不决。
纽约皇后区叶史瓦大学女子高中的技术协调员布莱恩·沃罗维茨(Brian Walowitz)在谈到自己不愿加入UTM时解释说:“其中一件事,当它坏了,那么所有东西都坏了。”
这所学校更喜欢部署独立的安全设备,比如圣伯纳德大学的iPrism互联网监控设备和Barracuda内容过滤器,而不是一个单独的盒子。
UTM供应商经常建议将他们的UTM设备成对部署,以便在使用中的设备发生故障时进行故障转移。
“为了高可用性,人们至少会买两个,”Secure Computing的产品营销总监保罗•德贝纳迪(Paul DeBernardi)说。
UTM设备是否总是工作中最好的,引起了一些争论。例如,SonicWall认为,在任何UTM上进行高精度、全性能的垃圾邮件过滤都是不可行的。
SonicWall的库恩说:“防火墙的功能远不及隔离邮件等单独的垃圾邮件网关。”
一些不同意的状况。
产品测试实验室NSS Group的产品评估主管Bob Walder说:“在UTM上可以反垃圾邮件,但SonicWall根本没有这个能力。”
NSS集团去年开始测试UTM设备(到目前为止只有Fortinet和ISS获得了“NSS认可”的标志,而Walder拒绝透露哪些供应商没有达到标准),另一轮的实验室评估将在今年秋天进行。
但随着UTM越来越受欢迎,一个问题是该市场是否会出现防火墙或垃圾邮件过滤器等独立设备的下降。
UTM的未来
每个供应商对UTM的未来都有不同的看法,但一个共同的担忧是分析VoIP流量可能对UTM设计的影响,现在客户开始将VoIP流量通过UTM网关。
Fortinet的Roeckl说:“当你向网络中添加语音流量时,就会有更多的小数据包,这就使得话匣子工作起来更加困难。”他还补充说,Fortinet正在研究一项加速技术,预计将在年底宣布,该技术将加快VoIP处理速度,以确保语音质量。Fortinet还设想了检查VoIP流量的方法,以检测可能注入到VoIP流中的病毒。
“我们正在调查各种各样的攻击,”Roeckl说。
网关安全线路的制造商赛门铁克(Symantec)表示,它计划在其UTM中添加QoS控制,这样设备就可以优先考虑基于ip的应用程序,包括VoIP。与此同时,赛门铁克——该公司有一份关于该主题的内部备忘录泄露——承认它正在改变UTM的方针,减少对其旗舰UTM生产线的投资,并将寻求合作伙伴帮助设计硬件。
对于SonicWall来说,它正在将对VPN标准IKE 2.0的支持添加到它的UTM中,期望客户将使用IKE v. 2进行VoIP通信。
在Secure Computing,计划要求在其基于Session Initiation Protocol (SIP)标准的UTM中添加一个安全应用程序路径,以便管理人员可以为组织中的不同组的人员创建VoIP策略。
“基本上,我们正在构建一个SIP代理,因为当你在防火墙中打开VoIP时,它就像80端口,一个又大又胖的洞,”安全计算的DeBarnardi说。“这个SIP代理,带有不同的VoIP连接命令,将确保只有纯VoIP流量可以通过。”
Secure Computing销售三种独立的UTM设备——低端的Snapgear、高端的响尾G2和CyberGuard,每一种都达到3Gbps。Secure Computing预计将在不久的将来推出新版本的Sidewinder G2,该产品整合了去年年底收购CyberGuard时获得的内容过滤技术。