用户对于UTM产品的需求,首先源自在网络应用中对不同威胁的防御需要,因而产品在功能设计上能否真正起到预期作用就成了我们首要考察的内容。我们就UTM产品所能提供的防火墙、IPS、防恶意软件、反垃圾邮件、VPN、内容过滤等功能进行了逐一考察,对于每项功能所能实现的防护作用进行深入了解;同时,设备所具有的网络特性,例如对于路由、透明模式等接入方式的支持,是否能实现基于源和目的的地址转换,在静态路由之外是否支持动态路由协议等,这些项目对于UTM满足用户需要,适应复杂网络环境都具有实际意义;此外,设备是否具备QoS功能,是否采用了能实现多外线接入、策略路由,以及双机热备和负载均衡等高可用设计,对于避免单点故障,维持企业网络应用的稳定运行具有很高的价值。
另外,如何将这些功能高度融合,实现统一易用的集中管理是UTM能否在应用中充分发挥作用的关键,其操作和管理的易用性、有效性也在我们的考察之列。例如对于管理方式的支持,对管理权限是否有必要的限制,对于用户的认证管理方式,UTM的日志功能能否起到帮助管理员详细了解设备运行、数据流的通信情况,以实现设备调优以及对网络访问行为的审计。
由于UTM要提供综合防御,这对整个平台的处理能力提出了更高要求,尤其是防恶意软件、垃圾邮件过滤等针对内容的防护功能,都有较大的资源消耗。UTM在同时开启多项功能引擎后,其性能是否会形成应用瓶颈就成了值得关注的重要因素。对于UTM性能的考察,我们并未进行单一功能开启下的性能测试,这主要是出于对现实使用中UTM工作状况的考虑,很少有用户购买UTM产品只是为了使用其中的一项功能。因而在进行UTM性能测试时,会同时启用设备的防火墙、恶意软件防护以及IPS等安全防护功能。
在性能测试项目上,我们主要选定了在L4-L7应用时,设备所能支持的最大并发连接数、每秒新建连接数、平均响应延迟以及有效数据吞吐能力等4项指标。这4项指标从不同方面反映出设备在应用中所能达到的性能特性。测试分别在只有正常流量和伴有一定网络攻击两种不同测试环境下进行。性能测试是借助于思博伦公司最新负载测试设备Avalanche 2700与Reflector2700来实现,Avalanche 2700是一种可以在网络应用层灵活构建测试模型,并可产生高负载真实网络流量的测试设备,而Reflector2700则可以模拟服务器提供不同的服务响应。运用这对设备不仅可以分析如UTM这样L4~L7设备的性能,同时也可以用于对高复杂度网络环境的测试评估。
并发连接数直接体现了被测的UTM在应用中所能维持的最大会话数,它直接反映出设备能够满足网络应用规模的大小。测试中,为了避免由于UTM的最大数据处理量以及新建能力因素的影响,我们在模拟客户机访问HTTP服务器的应用时,采用大小仅为64字节的访问页面,而且在增加连接请求数量时,也未采用固定新增速率的方式,而是使用分步、分批次的请求增加,使UTM尽可能多的消化和处理用户的访问请求,这样得到的并发连接数指标也是UTM在提供相应功能时,所能维持的最大并发会话数。
而每秒新建连接数反映的是UTM对于连接请求的实时反应能力。它体现了用户在发出访问请求后,UTM设备及时处理这些访问请求的能力,而较高的每秒新建连接能力可以在一定程度上减少设备在同一时间所需维持的并发连接数,同时也提高了应用的响应速度。平均响应延迟重点考察的是在通过UTM的处理后,用户端从发出请求到得到UTM另一款服务器响应的时间滞后。这一指标的测试是在80%设备最高每秒新建能力的前提下进行的。
由于UTM是处于内外网的连接处,它的有效数据吞吐能力将直接影响用户的正常应用,它反映的是在应用中网络内容传输的有效速率。当然用户应理性看待UTM设备的这一指标,在选购产品时应根据自身应用环境而定,高于所租用的外线带宽即可,不要盲目追求高有效数据吞吐的产品。
对于UTM设备抵御网络威胁能力的考察,我们同样采用了思博伦公司的ThreatEX网络攻击测试解决方案。ThreatEX 2700测试设备可以对单个设备或整个网络发起可以控制的真实攻击,来帮助用户进行网络安全的评估和加固。我们从ThreatEX 2700丰富的受控攻击类型中挑选出包含有CodeRed II蠕虫、Nimda、SQL Slammer等典型攻击在内的攻击类型,作为我们此次的攻击测试库。测试种类共25种,可以很直观地反映出各UTM产品对于网络攻击的抵御能力。
评论