UTM是统一威胁管理(Unified Threat Management)的简称。这是一种新型的信息安全设备。该设备将企业防火墙、入侵检测以及防病毒等结合于一体。UTM 在未来几年内将成为市场的主流,并超过防火墙/VPN 的市场份额。为什么这样说? UTM 又有哪些资本统领市场呢?
目前,各种入侵和攻击都从针对 TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,例如针对 Windows系统和Oracle/SQL Server等数据库的攻击。这些攻击和入侵手段封装在 TCP/IP 协议的净核部分。防火墙对此类只查TCP/IP 协议包头部分而不检查数据包内容的攻击来说实在是无能为力。
此外,基于网络传播的病毒,带有黑客程序的木马和间谍软件等都是混合型的安全威胁,传统的防火墙设备已经不能满足防范的需求。于是我们看到,越来越多的防火墙产品开始加入更多的安全功能,于是形成了一个需求强烈的整合安全设备市场。
但是,虽然目前市面上大多数第三代状态检测防火墙的产品都集成了一些其他功能,然而受到技术及性能的影响,能够集成网关防病毒和IPS 功能的厂商却寥寥无几。要做到扫描应用层数据来检测病毒和入侵,无疑对主处理器是一个沉重的负担,因为基于ASIC芯片的硬件防火墙不可能利用ASIC 实现应用层数据的扫描。
为了平衡性能与功能的需求,网关防病毒引擎扫描的协议种类非常有限,通常只支持POP3、SMTP、IMAP、HTTP 和 FTP 这5 种协议。而且,它们对同时扫描的文件数目和大小都依硬件平台的不同而有明显的限制,其主要原因在于它们把待扫描的文件存在从有限的内存空间所分配的缓冲区内,或者缓存在内置的硬盘内。硬件资源是有限的,这样就限制了能够同时下载和扫描的文件数目和大小。
基于以上的原因,UTM 开始崭露头角。UTM 是由硬件、软件和网络技术组成的具有专门用途的设备,它提供多项安全功能,将多种安全特性集成在一个硬件设备里,构成一个标准的统一管理平台。这和单纯的在防火墙中整合其他安全功能不同,因为UTM 更看中的是“对设备和对威胁的管理”。实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。
UTM 设备提供综合的功能和安全的性能,降低了复杂度, 也降低了成本, 适合企业、服务提供商和中小办公用户的网络环境。UTM 设备能为用户定制安全策略,提供灵活性。用户既可以使用UTM 的全部功能,也可酌情使用最需要的某一特定功能。UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分。
UTM要成为新的市场热点离不开两方面原因,一是越来越多的中小企业出于成本与性价比的要求,对整合式安全产品的需求越来越大;二是硬件技术与安全软件的发展逐渐满足这类产品的集成化要求。UTM产品目前最典型的是“集成化安全网关”或者叫做“一体化安全网关”,它最核心的功能是防火墙,同时集成IDS 、VPN 、防病毒、防垃圾邮件等功能。
UTM 产品尚处于发展阶段。相信随着企业应用的增加,UTM 产品会有良好的发展前途。另外一类是网络安全管理产品,涵盖网络安全产品管理、补丁管理、客户端安全管理、非法外联管理等,发展势头不错,将逐渐成为安全解决方案的核心。
