UTM概念的产生时间并不长,甚至直到现在,业界对于什么样的产品才能算作UTM设备仍然存有分歧。不过多数情况下,厂商和用户按照IDC的3点描述来作为判定UTM的依据:
1.UTM安全设备是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬件设备里,构成一个标准的统一管理平台。
2.UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,但它们应该是UTM设备自身固有的功能。
3.UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
UTM简单概括起来,就是说一款专用网络安全设备,只要同时具备网络防火墙、网络入侵检测/防御以及网关防病毒功能三大功能,基本就可以归类为UTM产品。
而业界目前主要存在的分歧点在于如下几点:作为统一威胁管理设备,哪些功能UTM是必须具有的;另外对于UTM产品所采用的硬件平台以及技术架构,不同厂商间也有不同的理解。
虽然大家在什么是UTM的问题上还没有达到思想上的统一,但这并不妨碍厂商以高度热情投入到该类产品的研发和市场推广之中。
在国内安全市场中,像Fortinet、WatchGuard这样一些国际著名厂商的UTM产品在经过几年的市场开拓后,在2006年已经取得了非 常好的市场回报。而像方正安全、启明星辰这样一大批国内安全厂商,也都加入到UTM这一新兴安全产品领域中。此外,一些通讯设备生产商也开始涉足这一领 域,像此次选送产品参加专题的合勤科技。虽然这些厂商所推UTM在技术架构、设计理念上都存在很多差异,但是厂商的积极推动让更多的用户开始对UTM这一 概念有了接触和了解。
UTM与安全需求的结合点
之前的网络安全市场基本上是单一功能产品的天下。一个对于网络安全有着较高要求的企业,需要分别购置防火墙、VPN、IDS、病毒过滤网关等众多的 安全设备。这样的多设备组合在实施以及使用维护时需要各方面的支持,要进行大量的协调工作,而且复杂的组网只能导致更多的故障隐患,一旦出现问题,定位与 排错也非常困难。以上还没有将多产品采购需要更多的资金投入计算在内,而事实上很多企业正是出于资金方面的考虑,才不得不降低安全防护标准,增加了内网的 安全风险。
还有一些用户对于网络安全还存在认识上的问题,很多企业还只停留在以防火墙加杀毒软件作为其安全方案的水平。然而事实上这样的组合方式所能起到的安全防护效果有很大的局限性。
以目前仍是网络安全市场中占有率最高的网络防火墙来说,目前仍主要基于包过滤、状态包过滤以及应用代理、状态检测等技术。基于包过滤的产品只是对通 信数据包的包头信息进行提取,与策略表对照,放行规则所允许的源地址与目的地址间的相应应用。由于在一些正常应用中,内网用户访问外网时本机的端口是随机 的,为了让这些应用得到正常通过,防火墙只能将所有可能用到的端口实行静态开放,这样的内网防护就变的非常脆弱。因而纯粹基于包过滤的产品已经非常少见, 更多产品采用了状态包过滤的技术。
基于状态包过滤的产品加入了对数据传输状态的判断,当一个带有连接请求的数据包到达防火墙时,会与策略库进行比 对,拒绝不符合放行条件的数据包,而对于符合要求的数据包在放行的同时,会相应在一个动态维护的连接状态表中记录该连接信息。当后续数据包进入时,会直接 与状态表进行对照,属于已知连接则被放行,否则即使通信双方的地址、服务一致,但源端口不一致也不会被通过,这样就杜绝了由外网发起的针对内网端口的访 问。同时由于大量数据包的处理不再需要与策略库相对比,也加快了数据包的处理速度。但是纵然如此,由于此类防火墙仅涉及到OSI中的传输层,无法对上层的 内容进行审核,对于目前很多基于应用层的攻击或恶意数据内容都无法做到有效的防御。
基于应用代理以及状态检测的防火墙产品,可以对应用层的内容进行审核,具有更高的安全防护能力,但也只能解决对 非法访问控制的问题,而对于如今网络中很多针对系统漏洞的攻击,以及通过正常通信通道附带的病毒等基于内容方面的安全隐患,几乎起不到什么作用。而如果一 个企业的内网安全仅靠不断加强系统以及桌面级杀毒软件来防护,那就更如同寄希望于新的漏洞不被发现或恶意软件不再产生一样渺茫。对于这些无孔不入的安全隐 患,仅仅依靠一两件功能单一的工具是无法完全解决的。这就需要能综合解决多方面问题的方案出现,而UTM则刚好顺应了这一需求。
UTM产品的应用现状
从目前市场中UTM产品来看,多数产品并不局限于对网络防火墙、IDS/IPS以及病毒防护这三大功能的支持。更多的产品还将VPN、反垃圾邮件、 内容过滤等功能整合了进来。而网络安全技术本是向着更专业更深入的方向发展,很多厂商以前仅专注于其中的某几项技术,这就使很多刚刚转到UTM领域的安全 厂商的产品在功能效果上会有所偏重,产品设计仍以其中几项作为重点,功能间的结合也非常松散。
一些传统UTM厂商不仅只着眼于功能的实现,同时更注重产品各功能间的深度融合,它的处理机制更为合理,在UTM工作时,多个功能模块协同处理,以最低的资源消耗提供更全面的安全防护,当然这也是UTM技术发展的趋势所在。
从实际的效果来看,由于很多功能的实现是基于应用层的,对于资源的耗费较大,而UTM往往是多个功能同时应用,这就对产品的处理性能提出了更高要求。而解决UTM这一问题的途径主要有两条,增强功能间的结合度,最大限度的提高处理效率;另外一点就是提升硬件性能,采用处理性能更强的NP和ASIC 加速技术。
UTM是一种有助于增强企业网络安全防护能力的技术,它不仅要相关各方的热情推动,更重要的是需要厂商讲求务实,不断完善UTM的设计,为用户提供更为实用和锋利的“瑞士军刀”。
对于用户来讲,也要理性看待这一技术。寸有所长,尺有所短,对于自己需要的是一款面面俱到的产品,还是要处理更高效、更专业的单一功能产品,在选购前要考虑清楚。
