UTM(United Threat Management)意為統一威脅管理,是在2004年9月由美國著名IDC提出的信息安全概念。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為 統一威脅管理的新類別中,該概念引起了業界的廣泛重視,并推動了以整合式安全設備為代表的市場細分的誕生。
由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成于一個硬設備里,構成一個標準的統一管理平臺。
從這個定義上來看,IDC既提出了UTM產品的具體形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,眾多安全廠商提出的多功能安全網關、 綜合安全網關、一體化安全設備等產品都可被劃歸到UTM產品的范疇;而從后半部分來看,UTM的概念還體現出在信息產業經過多年發展之后,對安全體系的整 體認識和深刻理解。UTM就成為近年來頗受安全業界關注的一個熱門話題。
認識UTM采用的主流技術
實現UTM需要無縫集成多項安全技術,達到在不降低網絡應用性能的情況下,提供集成的網絡層和內容層的安全保護。以下為一些典型的技術:
1、完全性內容保護(CCP)
CCP提供對OSI網絡模型所有層次上的網絡威脅的實時保護。這種方法比防火墻狀態檢測(檢查數據包頭)和深度包檢測(在狀態檢測包過濾基礎上提供額外檢查)等技術先進。
它具備在千兆網絡環境中,實時將網絡層數據負載重組為應用層對象(如文件和文檔)的能力,而且重組之后的應用層對象可以通過動態更新病毒和蠕蟲特征來進行掃描和分析。CCP還可探測其他各種威脅,包括不良Web內容、垃圾郵件、間諜軟件和網絡釣魚欺騙。
2、ASIC 加速技術
ASIC芯片是UTM產品的一個關鍵組成部分。為了提供千兆級實時的應用層安 全服務(如防病毒和內容過濾)的平臺, 專門為網絡骨干和邊界上高性能內容處理設計的體系結構是必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內容分析處理能力, 提供防火墻、加密/解密,特征匹配和啟發式數據包掃描,以及流量整形的加速功能。由于CCP需要強勁的處理能力和更大容量的內存來支持,僅利用通用服務器 和網絡系統要實現內容處理往往在性能上達不到要求。
3、定制的操作系統OS
專用的強化安全的OS提供精簡的、高性能防火墻和內容安全檢測平臺。基于內容處理加速模塊的硬件加速,加上智能排隊和管道管理,OS使各種類型流量的處理時間達到最小,從而給用戶提供最好的實時系統,有效地實現防病毒、防火墻、VPN、反垃圾郵件、IDP等功能。
4、緊密型模式識別語言
這一智能技術是針對完全的內容防護中大量計算程式所需求的加速而設計的。 狀態檢測防火墻、防病毒檢測和入侵檢測的功能要求,引發了新的安全算法包括基于行為的啟發式算法,利用在安全要素之間共享信息的優勢。這無疑是對付零日攻擊、提升檢測威脅能力的好辦法。
5、動態威脅管理檢測技術
動態威脅防御系統(Dynamic Threat Prevention System, 簡稱DTPS)是由針對已知和未知威脅而增強檢測能力的技術。DTPS將防病毒、IDS、IPS和防火墻等各種安全模塊無縫集成在一起,將其中的攻擊信息 相互關聯和共享,以識別可疑的惡意流量特征。DTPS通過將各種檢測過程關聯在一起,跟蹤每一安全環節的檢測活動,并通過啟發式掃描和異常檢測引擎檢查, 提高整個系統的檢測精確度。
UTM技術優點
1、整合所帶來的成本降低
將多種安全功能整合在同一產品當中能夠讓這些功能組成統一的整體發揮作用,相比于單個功能的累加功效更強,頗有一加一大于二的意味。現在很多組織特別是中 小企業用戶受到成本限制而無法獲得令人滿意的安全解決方案,UTM產品有望解決這一困境。包含多個功能的UTM安全設備價格較之單獨購買這些功能為低,這 使得用戶可以用較低的成本獲得相比以往更加全面的安全防御設施。
2、降低信息安全工作強度
由于UTM安全產品可以一次性的獲得以往多種產品的功能,并且只要插接在網絡上就可以完成基本的安全防御功能,所以無論在部署過程中可以大大降低強度。另 外,UTM安全產品的各個功能模塊遵循同樣的管理接口,并具有內建的聯動能力,所以在使用上也遠較傳統的安全產品簡單。同等安全需求條件下,UTM安全設 備的數量要低于傳統安全設備,無論是廠商還是網絡管理員都可以減少服務和維護工作量。
3、降低技術復雜度
由于UTM安全設備中裝入了很多的功能模塊,所以為提高易用性進行了很多考慮。另外,這些功能的協同運作無形中降低了掌握和管理各種安全功能的難度以及用 戶誤操作的可能。對于沒有專業信息安全人員及技術力量相對薄弱的組織來說,使用UTM產品可以提高這些組織應用信息安全設施的質量。
UTM技術缺點
4、存在網關防御的弊端
