UTM(统一威胁管理)技术发展和现状

日期: 2007-12-25 来源:TechTarget中国

  回顾过去的三年,国内信息安全市场的发展有一些明显的轨迹可循。首先是技术创新开始受到市场的热烈回应。另一个趋势是用户的安全需求在从安全产品向整体解决方案转移。整体方案的两个最显著的例子就是倡导服务以及安全产品的整合化。对安全服务重要性的认识代表了用户对安全体系理解能力的提高,而整合式安全产品的大量涌现,代表了安全厂商对用户需要的回应以及对多年来安全领域发展趋势的洞察。因此,UTM(统一威胁管理)呼之欲出。

  UTM拓扑图

  

        UTM将成主流?

  现在,应用安全产品的中小企业用户可谓为数者众。有调查显示,近90%的被调查用户都在使用病毒防御方面的产品。这个数据未必能典型的反映中小企业信息安全产品应用的现状,但是足以反映近年来中小企业安全市场的增长趋势。以上面的数据为例,这并非只是单纯的安全意识提高所带来的结果,安全威胁的变化情况也是重要原因之一。

  防病毒软件的大量部署与计算机病毒的发展不无关系,一台具有安全漏洞的计算机在连入互联网之后十五分钟就可能受到感染。但是,增大安全产品的应用范围并不足以防范所有的安全威胁。随着安全威胁形态的进化,安全产品的形态也必须有相应的发展。虽然目前出现了一些一体化的安全设备,但是在协同性和架构上还远没有达到理想安全体系的要求。

  很多企业在构建网络安全系统时,并没有很好的规划,而是简单地采购了防火墙、防病毒和防入侵等网络安全产品就匆匆上马。这种安全手段被称作安全产品堆叠,堆叠法在当前的威胁面前变得越来越脆弱。堆叠法首先会产生三个直接的弊端:资源浪费,功能重复;管理复杂,难以制定整体安全策略;难以协调,产生兼容性问题。

  除了上述这三点直接弊端外,安全堆叠带来的安全效能低下引发的不为人发觉的威胁才是最大的隐患。所以,搭建网络安全系统绝对不能只是到市场上采购各种安全产品,然后简单地接入到网络中就万事大吉。首先,必须评估企业的整体网络安全需求,然后按需定制安全策略,对安全产品统一部署和管理。

  避免安全堆叠的直接手段就是整合。将各种安全防护设备统一在一个管理平台上,并统一管理和部署,这是对日益增多的网络威胁的一种积极应对。从三个方面评估,整合安全都具有很大优势。首先,在理论层面,它通过对各种安全理论的整合,构建起一个全新的网络安全理念;其次,在方案层面,它要求将尽可能多的安全解决方案整合到一起,构筑智能型的立体防护体系;第三、在技术层面,它通过对诸多安全技术与产品的全面整合,为信息网络提供全面动态的安全防护体系。从三个弊端和三个优势的对比来看,我们有什么理由不选择整合呢?毕竟,网络安全涉及网络系统的多个层次和多个方面,既涉及对外部攻击的有效防范,又包括制定完善的内部安全保障制度;既涉及防病毒攻击,又涵盖实时检测、防黑客攻击等内容。发展整合安全,就是要让单一的网络安全向综合安全转变。整合安全不仅提供对于某种安全隐患的防范能力,而且涵盖了对各种可能造成网络安全问题隐患的整体防范能力,这就是整合安全思想的立体防护优势。

  在未来,我们将看到构架更完整、可定制性更强的安全产品。目前被广泛提及的UTM就体现了这样一种趋势,只是目前的产品还无法完全体现UTM框架的精髓。未来的安全产品除整合更多功能外,各功能模块之间的协同运作能力也将上升到新的高度。

  对于中小企业用户来说,新型的安全产品无论是在功能方面还是在性能方面都将更加细化和灵活。中小企业用户可以购买到最大限度贴近自身需求的产品,从而使资金得到充分利用。而且在适合需要的情况下,用户也可以选择租用安全产品。并且由于标准的兼容,租用的产品也可以和企业已有的产品及将来购买的产品组合使用,发挥完全一体化的效应。

