安全談：互聯(lián)網(wǎng)發(fā)展呼喚下一代UTM安全網(wǎng)關(guān)

　　同時(shí)，我們也要看到傳統(tǒng)的UTM概念實(shí)際上是將多種技術(shù)集成在一個(gè)盒子里，沒有考慮到太多產(chǎn)品集成調(diào)度的問題，由此導(dǎo)致數(shù)據(jù)包經(jīng)過二次、三次甚至多次拆包。更有甚者，有的廠家拿來一些第三方提供的引擎，在防火墻產(chǎn)品上進(jìn)行簡單集成，就當(dāng)作UTM產(chǎn)品來賣，以此迷惑客戶選型意圖。這些原因使得傳統(tǒng)UTM在網(wǎng)絡(luò)流量大的場合并不適用。

　　此外，用戶越來越希望使用的設(shè)備不再只是集成大量功能模塊、策略規(guī)則復(fù)雜、產(chǎn)生一大堆告警和日志的防護(hù)設(shè)備，而是希望能對(duì)整個(gè)互聯(lián)網(wǎng)數(shù)據(jù)流體系結(jié)構(gòu)提供全方位控制及預(yù)測，并且控制結(jié)果可呈現(xiàn)的設(shè)備。

　　最后，互聯(lián)網(wǎng)應(yīng)用的日新月異完全超出了信息安全業(yè)者的預(yù)期，大量的Web2.0應(yīng)用鋪天蓋地，移動(dòng)互聯(lián)網(wǎng)接入無時(shí)無刻不在傳遞著我們的思想，云計(jì)算讓我們可以使用的網(wǎng)絡(luò)資源看似很遠(yuǎn)但又近在眼前，看似很近卻又遠(yuǎn)在天邊。網(wǎng)絡(luò)時(shí)代的應(yīng)用模式，在保障連通性上對(duì)信息安全業(yè)者提出了新的挑戰(zhàn)。

　　以上原因都在呼喚下一代UTM安全網(wǎng)關(guān)技術(shù)的出現(xiàn)，網(wǎng)御星云認(rèn)為下一代UTM安全網(wǎng)關(guān)應(yīng)該在以下方面進(jìn)行技術(shù)革新：

　　基于多核CPU的系統(tǒng)架構(gòu)

　　利用64位高性能多核CPU的并行處理能力為應(yīng)用層數(shù)據(jù)處理提供快速運(yùn)算保障。通過流引擎和多核CPU調(diào)度算法，保證多核CPU的平均負(fù)載分擔(dān)，使性能和容量可以隨CPU核數(shù)的增加線性增長，最大限度開發(fā)多核CPU的執(zhí)行效率，實(shí)現(xiàn)功能全開情況下設(shè)備的高吞吐量運(yùn)行。

　　此種架構(gòu)下的設(shè)備性能應(yīng)體現(xiàn)為整機(jī)最大吞吐大于40Gps，IPS吞吐大于8Gps，防病毒吞吐大于2Gps，HTTP并發(fā)連接數(shù)達(dá)到或超過1000萬。

