|
X-UTM从概念诞生到产品成型,将会经历一系列的应用考验。在此过程中,并非所有的X-UTM都能满足用户的需求。实际情况是,由于技术上的复杂性,X-UTM将会在市场中掀起一场技术风暴:从体系结构到去伪存真! 关注X-UTM体系结构 X-UTM是可扩展的统一威胁管理技术,它的特点就是可发展性,其最大挑战也是对未来统一安全威胁的快速响应和扩展性,以及服务能力和管理能力的扩展性。 由于X-UTM的技术复杂性,导致其产品体系结构呈现不同格局,像多核、NP、ASIC甚至是FPGA,都曾在市场中出现过。不过要说最看好那种体系结构,专家们的意见又往往大相径庭。 事实上,每种硬件技术和结构都有其一定的特点和优势,最重要的是硬件结构要显现和服务于哪些安全功能。既然今天的安全趋势讲的是网络和应用的融合,那么从终端用户的角度看,只要能提供网络层和应用层最佳的性能和扩展性的硬件结构就是最合适的X-UTM结构。 Fortinet的看法是,X-UTM作为统一威胁的安全网关,要检测2-7层的数据流,保证网络层数据流的最小延迟和最大转发率,因此基于网络加速的NP+基于内容检测加速的ASIC芯片是最有效的UTM硬件技术。它首先可以保证最稳定和高性能的3层包转发率,因为X-UTM也是台路由器,这是最基本的性能需求,需要保证视频、音频、DNS、UDP等数据包的高速性能。其次,X-UTM需要进行深层包重组和深度检测的安全协议,如HTTP、SMTP、POP3、SMTPS、HTTPS等等,这些协议需要加速处理内容层解码和扫描速度的芯片。Fortinet正是采用了两种芯片技术进行分层处理来保证最高性能的X-UTM处理。 相对而言,各种体系结构都有其自身优势,怎么让各种技术发挥最大的作用,才是厂家要努力的工作。目前Fortinet的产品,已经做到了利用专用ASIC的高速转发能力,从而实现了2-7层的高速处理,实现了从网络到VPN加密、应用层的分析和处理。从这点上分析,综合各种技术优势的综合体系结构才是最理想的X-UTM体系。 X-UTM真伪PK 虽然目前X-UTM概念推出时间不长,但市场中已经存在一种“真伪X-UTM”的声音,有专家认为像“第三代Web安全网关、高性能安全网关、UTM2等产品都属于伪阵营”,认为其网络处理的短板不能称之为X-UTM。 事实上,这个问题很敏感,从某些意义上说,可能“伪X-UTM”稍稍有些严厉了。不过需要指出的是,任何产品,不论叫什么,都只是称呼,厂家的目的只有一个,满足用户的应用需求。一个产品设计功能很全,在用户环境中使用了某项或某几项功能,网络出现严重的阻塞,用户还会使用这样的功能吗?那这个功能还有什么实际的用途吗?因此用户在挑选X-UTM产品的时候,需要以自身的需求去衡量X-UTM的真伪。 Fortinet的看法是,X-UTM技术是为用户的安全防御而设计的,不是单一的安全产品。当前市场上有很多不同类型的安全网关类产品,很多都是把几个安全功能合在一起,就成为了一个网关,这些产品都不是真正的X-UTM产品,因为这些产品不能覆盖2-7层的高性能处理,只限制于某种单一的协议应用,只适合保护部分应用服务器的安全。 Fortinet公司认为,X-UTM之所以是统一威胁管理的技术,重要的特点就在于它真正地实现了网络到应用的融合,这种融合没有核心的软件和硬件技术是不能真正实现的。这种融合涵盖了多种协议的IPS系统攻击防御、系统的邮件安全、P2P的应用鉴别、应用级的安全识别等等,而这些才是X-UTM的核心所在。”
|
