安全談：互聯(lián)網發(fā)展呼喚下一代UTM安全網關

　　同時，我們也要看到傳統(tǒng)的UTM概念實際上是將多種技術集成在一個盒子里，沒有考慮到太多產品集成調度的問題，由此導致數據包經過二次、三次甚至多次拆包。更有甚者，有的廠家拿來一些第三方提供的引擎，在防火墻產品上進行簡單集成，就當作UTM產品來賣，以此迷惑客戶選型意圖。這些原因使得傳統(tǒng)UTM在網絡流量大的場合并不適用。

　　此外，用戶越來越希望使用的設備不再只是集成大量功能模塊、策略規(guī)則復雜、產生一大堆告警和日志的防護設備，而是希望能對整個互聯(lián)網數據流體系結構提供全方位控制及預測，并且控制結果可呈現的設備。

　　最后，互聯(lián)網應用的日新月異完全超出了信息安全業(yè)者的預期，大量的Web2.0應用鋪天蓋地，移動互聯(lián)網接入無時無刻不在傳遞著我們的思想，云計算讓我們可以使用的網絡資源看似很遠但又近在眼前，看似很近卻又遠在天邊。網絡時代的應用模式，在保障連通性上對信息安全業(yè)者提出了新的挑戰(zhàn)。

　　以上原因都在呼喚下一代UTM安全網關技術的出現，網御星云認為下一代UTM安全網關應該在以下方面進行技術革新：

　　基于多核CPU的系統(tǒng)架構

　　利用64位高性能多核CPU的并行處理能力為應用層數據處理提供快速運算保障。通過流引擎和多核CPU調度算法，保證多核CPU的平均負載分擔，使性能和容量可以隨CPU核數的增加線性增長，最大限度開發(fā)多核CPU的執(zhí)行效率，實現功能全開情況下設備的高吞吐量運行。

　　此種架構下的設備性能應體現為整機最大吞吐大于40Gps，IPS吞吐大于8Gps，防病毒吞吐大于2Gps，HTTP并發(fā)連接數達到或超過1000萬。

　　IPv6和IPv4雙協(xié)議棧支持

　　最后一組IPv4地址已于2011年2月3日由國際互聯(lián)網名稱和編號分配公司(ICANN)分配給了亞太區(qū)運營商，近43億個IPv4地址“池子”枯竭了。國際互聯(lián)網協(xié)會2012年早些時候宣布，全球主要互聯(lián)網服務提供商、家庭網絡設備制造商以及互聯(lián)網公司將于2012年6月6日正式啟用IPv6服務及產品。屆時，IPv6不再局限于實驗性產品，將正式投入商用并成為互聯(lián)網發(fā)展的重要一環(huán)。同時，有數據顯示中國5億網民只擁有不到2.5億個IPv4地址，而北美不到2億的網民數量卻擁有30億個IPv4地址，可以說在IPv4地址的爭奪上中國已經輸掉一輪�，F在，IPv6即將進入實用階段，對IPv6地址的爭奪就如同商場促銷一樣，“數量有限，先到先得”，中國本土企業(yè)必須在這場爭奪中沖在前面，為國家互聯(lián)網絡發(fā)展、為成為信息化時代巨人打下堅實基礎。

　　網御星云始終認為，國內信息安全業(yè)者的首要角色是保衛(wèi)國家安全，以成為國家信息網絡建設、信息安全政策制定的穩(wěn)固基石。在這個前提下，建設IPv6體系必須作為下一代UTM安全網關的核心技術，對入侵防御、病毒防護等提供全方位支持，并且應兼顧IPv6地址和IPv4地址共存的環(huán)境，對IPv6地址和IPv4地址的相互轉換提供實際的解決方案。

