UTM是統一威脅管理(UnifiedThreatManagement)的縮寫,最早由FortiNet公司提出。
后由著名的市場研究機構IDC首度為統一威脅管理提出明確定義,具體定義如下:UTM安全設備是由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里,構成一個標準的統一管理平臺。
UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用,但它們應該是UTM設備自身固有的功能。
UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。
技術之路不平坦
UTM設備雖然集成包括防火墻、VPN、IDS/IPS、內容過濾等多種技術于一體,但由于目前的UTM廠家沒有能力掌握全部技術,往往在一種核心 技術的基礎上加入其他技術,從而衍生出來UTM。因此就出現了UTM產品以什么為核心的紛爭。目前來看,UTM設備主要有三種出身:一種是從防火墻技術衍 生出來的,一種是從防病毒技術衍生出來的,還有一種是從入侵檢測/保護技術衍生出來的。
從發展方向看,未來將不存在防火墻、防病毒、入侵檢測技術等誰為核心的問題,因為UTM設備中各種技術的“深度融合”才是大勢所趨。從技術角度來 說,實現UTM需要無縫集成多項安全技術,達到在不降低網絡應用性能的情況下,提供2-7層的安全防護,采用高性能硬件技術和深度融合的技術平臺,才能達 到UTM的部分目標。
UTM要求高性能的硬件技術,UTM產品相對于防火墻來講,不僅僅是功能增加了很多,檢測的層次也從防火墻的網絡層上升到了應用層,這對于硬件資源 的占用是成百倍甚至上千倍的。由此導致的結果就是,UTM產品雖然功能很多,但在多種功能同時運行時,性能會大打折扣甚至無法運行。X86架構不能夠滿足 UTM的高要求,NP和ASIC加速技術是目前更好的選擇。因此采用更優秀的硬件平臺提高性能,是UTM產品的必然趨勢。
深度融合的技術平臺是UTM的性能保證,UTM產品包括防火墻、網關防病毒、IDS/IPS、VPN、內容過濾等功能模塊,各種功能模塊對數據的處 理各有其處理方式及資源占用。如果基于某個功能模塊發展起來的UTM產品,沒有充分考慮到技術的深度融合,只是一味地將很多功能“簡單疊加”到一起,其結 果將直接影響UTM系統效率,造成整體性能下降,甚至整個設備的不可用。UTM產品需要在統一平臺基礎上,深度融合各種技術,以達到產品技術組合的最優 化。
冷靜對待UTM市場
雖然UTM市場喧囂火熱,但據IDC最新發布的報告顯示,大家寄予厚望的“統一威脅管理”UTM市場,并沒有像預期那樣快速成長。
性能是最受客戶關心和最被業界質疑的因素。因為硬件平臺及軟件系統方面的問題,目前的UTM產品在多種功能同時運行時,性能會大打折扣。作為集成網 關,這將直接影響到用戶的業務應用。有些UTM廠家建議,在使用初期,先打開最需要的某一功能模塊,再根據變化的使用要求,逐步打開其他功能模塊。但這種 變通的方法恰恰與UTM多功能特性相違背,根本之道還在于采用更優秀的硬件平臺以提升整體性能。
對于安全設備來說,穩定性是尤其重要的。UTM軟件系統的復雜性帶來了穩定性的損失和Bug的增加。尤其是當某項功能出現問題時,極有可能導致整個設備的不可用。這不僅需要在硬件平臺上下功夫,還要考慮到技術的深度融合,提高軟件系統的穩定性,減少當機率、重啟率。
目前UTM產品多多少少還存在“單邊產品”現象,所謂單邊產品就是其中某一項功能強,而其他功能相對較弱。這是由UTM廠家技術背景決定的。用戶在 選擇產品時,要注意了解UTM產品每個功能的技術實現程度,不要簡單地以功能多少評判UTM產品優劣。例如一些UTM廠家總會拿產品中裝有IPS模塊來說 明自己系統的完善,實際上主流IPS廠商在IPS技術方面都有較強的實力和長期的技術積淀,這是UTM廠家做不到的,孰優孰劣只要進行產品測試就可見分 曉。
除了設備采購價格之外,客戶仍需關注UTM各功能模塊的服務費用。不必說UTM廠家自己提供的防火墻等產品升級服務,單說第三方廠商的軟件升級如病毒庫、URL庫、攻擊規則庫等每年都需要一筆不少的費用。因此用戶考慮UTM的價格時,一定要全面分析。
目前國際、國內都沒有統一的標準對UTM設備的功能、性能等指標做統一的規定,加之各家實現方法不同、包含功能也不盡相同,對UTM產品的評測對比 產生很大的影響。在國內,很多項目投標時,UTM設備的標書還是按照防火墻類別制定的。所以UTM規范性還需進一步統一和加強,以推動UTM市場的進一步 發展。
總之,UTM作為安全產品的集大成者,由于在性能、穩定性、功能、價格以及標準等方面還存在很多問題,要成為IT安全市場的中間力量還有很多難關需要突破。
