一.UTM的源起和概述
随着网络的日益发展和应用软件的变化,"复杂性"已经成为企业IT管理部门工作的代名词。越来越快的传输速度,越来越多的通信协议和越来越多的网络用户已经使得他们管理的网络变得日益错综复杂。繁多的应用软件的更新带来了多种多形态的网络攻击和垃圾流量。因此,企业的IT管理者不得不面对日益增长的网络威胁。而这些网络攻击的方式已经从传统的简单网络层数据攻击升级到多层次的复合型攻击。这使得IT管理者不得付出更多的维护成本来管理自己的网络,极大增加了安全维护成本。
这些日益增强的混合型攻击集成了网络层和内容层数据的威胁,以当前基本都会嵌入部分黑客程序和木马。入侵用户后,迅速在内部网络行成DOS/DDOS攻击流的蠕虫病毒最为显著,它们借助邮件,网页及数据共享等途径可以快速传播,而这些攻击方式,给企业的网络运营造成严重的影响。
为了有效地防御目前的混合型威胁,企业需要求助于新型的安全设备。这些安全设备能够通过简单的配置和管理,以较底的维护成本为用户提供一个高级别保护的"安全岛"。在安全市场上最新出现了一类产品,我们称之为统一威胁管理(UTM)设备。这类产品集成了多种安全技术于一身,包括防火墙,虚拟专用网(VPN),入侵检测和防御(IDP),网关防病毒等威胁管理安全设备,无需任何用户软件安装,及大提高企业的安全和管理能力。威胁管理安全设备也可能还包括其它特性譬如安全管理,策略管理,服务质量(QoS),负载均衡,高可用性(HA),和带宽管理等。但是这些特性通常都是为主要的安全功能服务的。
二.UTM的技术特点和优势
UTM统一威胁管理设备可以很好地防御目前流行的混合型数据攻击的威胁,目前来看, 复合型攻击方式的出现使得Antivirus 和IDS/IDP 的防御分割点逐渐消失,任何单一的检测方式都无法完善地解决目前所面临的威胁。
UTM技术可以进行改良的信息包检查,识别应用层信息,命令入侵检测和阻断,蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息传输,BT多线程动态应用下载,Skype等新型软件的应用,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时,设备可以支持动态的行为特征库更新,更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑,否则,难以适应当前的网络性能要求。
UTM产品的应用优势:
降低安全管理复杂度
集成的维护平台
单一服务体系结构
集中的安全日志管理
组合式的安全保护
应用的灵活性
良好的可扩展性
进一步降低成本
UTM设备可以减少与安全功能相关的采集,安装,管理支出,确保企业网络的连续性,和可用性,为目前流行的安全威胁提供有效的防御。
三.用户的使用现状
针对UTM的技术特点和优势,可以看出,中小型企业,多分支机构企业 以及安全运营商将是UTM产品的率先使用者。
UTM产品在2003年全球只有7个厂商,而这一数量在2004年扩大了2倍。大部分知名的安全厂商都陆续推出了自己的UTM产品线。2003年这一市场超过了1亿美元,从2002年到2003年的增长率超过了160%。而在欧洲的UTM市场,2004年前两个季度的增长就超过了35%。对于企业用户来说,UTM设备无疑是很好的选择,在安全防御效果和安全维护成本上都会给企业节省大量的资本。
四.UTM发展趋势
网络安全的威胁的发展经历了从物理攻击,协议攻击,数据包攻击到文件型攻击的转变,单一的网络检测技术越来越显示出其薄弱的一面。威胁的多样化发展淡化了防御技术的分类界限。新型的UTM产品将会以网络行为威胁为防御基础,病毒,蠕虫,黑客攻击,木马的威胁分类逐渐消失,行为特征分析会成为安全防御的基础。而相应的安全内容级管理会成为越来越重要的部分。2003年全球威胁管理市场总销量达到了15。8亿美元。IDC预测这个市场将以年均16。8%的速度增长,到2008年时达到34。5亿美元。而这其中UTM将会逐渐成为市场的主流。