　　模塊化

　　從硬件到軟件均采用模塊化技術，充分保護用戶投資，設備應具有應用擴展能力、存儲擴展能力、接口擴展能力和移動接入擴展能力。通過應用擴展模塊，可隨時增加需要的應用處理能力，分模塊的升級更加方便，任何擴展模塊的增加、去除都對其他模塊沒有影響，并且不影響系統(tǒng)整體穩(wěn)定性，保證應用處理能力與時俱進;通過存儲擴展模塊，可在確保不占用系統(tǒng)存儲空間的前提下，增加額外的高可靠性存儲設備，用來保存重要信息，以滿足政策要求;通過接口擴展模塊，不管用戶網絡如何變化，均可保證連通性，并可最大限度挖掘設備潛力，接口擴展能力最低達到25個千兆接口，必須可支持4個以上萬兆接口的擴展;通過無線局域網接入擴展模塊，使設備具有WiFi接入能力，取代落后的無線路由器接入方式，為中小企業(yè)業(yè)務安全運行保駕護航;通過廣域網移動接入模塊，可以隨心所欲拓展設備使用空間，應對車載、船載等特殊使用環(huán)境。

　　此外，高度集成的產品模塊，往往帶來設置流程復雜的問題，各功能模塊之前的相互依存關系也會相當復雜。下一代UTM安全網關對這種情況要有足夠的能力避免，模塊之間應采用彈性融合技術，保證各模塊間的線性遞進關系，不出現設置流程斷開或反復設置的問題

　　廣泛的應用識別庫和上網行為管理

　　據統(tǒng)計，Google互聯(lián)網獨立頁面數量已經超過1萬億，如此龐大的網頁數量需要一個精、準的URL庫與之匹配，這個庫至少應具備50個大類，1000萬以上的URL。

　　各種的互聯(lián)網應用，如P2P、IM、Web2.0，必須有與之相對應的應用識別庫，其中能識別的P2P、IM等應用需達到600種以上，Web2.0應用須達到15萬種以上。

　　必須具備獨立的上網行為管理模塊，對網絡應用流量進行細粒度的控制與優(yōu)化。

　　獨立的帶寬管理

　　保證帶寬，為某種特定應用或某些重點客戶指定最小的保證帶寬，保證關鍵應用的服務質量。

　　最大帶寬限制，為特定應用或某些客戶指定最大使用帶寬，限制非關鍵應用過度消耗帶寬資源。

　　帶寬均衡，高優(yōu)先級通道可借用空閑或低優(yōu)先級通道的帶寬，低優(yōu)先級帶寬可在網絡空閑時臨時獲得較高的帶寬，從而保證帶寬得到合理的、高效的使用，不出現撐死和餓死的情況。

　　帶寬組，組內帶寬動態(tài)均衡，所有成員帶寬之和不大于設定組帶寬。

　　實時監(jiān)控與流量分析

　　實時顯示全網或是每一條廣域網鏈路的上下行流量、總流量、內外網主機數、P2P主機數、加速的TCP連接數、活動的TCP連接數、UDP連接數以及總連接數。

　　實時監(jiān)控占用帶寬最大的內部主機的上下行流量、連接數等，監(jiān)控主機數量可設。

　　實時監(jiān)控占用帶寬最大的用戶的IP、上下行流量、連接數等，監(jiān)控用戶數量可設。

　　實時監(jiān)控占用帶寬最大的應用的IP、上下行流量、連接數等，監(jiān)控應用數量可設。

　　能夠按照源IP地址、目的IP地址、源端口、目的端口、協(xié)議等自定義需求生成各種格式流量報表。

　　流量報表包括數據表、曲線圖、堆疊面積圖等多種格式。

　　易于使用的人機界面

　　為了避免用戶面臨復雜的功能設置時無所適從，下一代UTM安全網關需要深入開展人機工程學研究，開發(fā)符合用戶實際使用習慣的界面操作流程，對用戶操作報以適度的人性化反饋信息，提升設備操作愉悅感，降低設備部署強度。設備界面應具有一定的可定制化能力，用戶可以各取所需選擇自己關心的界面查看，不常用的界面可以選擇隱藏，或者當需要的時候可以立即打開顯示。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]