西西河

主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨

共:💬106 🌺268 新:
全看分页树展 · 主题 跟帖
家园 【原创】IT八股:闲聊信息安全 (之四.产品点评(下))

事先声明一, 由于我目前的职业作品就是一个采用了UTM概念的东东, 因此本文难免有做广告的嫌疑. 事先声明二, 因为我一直答应一些朋友在有时间的时候, 写一篇短文, 向他们介绍一下我的产品, 我打算把内容合并在一起, 因此本文绝对有做广告的嫌疑. (不喜欢的朋友看到广告部分直接无视就可以了)

Unified threat management (UTM)的Wikipedia解释很简单, 而且存在不少错误(我曾经以为是我在2003年底最早想到并着手开发这样一个集成化的安全产品, 后来发现, UTM这个概念Fortinet在2002年就已经提出来了). 可见虽然概念提出已经有不少时间, 但是目前尚未普及.

具有UTM概念的产品, 在Open Source领域里面有IPCop, SmoothWall, M0n0Wall, 其中M0n0Wall是基于FreeBSD的, 其它两个都是基于Linux. 在商业产品领域里面, 包括Fortinet的Fortigate, WatchGuard, 还有我的NetONE等:-).

集成化的安全产品的优点可以用\"多快好省\"四个字来描述(这四个字印在了俺们的名片上), 反过来, 你也可以用这四个字去衡量某个具体的产品.

: 集成化的安全产品集成了多种安全功能模块, 但是集成哪些功能, 在这里就出现了分化. 第一类是完全以UTM概念为指导的产品, 例如Fortinet, WatchGuard等, 其中都包括防火墙/NAT, IPsec VPN, 垃圾邮件过滤(Spam Filter), 防病毒网关(一个火坑), IDS/IPS(又一个火坑), Web内容过滤等功能; 第二类则扩展了大量的网络服务和网络通信类的功能在里面, 例如, 流量整型(Traffic Shaping), DNS代理等等, IPCop, SmoothWall可以归入此类; 第三类是在第二类的基础上, 去掉了火坑部分, (例如M0n0Wall), 同时也追加了很多与国内主流需求相关的功能, 例如SSL, PKI服务, 负载均衡(Load Director), 802.1X等等在里面, (例如NetONE);

: 主要体现在部署方便, 实施速度快. 集成化的产品都具备这样的优点, 部署和配置一台集成化设备, 显然比独立部署和配置多台独立设备方便快速 (带着iPhone总比既带手机, 又带MP3, PDA来的方便). 而且由于集成在一台设备里面, 无论在网络地址划分, 还是功能相互之间的整合上, 都可以得到很大程度上的简化. 在NetONE上, 我们在体现另一个\"快\"上也下了不少功夫, 统一的操作界面, 智能化的规则冲突检测, 全面的自动化系统配置审核, 这么做的目的, 在于缩短用户的学习时间, 可以快速上手, 迅速发挥产品的能力. 一方面可以最大限度地体现产品的价值, 另一方面也可以有效地降低技术支持和维护的工作量.

: 我一般是用\"好用\"来解释这个好. 集成化产品的大忌是把产品做成简单的功能叠加, 看似一体, 其实互不相关. 一个简单的例子就是, 如果需要新建一条VPN隧道, 那么防火墙的规则应该自动发生变化, 确保这条隧道的通畅. 前面说过\"傻瓜化是信息安全产品的终极目标, 而傻瓜化的背后就是高度的智能化和自动化. 在达到同样的安全需求的前提下, 越简单, 越傻瓜的产品是越好的产品\". 这也是NetONE在设计和开发过程中的一个指导原则.

: 首先是可以节约设备投资, 分立设备的价格累加总是会高于集成设备, 更何况集成设备可以通过升级等方式追加新增模块. 其次是可以节约运行成本, 傻瓜化的配置和管理方式可以大幅度节约人力成本, 另外, 至少省电省空间吧;-)

集成化的安全产品也有缺点.

首先, 与独立产品中的一流产品相比, 集成化产品中相应的模块的功能往往仅仅是一个子集. 这个也是很容易理解的, 毕竟产品的重点, 技术的专长和相应的投入有很大的差别. 但是从另外一个角度来说, 即使是功能子集, 如果对80%的用户来说已经足够, 其市场前景和发展空间也已经足够了, 这也是UTM产品目前主要应用于中小网络环境的原因.

其次, 集成的功能越多, 性能就越成为用户担心的方面,. 这样的担心并非没有道理, 但是我的经验是如果避开了那些火坑, 更多的情况是用户高估了自己的负载. 也正因为如此, 在NetONE里面, 我们提供了很多性能监测的工具, 例如实时的CPU, 内存负载情况, 网络实时流量, VPN通道实时流量, SSL目前的连接并发数等等. 我们更倾向于让数据告诉我们实际的情况是什么样.

在计算机和通信的发展历史上, 集成一直是主要的潮流. 在我看来, 其根本原因在于, 我们总是希望得到更多的功能和更少的麻烦, 而集成是满足这样的渴望最快捷也最有效的方法. 对于UTM或者类似的集成化的安全产品来说, 现在的实现方式也许是对的, 也许是错的, 也许不久会出现新的思路和方法, 但是无论如何, 这个方向总是值得去努力的.

这个系列到此就告一段落了, 感谢你的耐心, 一直读到这里, 希望本文不至于让你觉得浪费了时间. 至于我, 一天一篇的系列文章实在有点吃不消, 在各位朋友的鼓励下却又欲罢不能, 真是一段辛苦而又快乐的过程.

(仔细算了一下, 我们是从2003年底而不是2004年底开始的, 在文章中已经改正)

关键词(Tags): #信息安全#广告
全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河