统一威胁管理(Unified Threat Management), 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。
IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。
一 UTM采用的技术:
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:
1、完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2、ASIC 加速技术
ASIC 芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器 和网络系统要实现内容处理往往在性能上达不到要求。
3、定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4、紧密型模式识别语言 (CPRL)
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。
二 UTM的优缺点:
UTM的优点
整合所带来的成本降低
将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
降低信息安全工作强度
由于UTM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署过程中可以大大降低强度。另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,UTM安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。
降低技术复杂度
由于UTM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
UTM的缺点
网关防御的弊端
网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。
过度集成带来的风险
将所有功能集成在UTM设备当中使得抗风险能力有所降低。一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
性能和稳定性
尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。
三 UTM的相关问题:
1、为保护单位网络,在只能购买一台产品的前提下,应该选择防火墙还是UTM?
UTM。因为威胁的发展趋势表明,攻击主要来自于两个方面,一是混和攻击,二是对应用层的攻击,要抵御这样的攻击,单台防火墙的防护能力是不够的,只有选择基于防火墙的UTM产品,才能提供全面的保护功能。UTM可以配置成防火墙,而防火墙不能配置成UTM。
2、如何判别UTM产品里的一项功能的价值?
首先看该UTM产品是否模块化,如果是,则应判断其所处模块的整体价值;如果没有模块化,则应把该功能单独拿出和同类单一产品进行比较,如果不能够代替同类单一产品,则说明该功能还不完善,只是该UTM产品中的点缀,说的好听是锦上添花,说的难听是滥竽充数。另外,再看此项功能能否同时在全部网卡上生效,如果只能同时在一个网卡上生效,则价值至少缩水8成以上。
3、UTM可以用于上网行为管理,以提高用户的生产率吗?
可以,二代UTM的应用过滤模块包括74类10万条URL的网页过滤功能、多语种关键词网页内容过滤,加上FTP过滤,邮件过滤、备份,MSN、QQ帐号级过滤,基本可以满足一般企事业单位的上网管理需求。另外,应用过滤模块还具有防病毒、防木马、防垃圾邮件、防网页钓鱼,流量拦截,VPN隧道内仍可进行上网行为管理等功能,这是一般旁路式监听产品所无法拥有的。广义的上网行为管理还包括身份认证,用户级时间、会话数、流量、带宽控制等,这不是只做第7层过滤就能达到的。另外,上网行为管理功能只是UTM的一部分,它偏重于内网出外网的管理,因此不能叫做UTM。
4、xx厂家既有防火墙、IDS又有UTM,怎么选择呢?
首先,看该UTM是否是OEM国外的产品,若是则不如直接选择国外品牌;其次,看该UTM包含了哪些原防火墙、IDS的功能,如果功能不全则不如选择原防火墙+IDS的组合。若资金有限,还是选择只做UTM厂家的产品性价比高。
5、有无限制用户数的UTM/防火墙吗?
没有。所谓的“无限制用户数”是指:一、没有在管理功能上做限制,二、没有有效的控制用户会话数的手段。由于性能上的局限,这种产品所能带的用户终究是有限制的。
6、流量管理就是带宽管理吗?
不是。单位时间(每秒)的流量是带宽,一定时间范围内(每天/每星期/每月)的流量不是带宽而是总流量。目前市面上的防火墙/UTM/流量优化设备一般只有带宽管理功能而没有全面的总流量管理功能,二代UTM同时具备带宽和流量管理功能,既可以对IP又可以对用户的不同应用进行管理。
7、UTM可以被托管吗?
可以。二代UTM设有多个不同角色的用户,可以将策略管理员的职责外包给专业机构,如MSSP,在建立好安全策略后,还可以将此职责收回,也可以将审计员的职责外包给信息安全审计机构,同时,统一威胁管理也使得管理者的工作大大简便。
8、UTM可以用于内网安全吗?
可以。中神通内网安全网关是UTM在内网安全领域的实践,它在防御外部攻击的同时,也可以防御内网之间的窃听和攻击。
四 UTM的未来趋势:
总体来看,UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供了组合多种安全功能的可能,用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能,并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进,除了引发出的新市场需求之外,UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。按照目前的发展态势估计,UTM产品很可能代替目前传统的一些信息安全产品,成为信息安全市场上新的主流。根据IDC的数据,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平均接近百分之八十的年成长率,并于2008年成长成为一个容量达到20亿美元的市场细分。
9/2/2011
|