作为安全技术的集大成者,UTM设备的发展也就是近几年的事情。这把安全的“瑞士军刀”—整合了防火墙、VPN、网关防病毒、入侵检测与阻断、流量分析、内容过滤、3A认证等众多功能。
其实,UTM的出现始于一些中小企业用户缺乏安全技术人员,希望以在网关处的一个硬件设备一揽子解决所有的安全问题。随着技术的进一步发展,除了传统的企业内部部门、网络节点、远程办公处,一些高端UTM设备也逐渐向大型企业的中高端应用进发。
“军刀”的优势
从国内的情况看,UTM设备可以很好地防御目前流行的混合型数据攻击的威胁。复合型攻击方式的出现,在一定程度上迫使企业部署的反病毒产品和IDS/IPS设备的防御分割点逐渐消失,因此任何单一的检测方式都难以完美地解决企业所面临的所有威胁。
相反,UTM技术可以进行改良的信息包检查,识别应用层信息,命令入侵检测和阻断,蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术使得企业的网管人员可以很容易地控制如实时信息传输,BT多线程动态应用下载,以及MSN、Skype等软件的应用,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。
同时,UTM设备可以支持动态的行为特征库更新,更具备7层的数据包检测能力,基本克服了目前市场上深度包检测的技术弱点,特别针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑,否则,难以适应当前的网络性能要求。
记者了解到,目前国内企业通过部署UTM产品,可以极大地降低企业网安全管理的复杂度。同时,凭借UTM集成的维护平台、单一服务体系结构、集中的安全日志管理,基本上整合了全套安全保护机制。
另外,UTM还具有应用层的灵活性以及扩展性,这是有助于降低企业部署成本的。因此UTM设备可以减少与安全功能相关的采集,安装,管理支出,确保企业网络的连续性和可用性,为目前流行的安全威胁提供有效的防御。
基础应用不可忽视
作为安全的多面手,UTM设备必须有一个整合功能的基础平台,目前在技术上,主要分为两大分支。
一类是以高性能防火墙为基础的UTM设备。这是目前多数UTM厂家的做法。对这种设备来说,一般都集成了全功能的防火墙,并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示,这种设备主要是为了取代防火墙。
另一类是以高端IPS为基础,不断演化出UTM设备。这种做法比较新,包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高,但是带来的好处也是显而易见,由于IPS的优势,可以对日益增多的系统渗透与复合攻击进行阻断与控制。
不过要强调的是,对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙,对于有意延伸到高端应用的UTM显然不合适。另外,这类产品的吞吐量与误报率也不能忽视,毕竟这将对用户的网络运行带来影响。
总之,无论采用哪种方式,UTM在一定时期内,都会重点强调某一方面的功能强大,而这也正是UTM的“特色”——不管是防火墙,还是IPS,甚至是防病毒,附加的功能都是一个强有力的补充,是业余选手或半职业选手。但即使这样,对于普通用户也是足够了。
定位在变化
由于UTM安全网关的核心还是功能集成,并没有固定的模式,而是依靠安全的需要来选择。因此,可以预见的是,从2006年开始,在不同的安全需求下会出现不同组合的UTM产品,并且在实际的运用中会不断完善其协同性及联动性。
传统的UTM设备被定位在低端市场,这不仅影响了厂家投入的积极性,而且对于用户的实际应用也是不公平的。随着高端IPS产品大量整合安全功能与服务,预示着UTM设备将会从传统的以防火墙为主导、部分过渡到以IPS为主导,而UTM整体市场的发展,也将会向高端延伸。
另外,国内用户部署UTM设备的目标都是为了减少节省设备和人员成本,同时减少因为攻击而引起的损失,可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击。从这个意义讲,UTM设备是可以有效地保护网络重要资源,同时最大限度地减少因为攻击分析响应和灾后恢复带来的人力成本,从而节省企业的开销。
UTM是一个大概念——既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。因此业内很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念。
毕竟,多合一的安全网关简化了用户的安全设备部署,也方便了用户的安全管理,也是网络安全发展的一个方向,这样的设备集成到哪里或者叫什么名字并不重要,关键是否可以提供足够的安全功能和性能实现。
转载地址:http://www.netsp.com.cn/Article/netsafe/FW/200607/20060720185127.html
