UTM概念的產生時間并不長,甚至直到現在,業界對于什么樣的產品才能算作UTM設備仍然存有分歧。不過多數情況下,廠商和用戶按照IDC的3點描述來作為判定UTM的依據:
1.UTM安全設備是由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬件設備里,構成一個標準的統一管理平臺。
2.UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用,但它們應該是UTM設備自身固有的功能。
3.UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和帶寬管理等。不過,其它特性通常都是為主要的安全功能服務的。
UTM簡單概括起來,就是說一款專用網絡安全設備,只要同時具備網絡防火墻、網絡入侵檢測/防御以及網關防病毒功能三大功能,基本就可以歸類為UTM產品。
而業界目前主要存在的分歧點在于如下幾點:作為統一威脅管理設備,哪些功能UTM是必須具有的;另外對于UTM產品所采用的硬件平臺以及技術架構,不同廠商間也有不同的理解。
雖然大家在什么是UTM的問題上還沒有達到思想上的統一,但這并不妨礙廠商以高度熱情投入到該類產品的研發和市場推廣之中。
在國內安全市場中,像Fortinet、WatchGuard這樣一些國際著名廠商的UTM產品在經過幾年的市場開拓后,在2006年已經取得了非 常好的市場回報。而像方正安全、啟明星辰這樣一大批國內安全廠商,也都加入到UTM這一新興安全產品領域中。此外,一些通訊設備生產商也開始涉足這一領 域,像此次選送產品參加專題的合勤科技。雖然這些廠商所推UTM在技術架構、設計理念上都存在很多差異,但是廠商的積極推動讓更多的用戶開始對UTM這一 概念有了接觸和了解。
UTM與安全需求的結合點
之前的網絡安全市場基本上是單一功能產品的天下。一個對于網絡安全有著較高要求的企業,需要分別購置防火墻、VPN、IDS、病毒過濾網關等眾多的 安全設備。這樣的多設備組合在實施以及使用維護時需要各方面的支持,要進行大量的協調工作,而且復雜的組網只能導致更多的故障隱患,一旦出現問題,定位與 排錯也非常困難。以上還沒有將多產品采購需要更多的資金投入計算在內,而事實上很多企業正是出于資金方面的考慮,才不得不降低安全防護標準,增加了內網的 安全風險。
還有一些用戶對于網絡安全還存在認識上的問題,很多企業還只停留在以防火墻加殺毒軟件作為其安全方案的水平。然而事實上這樣的組合方式所能起到的安全防護效果有很大的局限性。
以目前仍是網絡安全市場中占有率最高的網絡防火墻來說,目前仍主要基于包過濾、狀態包過濾以及應用代理、狀態檢測等技術。基于包過濾的產品只是對通 信數據包的包頭信息進行提取,與策略表對照,放行規則所允許的源地址與目的地址間的相應應用。由于在一些正常應用中,內網用戶訪問外網時本機的端口是隨機 的,為了讓這些應用得到正常通過,防火墻只能將所有可能用到的端口實行靜態開放,這樣的內網防護就變的非常脆弱。因而純粹基于包過濾的產品已經非常少見, 更多產品采用了狀態包過濾的技術。
基于狀態包過濾的產品加入了對數據傳輸狀態的判斷,當一個帶有連接請求的數據包到達防火墻時,會與策略庫進行比 對,拒絕不符合放行條件的數據包,而對于符合要求的數據包在放行的同時,會相應在一個動態維護的連接狀態表中記錄該連接信息。當后續數據包進入時,會直接 與狀態表進行對照,屬于已知連接則被放行,否則即使通信雙方的地址、服務一致,但源端口不一致也不會被通過,這樣就杜絕了由外網發起的針對內網端口的訪 問。同時由于大量數據包的處理不再需要與策略庫相對比,也加快了數據包的處理速度。但是縱然如此,由于此類防火墻僅涉及到OSI中的傳輸層,無法對上層的 內容進行審核,對于目前很多基于應用層的攻擊或惡意數據內容都無法做到有效的防御。
基于應用代理以及狀態檢測的防火墻產品,可以對應用層的內容進行審核,具有更高的安全防護能力,但也只能解決對 非法訪問控制的問題,而對于如今網絡中很多針對系統漏洞的攻擊,以及通過正常通信通道附帶的病毒等基于內容方面的安全隱患,幾乎起不到什么作用。而如果一 個企業的內網安全僅靠不斷加強系統以及桌面級殺毒軟件來防護,那就更如同寄希望于新的漏洞不被發現或惡意軟件不再產生一樣渺茫。對于這些無孔不入的安全隱 患,僅僅依靠一兩件功能單一的工具是無法完全解決的。這就需要能綜合解決多方面問題的方案出現,而UTM則剛好順應了這一需求。
UTM產品的應用現狀
從目前市場中UTM產品來看,多數產品并不局限于對網絡防火墻、IDS/IPS以及病毒防護這三大功能的支持。更多的產品還將VPN、反垃圾郵件、 內容過濾等功能整合了進來。而網絡安全技術本是向著更專業更深入的方向發展,很多廠商以前僅專注于其中的某幾項技術,這就使很多剛剛轉到UTM領域的安全 廠商的產品在功能效果上會有所偏重,產品設計仍以其中幾項作為重點,功能間的結合也非常松散。
一些傳統UTM廠商不僅只著眼于功能的實現,同時更注重產品各功能間的深度融合,它的處理機制更為合理,在UTM工作時,多個功能模塊協同處理,以最低的資源消耗提供更全面的安全防護,當然這也是UTM技術發展的趨勢所在。
從實際的效果來看,由于很多功能的實現是基于應用層的,對于資源的耗費較大,而UTM往往是多個功能同時應用,這就對產品的處理性能提出了更高要求。而解決UTM這一問題的途徑主要有兩條,增強功能間的結合度,最大限度的提高處理效率;另外一點就是提升硬件性能,采用處理性能更強的NP和ASIC 加速技術。
UTM是一種有助于增強企業網絡安全防護能力的技術,它不僅要相關各方的熱情推動,更重要的是需要廠商講求務實,不斷完善UTM的設計,為用戶提供更為實用和鋒利的“瑞士軍刀”。
對于用戶來講,也要理性看待這一技術。寸有所長,尺有所短,對于自己需要的是一款面面俱到的產品,還是要處理更高效、更專業的單一功能產品,在選購前要考慮清楚。