Fortinet倡导X-UTM回归全面安全之道

曾几何时，以全面安全著称的UTM系统被各种"杂七杂八"的"功能"所充斥，对用户而言，对于UTM部署的毫无头绪已经造成了严重的困扰。今天，X-UTM的出现彻底改写了UTM设备混乱的布局，一切为了用户，从网络层到应用安全，已经成为X-UTM不可动摇的使命。

早先接触过UTM的企业用户都有一个感觉，UTM很复杂–各种繁多的功能、种种配置的禁忌，以及纷乱繁多的管理模式，给本就不太专业用户们带来了困扰。在金融海啸的今天，大量企业渴望降低IT系统的管理复杂度，简化部署与运营维护的开支，而传统的UTM恰恰给企业拉了后腿。

也许是看到了传统设备的不足，IDC在提出X-UTM概念之初，就已经把可定制、可管理作为X-UTM的标准之一。对于IDC的倡议，笔者也是非常赞同。因为UTM这类设备发展到今天，其自身的复杂度已经到了无法回避的地步。此前Fortinet一直强调，一定要让用户自身去习惯UTM，将设备提供的功能模块变成用户在业务运维上"自己的东西"，而非单纯、混杂地去被动接受。

此次X-UTM定制化体系的提出，客观上要求安全厂商的产品必须具备功能丰富性与整合性的特点。比如针对防病毒，X-UTM需要支持流行的应用协议，如FTP、POP3、Web、IM等等；针对不同的端口，X-UTM需要提供文件的大小限制、超时处理步骤、文件类型识别等功能，并且可以提供灵活的配置组合；针对Web过滤系统，X-UTM要求安全厂商必须有一个服务体系，主动帮助企业用户去识别全球范围内不同类型的网站，帮助用户去进行风险分析。换句话说，当前生产X-UTM的安全厂商必须能够提供自身的主动安全服务。

回首当年，很多国内安全厂商推出的所谓"UTM"方案，仅仅在系统中写一个IP地址、域名，就宣称具备Web过滤的能力，这种有限的"静态服务"根本就不符合UTM的初衷。可悲的是，个别时候甚至在电信运营商的网络里都能发现类似的产品。无疑，很多国内安全厂商从产品设计之初就混淆了UTM的概念与要求，这类产品不仅达不到帮助用户真正屏蔽有害网站的效果（这些网站的属性很隐藏，需要专业公司的技术帮助），而且还给用户的后期管理添了麻烦。

当前，X-UTM需要将用户的应用与安全的大方向进行融合与匹配。同样以Web过滤为例，其中会涉及到大量的用户层面特性，比如能否根据用户的组、不同用户的角色差异，判定哪些用户可以访问某些网络资源，哪些用户不能访问。其中设备需要提供更多灵活的特殊策略组合，帮助用户开展应用层面的安全管理。

仅从用户体验来看，X-UTM强调Web过滤的分类类别。对安全厂商而言，X-UTM的标准无疑严格许多，传统上那种在UTM中设定一类Web阻挡策略的做法行不通了。从Fortinet对于X-UTM的设计建议可以看出，Web过滤的起步分类标准就要50类，做到优秀级别至少80类。

换句话说，X-UTM相当强调颗粒化的安全管理。正如Fortinet一直所强调的，安全厂商不能把所有信息反馈的结果简单丢给用户。相反，安全厂商需要从用户的实际需求出发，提供基于功能、策略、应用的定制化的安全服务。

对X-UTM而言，其诞生的意义源于安全。然而，在企业用户纷繁复杂的应用面前，安全并非单一存在：不抛弃网络层，维护从网络到应用的安全体系，成为了X-UTM的价值所在。

X-UTM对用户来说，其首要标准就是"绝对不能抛弃网络层"。作为一种网关产品，X-UTM需要处理的东西很多。总结当前各种新兴安全设备可以发现，单纯的Web防火墙、上网行为管理、HTTP过滤网关等设备，其核心都是在保护Web，这些设备不需要考虑DNS、VoIP，它们都属于应用层的专项安全产品。

然而，X-UTM对企业而言，要管理的范畴大得多：企业用户访问互联网需要管控、企业的OA资源需要保护、企业内部VPN网络需要保护，甚至是企业内部的每一个个体都需要保护。

举例来看，现代企业需要网关防病毒功能，根据经验安全设备至少需要提供每月一万种的病毒支持；另外，对协议的广义支持能力，还有对用户的超时管理，也是安全设备需要考虑的问题；此外，当前业界看重流扫描技术，这有点类似IPS的模式。比如一个病毒是10层压缩，安全设备需要进行层层解压，从而对设备的强壮性提出了挑战。

面对这些问题，单纯的防火墙、IPS、Web过滤、反垃圾邮件等设备无法全盘解决。以前有句谚语："10个人的企业好管理，100个人就困难了"，每个人的应用都复杂，企业的网络管理员需要避免个体用户的应用滥用导致网络瘫痪，给企业带来各种主动和被动的风险。而这恰恰是X-UTM的职责所在。

X-UTM的特点是，设备放在企业内网里面需要承担不同的协议和流量。换句话说，X-UTM在网络里面都是要承载所有协议。根据Fortinet的统计，一个中等规模的企业，其网络流量分配比例大致为：25%的HTTP封包，75%的UDP、DNS、IM、视频等应用。不难看出，HTTP协议仅仅是网络中的一部分，大量的基础网络协议和应用都需要X-UTM提供周到的保护。

总之一句话：X-UTM是保护企业的。在一个企业的网络环境中，什么样的流量都会具备。从实际的情况看，企业办公室上网运行的各种应用非常复杂，比如在线游戏、QQ、MSN、电子邮件、VoIP等等。在这样的情况下，X-UTM的性能就不可以存在短板。

根据IDC和Fortinet的设计要求，一款合格的X-UTM设备，其处理引擎必须具备分类处理的能力，比如针对HTTP实现处理吞吐500M、SMTP 400M、POP3 300M。因此，所谓帮助用户实现应用层安全，就是要使安全设备符合真正互联网流量的体系结构，而不是单独做一个Web安全网关。豪无疑问，X-UTM的责任更加重要！

未经允许不得转载：DOIT » Fortinet倡导X-UTM回归全面安全之道