本文是一个筐架方法论BaCaMeth应用实例,应用的筐架是"nW1H筐"。其实这套筐是非常常用,也是非常能够被听众理解和接受的一套筐。这套筐带有比较强的西方味道。
nW1H筐就是将分析对象从What,Why,Who,Whom,Whose,Where,When,While,Which,以及How等几个方面进行分析。有的时候,可以将不同的WH做出一些类比和延伸,以适应分析对象的一些特征。所有的方面都用nW1H来套用,有些问题会稍微牵强点,但是这套筐毕竟可以让我们很好地打开话题。
---------------------------------------------------------
What 关于名字:(What's it name?)
现在有三种英文名字和UTM有关。
- United Threat Management (Google搜索出288项)
- Universal Threat Management (Google搜索出679项)
- Unified Threat Management (Google搜索出62400项)
从英文本义,以及UTM现在所指的技术和产品来看,第三个英文其实最恰当。中文应当翻译成“一体化威胁管理”。
What 关于主要功能:(What are its major functions?)
目前对于UTM比较常见的说法是:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
可以看出,大家所说的这个UTM其实是一个硬件设备。所以国际上有Unified Threat Appliance的说法。而且UTM是一个比防火墙功能更加丰富的网关设备,一些QoS/LB/HA等要求都是网关的附带要求。
Why 市场为什么需要:(Why we need it?)
**从其他设备的不足来谈
当前的防火墙不能满足更加复杂要求的检测能力,比如对于病毒的检测、对于攻击的检测等当前的IDS单独设备,不能完成实施阻断,而客户希望不要仅仅报警还要帮助自动解决问题如果用户购买众多的安全网关,比如防病毒网关、垃圾邮件网关、防拒绝服务攻击网关、内容过滤网关等等,再加上路由器和防火墙这样的网关,就太复杂了。希望有集成在一起的多功能网关。
**UTM能够带来的价值
降低了安装和维护的复杂度:这些设备通常都是即插即用的黑盒子,相关的安装、维护工作量会减少。如果出现问题,可以直接通过设备替换来解决问题。
能够实现“无干预”运行:由于设备在运行中,主要是自动实现阻断、过滤等动作,一般不需要人工干预,不用像面对IDS/审计系统等那样需要人工的分析决策。但是我们要注意UTM的局限性,它达不到IDS和审计系统那样的深度检测和分析。
What 什么不行(What's the limitation?)
在网关的位置,UTM面临一个性能和检测能力的平衡问题——“是加强其检测能力还是保证其传输性能?”
传统防火墙的性能已经非常高了,基本上可以做到线速传输;而旁路式的IDS和审计系统,由于没有传输性能的压力,可以对于数据进行非常深度和广度的检测和分析;而UTM作为一个希望提供多样化检测能力的网关设备,必须在性能和检测能力上寻求平衡,在高带宽环境下两方面都达到很高水平是不可能。这也是我以前撰文阐明三者之间无法完全互相替代的原因。
由于UTM自身的检测是多方面的检测,而且这些检测结果还要用于阻断/通行的判断。这样的复杂状态,进行HA的转换会有一定的难度。因此,目前UTM设备的HA能力普遍要弱于防火墙和路由器。
Where 部署在什么地方(Where is it deployed?)
由于UTM的功能特点和自身限制条件,UTM不适合作为高带宽高性能要求的网关,也不适合作为深度检测数据源存在。那么UTM应当部署在带宽不大,流量不大,对于高可用性的要求一般,但是对于综合安全防护要求高,不希望过多人工维护和干预的网关位置。
那么UTM的这个位置就应当是中小企业的大部分网关位置,或者大型企业和机构的低端接入网关位置。
Who 谁会采购(Who should buy them?)
鉴于上面对于UTM功能特点、自身限制、部署方式等的综合分析,可以发现UTM的主要采购者应当就是中小企业。部分大型企业和机构,也可能采购一部分,前提是这些UTM可以和其他网关设备系统工作和管理。
而且,因为传统防火墙的检测能力不足、IDS的应用复杂度,使得UTM成为中小企业的不二选择,UTM很可能成为中小企业安全市场上非常主流的安全产品。
Whose 谁在力推(Whose UTMs are in the market?)
UTM类型产品的前身应当是防病毒网关和IPS。
在就是年代末,趋势科技率先开发出防病毒网关产品之后,网关防病毒渐渐成为防病毒的关键一环,而一个网关增加一定的防火墙功能应当是顺理成章的。
一些防火墙厂商垂涎IDS的市场空间,推出了IPS/IDP类的产品,NetScreen推出的IDP就是代表。在防火墙厂商的威胁下,IDS厂商自然奋起迎战,之后ISS等为代表的厂商也推出像preventia类似的网关安全产品。并且发现,IDS厂商在这个市场结构调整的过程中并没有太大的损失,而是自己进入防火墙领域的较好机会。因为UTM的部署位置决定了其要替代的是防护墙的部署。
再有就是一些新进的安全厂商,直接就杀进UTM这个领域,希望通过专业化和差异化实现快速增长,比如Fortinet就是一个比较成功的例子。
当然,也有一些厂商在举着这面诱人的大旗,利用吸引人的“一体化能力”,不让客户充分认识UTM自身的限制条件,而从中混水摸鱼的。这些厂商是用户必须特别小心的。其实多问一些为什么,就可以识破这种“功能较多的技术神话”。
When 现在采购是否合适(When should I buy it?)
其实这是一个永久的问题。肯定要结合自身情况,和当时技术的具体情况来决定。
买你最合适的,所以不买概念最好最新的,不买最贵的,而买你最合适的。不要相信以后怎么样,就看它现在的能力,是否能够满足你1-2年的需要就可以。2年以后还不知道会怎么样呢。
Which 怎么选择(Which one is suitable for me?)
**看看是否具有UTM的关键技术
- 网络全协议层防御
- 有高检测技术来降低误报
- 有高可靠、高性能的硬件平台支撑
- 一体化的统一管理
**性能是否能够满足
目前还不要相信千兆的UTM能够应付高压力的应用环境。
对于百兆环境和压力不高的千兆环境,可以进行测试,以测试结果为依据。
**众多的安全能力是否合身
防火墙、VPN、IDS/IPS、防病毒、防垃圾邮件、防拒绝服务攻击、内容过滤等等功能,都可能被集成在UTM中,合时地选择你真正需要和比较成熟的功能。目前,应当优先考虑防火墙、防病毒的功能集成。