  IDC报告显示,UTM将成为未来的应用趋势。UTM是与企业防火墙、入侵检测和防御以及防病毒结合为一体的设备,将成为未来的应用趋势。IDC同时预测,UTM市场到2008年将占整个信息安全市场的半壁江山,达到57.6%。

  UTM 的一个特点是可以只用到该产品的某一个专门用途,比如用于网关防病毒或是用于内部的入侵检测,也可以全面应用所有功能。当UTM 作为一种单点产品来应用时,企业能获得统一管理的优势,并且也能在不增加新设备的情况下开启自身需要的任何功能。

  UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。

  一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能。

  现在UTM在安全产品市场上一路高歌猛进,其成长速度已经达到了两位数。除了新增的市场份额之外,受到UTM侵蚀的安全产品主要是防火墙设备和实现VPN功能的产品。按照目前的情况来估计,UTM产品的发展在未来的几年中仍会保持较高的增长速度,并有望成为主流的信息安全产品。

  现在,有很多针对中小企业信息安全的探讨,其中一个焦点问题就在于市场上缺乏中小企业情况的安全解决方案。UTM产品在中小企业市场的应用,至少可以在两个方面缓解这一问题。中小企业的资金流比较薄弱,这使得企业在信息安全方面的投入总显得底气不足。

  而整合式的UTM产品相对于单独购置各种功能,可以有效的降低成本投入,这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。

  由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度的降低对安全供应商的技术服务,有利于中小企业用户建立更加合理和真实的解决方案。

  UTM产品应时而出

  目前,市面上大多数第三代状态检测防火墙的产品都集成了VPN功能,然而受到技术及性能的影响,能够集成网关防病毒和IPS功能的厂商却寥寥无几。UTM要做到扫描应用层数据来检测病毒和入侵,无疑对主处理器是一个沉重的负担,因为基于ASIC芯片的硬件防火墙也不可能利用ASIC实现应用层数据的扫描。为了平衡性能与功能的需求,网关防病毒引擎扫描的协议种类非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP这五种协议。而且,它们对同时扫描的文件的数目和大小都依硬件平台的不同而有明显的限制,其主要原因在于它们把待扫描的文件存在从有限的内存空间所分配的缓冲区内,或者缓存在内置的硬盘内。硬件资源是有限的,这样就限制了能够同时下载和扫描的文件数目和大小。

  美国SonicWALL公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲,UTM通常包括防火墙/VPN、网关防病毒和IPS。SonicWALL公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。

  作为安全解决方案,赛门铁克网关安全300系列产品将必要的安全和网络功能结合起来,提供综合性的保护。它整合了六大安全功能:全状态检测防火墙,用来分析信息包及其目的地;入侵检测,提供综合攻击检测;日志及报表;入侵防护,使用户能够封锁被识别的恶意数据包;防病毒策略实施,自动监控并确保由赛门铁克提供防病毒支持的客户可以得到实施更新,保证他们在试图通过网管传送数据时在工作站的主动状态;内容过滤,通过限制访问无用网站来提高生产力并减少带宽浪费;具有硬件辅助加密的IPsec VPN,提供安全的网关—网关、客户端—网关以及无线局域网—网关的通道。

  神州数码发布了“龙脊计划”,它将会以服务为先导,对渠道增值伙伴提供周到的技术支持,从而建立起类似“龙脊”一样环环相扣的安全网络联盟,每个渠道增值伙伴都是这条“脊骨”上的一环,他们的紧密合作可以为用户提供性价比更高、更适宜的解决方案。

  不过,一些网络厂商,像思科、Enterasys 和Juniper,正在把防火墙技术加入路由器,这种技术和产品的结合将对UTM市场形成一定冲击。不过,目前仍不能确定这种结合的最终结果是否能被用户接受。如果用户接受了这类产品并用其替代了独立的安全产品,那么安全厂商将受到很大冲击。如果用户把这类产品和专门的安全产品协同使用,则会给安全厂商提供更广阔的发展空间。不过,从目前来看这些产品很难替代独立的安全解决方案,尤其是UTM 平台。