網關防御在防范外部威脅的時候非常有效,但是在面對內部威脅的時候就無法發揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自于組織內部,所以以網關型防御為主的UTM設備目前尚不是解決安全問題的萬靈藥。
5、存在過度集成帶來的風險
將所有功能集成在UTM設備當中使得抗風險能力有所降低。一旦該UTM設備出現問題,將導致所有的安全防御措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。
6、性能和穩定性需要進一步加強
盡管使用了很多專門的軟硬件技術用于提供足夠的性能,但是在同樣的空間下實現更高的性能輸出還是會對系統的穩定性造成影響。目前UTM安全設備的穩定程度相比傳統安全設備來說仍有不少可改進之處。
UTM技術的應用
UTM基礎應用是UTM設備必須要有一個整合功能的基礎平臺,目前在技術上,主要分為兩大分支:一類是以高性能防火墻為基礎的UTM設備,這是目前多數 UTM廠家的做法。對這種設備來說,一般都集成了全功能的防火墻,并在此基礎上加入VPN、IDS、防病毒等功能。有業內人士甚至表示,這種設備主要是為 了取代防火墻。另一類是以高端IPS為基礎,不斷演化出UTM設備。這種做法比較新,包括防火墻、VPN、帶寬管理、網頁內容過濾等安全模塊都會被安放到 IPS的平臺之上。這種做法對于IPS的性能、誤報率、可靠性的要求都相當高,但是帶來的好處也是顯而易見,由于IPS的優勢,可以對日益增多的系統滲透 與復合攻擊進行阻斷與控制。
對于以IPS為基礎的UTM產品,所集成的防火墻必須是全功能產品。特別是像NAT、動態端口等功能都要支持。因為如果僅僅集成了精簡版的防火墻,對于有 意延伸到高端應用的UTM顯然不合適。另外,這類產品的吞吐量與誤報率也不能忽視,畢竟這將對用戶的網絡運行帶來影響。 總之,無論采用哪種方式,UTM在一定時期內,都會重點強調某一方面的功能強大,而這也正是UTM的“特色”,不管是防火墻,還是IPS,甚至是防病毒, 附加的功能都是一個強有力的補充。
我們對于UTM功能特點、自身限制、部署方式等的綜合分析,可以發現UTM的主要采購者應當就是中小企業。部分大型企業和機構,也可能采購一部分,前提是 這些UTM可以和其他網關設備系統工作和管理。而且,因為傳統防火墻的檢測能力不足、IDS的應用復雜度,使得UTM成為中小企業的不二選擇,UTM很可 能成為中小企業安全市場上非常主流的安全產品。
隨著基于ASIC芯片加速平臺應用能力的增強,不只缺乏安全技術人員、資金有限的一些中小企業用戶可以通過UTM一攬子設備解決所有的安全問題,大型企業 甚至服務提供商也開始部署UTM設備,教育、金融和電信等行業需求明確。大型企業和行業應用是UTM市場潛力巨大的一大領域,在目前UTM技術應用中,金 融和電信占整個市場份額的40~50%,煙草、石油及石化等行業市場開發潛力不可低估。UTM產品包括幾大塊:防火墻、IPS及內容過濾等,不同類型的企 業或行業可以靈活購買一個或幾個部分,靈活應用。
目前,已經在國內推出UTM產品的廠商有近10家,其中有國內廠商,也有國外廠商;有傳統安全廠商,也有網絡產品廠商。在國外廠商中,最早推出UTM設備 的是Fortinet、SonicWall、WatchGuard等公司;國內推出的UTM設備的廠商有深信服、聯想網御、華為3Com,另外,啟明星辰 推出的天清漢馬防火墻雖然被稱為安全網關,但因為集成了防火墻、VPN、網關病毒過濾、Netflow流量統計分析、AAA認證計費等功能,也應該屬于 UTM的范疇。
UTM發展趨勢
總體來看,UTM產品為信息安全用戶提供了一種更加實用也加易用的選擇。用戶可以在一個更加統一的架構 上建立自己的安全基礎設施,而以往困擾用戶的安全產品聯動性等問題也能夠得到極大的緩解。相對于提供單一的專有功能的安全設備,UTM在一個通用的平臺上 提供了組合多種安全功能的可能,用戶既可以選擇具備全面功能的UTM設備,也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是,用戶可以隨時在這個 平臺上增加或調整安全功能,并且無論如何組合這些安全功能都可以很好的進行協同。現在UTM在安全產品市場上一路高歌猛進,除了引發出的新市場需求之 外,UTM還侵蝕了防火墻設備和VPN產品的很多市場份額。
目前市場上出現的各種UTM產品和UTM解決方案更多的是在已有產品或已有解決方案的基礎上進行整合和 創新而成,統一威脅管理真正的威力尚沒有被完全發揮出來。以UTM安全設備為例,很多廠商的產品仍舊是以防火墻系統為核心,并且在引導用戶認知的過程中也 體現出方式。這一方面是因為用戶對防火墻產品的認同度較高,另一方面也體現了廠商在技術實現方面的一些脈絡。按照目前的發展態勢估計,UTM產品很可能代 替目前傳統的一些信息安全產品,成為信息安全市場上新的主流。根據IDC的數據,UTM產品市場在近幾年會維持高速的增長態勢,在2008年之前將維持平 均接近百分之八十的年成長率,并于2008年成長成為一個容量達到20億美元的市場分額。