　　IPv6和IPv4雙協(xié)議棧支持

　　最后一組IPv4地址已于2011年2月3日由國際互聯(lián)網(wǎng)名稱和編號(hào)分配公司(ICANN)分配給了亞太區(qū)運(yùn)營商，近43億個(gè)IPv4地址“池子”枯竭了。國際互聯(lián)網(wǎng)協(xié)會(huì)2012年早些時(shí)候宣布，全球主要互聯(lián)網(wǎng)服務(wù)提供商、家庭網(wǎng)絡(luò)設(shè)備制造商以及互聯(lián)網(wǎng)公司將于2012年6月6日正式啟用IPv6服務(wù)及產(chǎn)品。屆時(shí)，IPv6不再局限于實(shí)驗(yàn)性產(chǎn)品，將正式投入商用并成為互聯(lián)網(wǎng)發(fā)展的重要一環(huán)。同時(shí)，有數(shù)據(jù)顯示中國5億網(wǎng)民只擁有不到2.5億個(gè)IPv4地址，而北美不到2億的網(wǎng)民數(shù)量卻擁有30億個(gè)IPv4地址，可以說在IPv4地址的爭奪上中國已經(jīng)輸?shù)粢惠啞，F(xiàn)在，IPv6即將進(jìn)入實(shí)用階段，對(duì)IPv6地址的爭奪就如同商場促銷一樣，“數(shù)量有限，先到先得”，中國本土企業(yè)必須在這場爭奪中沖在前面，為國家互聯(lián)網(wǎng)絡(luò)發(fā)展、為成為信息化時(shí)代巨人打下堅(jiān)實(shí)基礎(chǔ)。

　　網(wǎng)御星云始終認(rèn)為，國內(nèi)信息安全業(yè)者的首要角色是保衛(wèi)國家安全，以成為國家信息網(wǎng)絡(luò)建設(shè)、信息安全政策制定的穩(wěn)固基石。在這個(gè)前提下，建設(shè)IPv6體系必須作為下一代UTM安全網(wǎng)關(guān)的核心技術(shù)，對(duì)入侵防御、病毒防護(hù)等提供全方位支持，并且應(yīng)兼顧IPv6地址和IPv4地址共存的環(huán)境，對(duì)IPv6地址和IPv4地址的相互轉(zhuǎn)換提供實(shí)際的解決方案。

　　模塊化

　　從硬件到軟件均采用模塊化技術(shù)，充分保護(hù)用戶投資，設(shè)備應(yīng)具有應(yīng)用擴(kuò)展能力、存儲(chǔ)擴(kuò)展能力、接口擴(kuò)展能力和移動(dòng)接入擴(kuò)展能力。通過應(yīng)用擴(kuò)展模塊，可隨時(shí)增加需要的應(yīng)用處理能力，分模塊的升級(jí)更加方便，任何擴(kuò)展模塊的增加、去除都對(duì)其他模塊沒有影響，并且不影響系統(tǒng)整體穩(wěn)定性，保證應(yīng)用處理能力與時(shí)俱進(jìn);通過存儲(chǔ)擴(kuò)展模塊，可在確保不占用系統(tǒng)存儲(chǔ)空間的前提下，增加額外的高可靠性存儲(chǔ)設(shè)備，用來保存重要信息，以滿足政策要求;通過接口擴(kuò)展模塊，不管用戶網(wǎng)絡(luò)如何變化，均可保證連通性，并可最大限度挖掘設(shè)備潛力，接口擴(kuò)展能力最低達(dá)到25個(gè)千兆接口，必須可支持4個(gè)以上萬兆接口的擴(kuò)展;通過無線局域網(wǎng)接入擴(kuò)展模塊，使設(shè)備具有WiFi接入能力，取代落后的無線路由器接入方式，為中小企業(yè)業(yè)務(wù)安全運(yùn)行保駕護(hù)航;通過廣域網(wǎng)移動(dòng)接入模塊，可以隨心所欲拓展設(shè)備使用空間，應(yīng)對(duì)車載、船載等特殊使用環(huán)境。

　　此外，高度集成的產(chǎn)品模塊，往往帶來設(shè)置流程復(fù)雜的問題，各功能模塊之前的相互依存關(guān)系也會(huì)相當(dāng)復(fù)雜。下一代UTM安全網(wǎng)關(guān)對(duì)這種情況要有足夠的能力避免，模塊之間應(yīng)采用彈性融合技術(shù)，保證各模塊間的線性遞進(jìn)關(guān)系，不出現(xiàn)設(shè)置流程斷開或反復(fù)設(shè)置的問題