  随着Cisco 5500系列自适应安全设备的问世,思科公司能够在单一平台上提供基于硬件的集成化多功能安全服务和VPN服务。通过使用Cisco ASA 5500系列设备,用户们可以在部署思科的融合防火墙、IPS入侵防御系统和网络防病毒服务的基础上构建起一套自适应威胁防御系统。

        UTM前世今生

  UTM是统一威胁管理的缩写,这是一种被广泛看好的信息安全解决方案。目前被提及较多的定义是由IDC提出的:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。从概念的定义上,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品性、可用性以及联动能力的精研。

  UTM紧密集成了多种安全功能,能够在网络边缘有效防御攻击,不仅可以保护整个内部网络,还能将安全机制延伸到远程办公机构。通过将病毒过滤、垃圾邮件过滤、网址过滤、防火墙和虚拟专用网等技术整合到一个开放的安全平台,可以全面防御各种已知和未知的攻击。而模块化架构进一步使用户在面对新的威胁时,只需将相应的模块加入到平台内就可以了,这一特点使IT 管理人员可以按需安装各种性能和功能的安全模块,而且当用户需要更高的性能和功能时,不需中断网络服务就可以进行在线升级。

  融合需要一个过程

  对于安全技术融合,简单来讲主要包括两方面内容,即不同安全应用/产品的融合和安全产品与网络设备的融合。不同安全产品融合是近两年部分安全厂商针对用户的不同需求而提出的产品技术,市场竞争也刚刚开始,现在许多安全公司对此虎视眈眈,但是其中技术难度不小。而安全产品与网络设备的融合,国内有企业开始尝试,但毕竟属于起步阶段,实现程度还需期待。

  安全技术的融合,开始主要侧重于入侵检测技术和访问控制的防火墙技术的协同和融合,这在过去的防火墙产品中已经有了部分尝试。但是由于硬件平台和技术上的不完善导致了系统性能下降很快。同样,防火墙和防病毒的融合已经在防毒墙这一产品中得到体现。所以只有将不同安全侧重点的安全技术融合起来,安全产品的性价比才能更高,才能在日益激烈的信息安全市场上有优异的表现。

  而安全技术的融合并不是不同产品的简单堆砌,一个企业网络的信息安全不但依赖单个安全产品自身的性能,也同样依赖于各个安全产品之间的协作。这种相互协作,将不同安全防范领域的安全产品融合成一个无缝的安全体系,从而达到预期的安全设想。

  安全技术的融合通过创新安全理论、整合各种安全解决方案、整合网络安全资源,构建综合的动态网络来最大化安全防护的效果。在理论层面,通过对各种安全理论的整合,构建起一个全新的网络安全理念;在方案层面,整合安全要求将尽可能多的安全解决方案整合到一起,构筑智能型的立体防护体系;在技术层面,整合安全又通过对诸多安全技术与产品的全面整合,为信息网络提供全面动态的安全防护体系。

  传统的安全厂商可以从安全产品的互动再到安全技术的融合,同时把自己融合进网络设备厂商,向安全的新领域业务安全发展,通过组建安全联盟,形成一个大的安全体系,自己成为其中一个基石,从而将安全技术的融合发展到一个更高的程度。

  因此,过多描绘UTM的美好未来有时并不总能产生正面的效果,我们应该恰当的面对UTM的问题。当前无论是从用户对UTM的认知还是厂商推出的UTM产品来看,防火墙仍然是整个架构的核心。而且有一些产品并没有很好的实现UTM架构,这些产品更多的是基于防火墙体系进行其它安全功能的整合。

  我们认为这样的产品虽然也被划归为UTM类设备,但是从严格的意义上说,并不能将其作为完全的UTM产品来认识。广大用户在考察和选用UTM产品的时候,首先应该根据自身的情况清楚的界定对于UTM的要求。

  目前的UTM产品大多是网关型的产品。在面对当今复杂的安全威胁时,网关型的防御虽然有效,但仍无法独立构成完整的安全防御体系。我们期待着有更多的厂商跨越这条界限,更好的发挥UTM作为安全平台的优势,向用户提供更多具有创新性的解决方案。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