UTM概念的產(chǎn)生時(shí)間并不長,甚至直到現(xiàn)在,業(yè)界對于什么樣的產(chǎn)品才能算作UTM設(shè)備仍然存有分歧。不過多數(shù)情況下,廠商和用戶按照IDC的3點(diǎn)描述來作為判定UTM的依據(jù):
1.UTM安全設(shè)備是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項(xiàng)或多項(xiàng)安全功能。它將多種安全特性集成于一個(gè)硬件設(shè)備里,構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺。
2.UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用,但它們應(yīng)該是UTM設(shè)備自身固有的功能。
3.UTM安全設(shè)備也可能包括其它特性,例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性(HA)和帶寬管理等。不過,其它特性通常都是為主要的安全功能服務(wù)的。
UTM簡單概括起來,就是說一款專用網(wǎng)絡(luò)安全設(shè)備,只要同時(shí)具備網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御以及網(wǎng)關(guān)防病毒功能三大功能,基本就可以歸類為UTM產(chǎn)品。
而業(yè)界目前主要存在的分歧點(diǎn)在于如下幾點(diǎn):作為統(tǒng)一威脅管理設(shè)備,哪些功能UTM是必須具有的;另外對于UTM產(chǎn)品所采用的硬件平臺以及技術(shù)架構(gòu),不同廠商間也有不同的理解。
雖然大家在什么是UTM的問題上還沒有達(dá)到思想上的統(tǒng)一,但這并不妨礙廠商以高度熱情投入到該類產(chǎn)品的研發(fā)和市場推廣之中。
在國內(nèi)安全市場中,像Fortinet、WatchGuard這樣一些國際著名廠商的UTM產(chǎn)品在經(jīng)過幾年的市場開拓后,在2006年已經(jīng)取得了非 常好的市場回報(bào)。而像方正安全、啟明星辰這樣一大批國內(nèi)安全廠商,也都加入到UTM這一新興安全產(chǎn)品領(lǐng)域中。此外,一些通訊設(shè)備生產(chǎn)商也開始涉足這一領(lǐng) 域,像此次選送產(chǎn)品參加專題的合勤科技。雖然這些廠商所推UTM在技術(shù)架構(gòu)、設(shè)計(jì)理念上都存在很多差異,但是廠商的積極推動讓更多的用戶開始對UTM這一 概念有了接觸和了解。
UTM與安全需求的結(jié)合點(diǎn)
之前的網(wǎng)絡(luò)安全市場基本上是單一功能產(chǎn)品的天下。一個(gè)對于網(wǎng)絡(luò)安全有著較高要求的企業(yè),需要分別購置防火墻、VPN、IDS、病毒過濾網(wǎng)關(guān)等眾多的 安全設(shè)備。這樣的多設(shè)備組合在實(shí)施以及使用維護(hù)時(shí)需要各方面的支持,要進(jìn)行大量的協(xié)調(diào)工作,而且復(fù)雜的組網(wǎng)只能導(dǎo)致更多的故障隱患,一旦出現(xiàn)問題,定位與 排錯(cuò)也非常困難。以上還沒有將多產(chǎn)品采購需要更多的資金投入計(jì)算在內(nèi),而事實(shí)上很多企業(yè)正是出于資金方面的考慮,才不得不降低安全防護(hù)標(biāo)準(zhǔn),增加了內(nèi)網(wǎng)的 安全風(fēng)險(xiǎn)。
還有一些用戶對于網(wǎng)絡(luò)安全還存在認(rèn)識上的問題,很多企業(yè)還只停留在以防火墻加殺毒軟件作為其安全方案的水平。然而事實(shí)上這樣的組合方式所能起到的安全防護(hù)效果有很大的局限性。
以目前仍是網(wǎng)絡(luò)安全市場中占有率最高的網(wǎng)絡(luò)防火墻來說,目前仍主要基于包過濾、狀態(tài)包過濾以及應(yīng)用代理、狀態(tài)檢測等技術(shù)。基于包過濾的產(chǎn)品只是對通 信數(shù)據(jù)包的包頭信息進(jìn)行提取,與策略表對照,放行規(guī)則所允許的源地址與目的地址間的相應(yīng)應(yīng)用。由于在一些正常應(yīng)用中,內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)本機(jī)的端口是隨機(jī) 的,為了讓這些應(yīng)用得到正常通過,防火墻只能將所有可能用到的端口實(shí)行靜態(tài)開放,這樣的內(nèi)網(wǎng)防護(hù)就變的非常脆弱。因而純粹基于包過濾的產(chǎn)品已經(jīng)非常少見, 更多產(chǎn)品采用了狀態(tài)包過濾的技術(shù)。