　　廣泛的應(yīng)用識(shí)別庫和上網(wǎng)行為管理

　　據(jù)統(tǒng)計(jì)，Google互聯(lián)網(wǎng)獨(dú)立頁面數(shù)量已經(jīng)超過1萬億，如此龐大的網(wǎng)頁數(shù)量需要一個(gè)精、準(zhǔn)的URL庫與之匹配，這個(gè)庫至少應(yīng)具備50個(gè)大類，1000萬以上的URL。

　　各種的互聯(lián)網(wǎng)應(yīng)用，如P2P、IM、Web2.0，必須有與之相對(duì)應(yīng)的應(yīng)用識(shí)別庫，其中能識(shí)別的P2P、IM等應(yīng)用需達(dá)到600種以上，Web2.0應(yīng)用須達(dá)到15萬種以上。

　　必須具備獨(dú)立的上網(wǎng)行為管理模塊，對(duì)網(wǎng)絡(luò)應(yīng)用流量進(jìn)行細(xì)粒度的控制與優(yōu)化。

　　獨(dú)立的帶寬管理

　　保證帶寬，為某種特定應(yīng)用或某些重點(diǎn)客戶指定最小的保證帶寬，保證關(guān)鍵應(yīng)用的服務(wù)質(zhì)量。

　　最大帶寬限制，為特定應(yīng)用或某些客戶指定最大使用帶寬，限制非關(guān)鍵應(yīng)用過度消耗帶寬資源。

　　帶寬均衡，高優(yōu)先級(jí)通道可借用空閑或低優(yōu)先級(jí)通道的帶寬，低優(yōu)先級(jí)帶寬可在網(wǎng)絡(luò)空閑時(shí)臨時(shí)獲得較高的帶寬，從而保證帶寬得到合理的、高效的使用，不出現(xiàn)撐死和餓死的情況。

　　帶寬組，組內(nèi)帶寬動(dòng)態(tài)均衡，所有成員帶寬之和不大于設(shè)定組帶寬。

　　實(shí)時(shí)監(jiān)控與流量分析

　　實(shí)時(shí)顯示全網(wǎng)或是每一條廣域網(wǎng)鏈路的上下行流量、總流量、內(nèi)外網(wǎng)主機(jī)數(shù)、P2P主機(jī)數(shù)、加速的TCP連接數(shù)、活動(dòng)的TCP連接數(shù)、UDP連接數(shù)以及總連接數(shù)。

　　實(shí)時(shí)監(jiān)控占用帶寬最大的內(nèi)部主機(jī)的上下行流量、連接數(shù)等，監(jiān)控主機(jī)數(shù)量可設(shè)。

　　實(shí)時(shí)監(jiān)控占用帶寬最大的用戶的IP、上下行流量、連接數(shù)等，監(jiān)控用戶數(shù)量可設(shè)。

　　實(shí)時(shí)監(jiān)控占用帶寬最大的應(yīng)用的IP、上下行流量、連接數(shù)等，監(jiān)控應(yīng)用數(shù)量可設(shè)。

　　能夠按照源IP地址、目的IP地址、源端口、目的端口、協(xié)議等自定義需求生成各種格式流量報(bào)表。

　　流量報(bào)表包括數(shù)據(jù)表、曲線圖、堆疊面積圖等多種格式。

　　易于使用的人機(jī)界面

　　為了避免用戶面臨復(fù)雜的功能設(shè)置時(shí)無所適從，下一代UTM安全網(wǎng)關(guān)需要深入開展人機(jī)工程學(xué)研究，開發(fā)符合用戶實(shí)際使用習(xí)慣的界面操作流程，對(duì)用戶操作報(bào)以適度的人性化反饋信息，提升設(shè)備操作愉悅感，降低設(shè)備部署強(qiáng)度。設(shè)備界面應(yīng)具有一定的可定制化能力，用戶可以各取所需選擇自己關(guān)心的界面查看，不常用的界面可以選擇隱藏，或者當(dāng)需要的時(shí)候可以立即打開顯示。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]