基于狀態(tài)包過濾的產(chǎn)品加入了對數(shù)據(jù)傳輸狀態(tài)的判斷,當(dāng)一個(gè)帶有連接請求的數(shù)據(jù)包到達(dá)防火墻時(shí),會與策略庫進(jìn)行比 對,拒絕不符合放行條件的數(shù)據(jù)包,而對于符合要求的數(shù)據(jù)包在放行的同時(shí),會相應(yīng)在一個(gè)動態(tài)維護(hù)的連接狀態(tài)表中記錄該連接信息。當(dāng)后續(xù)數(shù)據(jù)包進(jìn)入時(shí),會直接 與狀態(tài)表進(jìn)行對照,屬于已知連接則被放行,否則即使通信雙方的地址、服務(wù)一致,但源端口不一致也不會被通過,這樣就杜絕了由外網(wǎng)發(fā)起的針對內(nèi)網(wǎng)端口的訪 問。同時(shí)由于大量數(shù)據(jù)包的處理不再需要與策略庫相對比,也加快了數(shù)據(jù)包的處理速度。但是縱然如此,由于此類防火墻僅涉及到OSI中的傳輸層,無法對上層的 內(nèi)容進(jìn)行審核,對于目前很多基于應(yīng)用層的攻擊或惡意數(shù)據(jù)內(nèi)容都無法做到有效的防御。
基于應(yīng)用代理以及狀態(tài)檢測的防火墻產(chǎn)品,可以對應(yīng)用層的內(nèi)容進(jìn)行審核,具有更高的安全防護(hù)能力,但也只能解決對 非法訪問控制的問題,而對于如今網(wǎng)絡(luò)中很多針對系統(tǒng)漏洞的攻擊,以及通過正常通信通道附帶的病毒等基于內(nèi)容方面的安全隱患,幾乎起不到什么作用。而如果一 個(gè)企業(yè)的內(nèi)網(wǎng)安全僅靠不斷加強(qiáng)系統(tǒng)以及桌面級殺毒軟件來防護(hù),那就更如同寄希望于新的漏洞不被發(fā)現(xiàn)或惡意軟件不再產(chǎn)生一樣渺茫。對于這些無孔不入的安全隱 患,僅僅依靠一兩件功能單一的工具是無法完全解決的。這就需要能綜合解決多方面問題的方案出現(xiàn),而UTM則剛好順應(yīng)了這一需求。
UTM產(chǎn)品的應(yīng)用現(xiàn)狀
從目前市場中UTM產(chǎn)品來看,多數(shù)產(chǎn)品并不局限于對網(wǎng)絡(luò)防火墻、IDS/IPS以及病毒防護(hù)這三大功能的支持。更多的產(chǎn)品還將VPN、反垃圾郵件、 內(nèi)容過濾等功能整合了進(jìn)來。而網(wǎng)絡(luò)安全技術(shù)本是向著更專業(yè)更深入的方向發(fā)展,很多廠商以前僅專注于其中的某幾項(xiàng)技術(shù),這就使很多剛剛轉(zhuǎn)到UTM領(lǐng)域的安全 廠商的產(chǎn)品在功能效果上會有所偏重,產(chǎn)品設(shè)計(jì)仍以其中幾項(xiàng)作為重點(diǎn),功能間的結(jié)合也非常松散。
一些傳統(tǒng)UTM廠商不僅只著眼于功能的實(shí)現(xiàn),同時(shí)更注重產(chǎn)品各功能間的深度融合,它的處理機(jī)制更為合理,在UTM工作時(shí),多個(gè)功能模塊協(xié)同處理,以最低的資源消耗提供更全面的安全防護(hù),當(dāng)然這也是UTM技術(shù)發(fā)展的趨勢所在。
從實(shí)際的效果來看,由于很多功能的實(shí)現(xiàn)是基于應(yīng)用層的,對于資源的耗費(fèi)較大,而UTM往往是多個(gè)功能同時(shí)應(yīng)用,這就對產(chǎn)品的處理性能提出了更高要求。而解決UTM這一問題的途徑主要有兩條,增強(qiáng)功能間的結(jié)合度,最大限度的提高處理效率;另外一點(diǎn)就是提升硬件性能,采用處理性能更強(qiáng)的NP和ASIC 加速技術(shù)。
UTM是一種有助于增強(qiáng)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力的技術(shù),它不僅要相關(guān)各方的熱情推動,更重要的是需要廠商講求務(wù)實(shí),不斷完善UTM的設(shè)計(jì),為用戶提供更為實(shí)用和鋒利的“瑞士軍刀”。
對于用戶來講,也要理性看待這一技術(shù)。寸有所長,尺有所短,對于自己需要的是一款面面俱到的產(chǎn)品,還是要處理更高效、更專業(yè)的單一功能產(chǎn)品,在選購前要考慮清楚。
