网络安全 频道

为统一威胁管理(UTM)设备验明正身

在统一威胁管理(UTM)设备绚丽的外表之下,究竟掩藏着怎样的真相?是空穴来风,还是确有其事呢?

  自IDC为统一威胁管理(UTM)设备“验明正身”后,此类产品就被赋予了各种各样的华彩外衣:集防火墙、入侵检测/防御、防病毒等多项功能于一身,全面防御网络2~7层中的各种攻击,抵御各种威胁,俨然一副“一夫当关、万夫莫开”的架势!成本优势、易于管理等也成了其宣传的噱头。

  在如此绚丽的外表之下究竟掩藏着怎样的真相?是空穴来风,还是确有其事呢?

  在UTM逐渐被更多的厂商所追捧,更多用户所接受的今天,我们遍访业内众多具有代表性的厂商和用户,希望能通过他们的观点与见解,帮助您得出一个客观的结论。

  此“U”非彼“U”

  在采访过程中,遇到一个比较有趣的细节问题,北京启明星辰信息技术有限公司首席战略执行官潘柱廷先生建议记者在网上对UTM进行一下高级搜索,因为业内对UTM中“U”字的解释,目前还存在混淆。

  截至记者发稿时,高级搜索(包括以下的完整字句)的结果为,“United Threat Management”(Google搜索出296项)、“Universal Threat Management”(Google搜索出698项)、“Unified Threat Management”(Google搜索出46700项)。

  稍一仔细观察就会发现,上述三个单词会分别出现在同一厂商、不同时期的宣传稿件中。乍一看来,对概念的探究有些咬文嚼字的意思,不过从一个侧面反映出,UTM或许还需要进一步规范与完善。

  潘柱廷认为,“从英文本义以及UTM现在所指的技术和产品来看,第三个英文其实最恰当。中文应当翻译成‘一体化威胁管理’。”

  多种功能未必全用

  2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。

  SonicWALL大中华区销售总经理陆耀光先生介绍说,“目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。”

  潘柱廷补充说:“首先,UTM应该定义为一个比防火墙功能更加丰富的网关设备。同时,上述这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能;其次,UTM安全设备也可能包括其他特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其他特性通常都是为主要的安全功能服务的;另外,需要明确的是,大家所说的UTM其实是一个硬件设备,如此国际上才有‘Unified Threat Appliance’的说法。而且,因为它是一个网关设备,也需要附带QoS/LB/HA等要求。”

  “虽然UTM集成了多种功能,但确实不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品应当分为不同的级别,以加速市场的壮大。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。”飞塔信息科技(北京)有限公司中国区业务总经理刘重华这样认为。从他的分析中,结合美国Fotinet公司是UTM路线执着的推动者(Fotinet最早推出UTM产品到现在一直推崇这一理念而寻求发展),我们不难看出,Fotinet对UTM的理解多了一些面向用户的考虑。

  UTM是如何炼成的?

  前面提到UTM集成了至少六七种功能,而且随着技术的发展,不少厂商还在宣传“根据安全实际应用的发展,在UTM设备中集成了反垃圾邮件、反间谍软件等多项功能”。如此看来,UTM就算“十八般武器”不能样样精通,也称的上是“多项全能”的安全卫士了。那么,这些原本孤军奋战的功能是如何集于一身的呢?

  在采访中,我们了解到不同厂商实现UTM的方法是不太一样的,或许可以称之为“殊途同归”吧!一种功能实现的方法是,基于原有防火墙的架构增加其他各项功能; 另一种功能实现的方法是,基于原有IDS/IPS的架构,增加其他各项功能;而最理想的功能实现的方法是基于统一威胁管理的平台,再在上面根据需要添加各项功能。目前已有不少厂商在朝这个方向努力。

  中小企业的福音

  技术实现的原理多少有些枯燥,在此,我们姑且不论其实现的难易程度,因为有道是“条条大路通罗马”。那么在UTM产品发展壮大的道路上,它首先要抓住的到底是哪些用户呢?

  北京天融信公司副总裁于海波博士的分析颇有些耐人寻味:“我们分析一下UTM的定义,它集成了多项功能,这就意味着,在目前的情况下,UTM的性能与功能之间是一定需要寻求平衡的。而目前技术发展水平,距离同时开启多个功能协同工作的阶段,还有很长一段路要走。尽管这样,UTM还是很有发展前景的。从技术发展来看,在混合攻击肆虐的时代,单一功能的防火墙已不能满足业务的需要。而具备多种安全功能、基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,其优势将得到越来越多的体现。从市场分布来看,国内中小企业市场的需求非常明显:成本低、功能丰富、维护简单、易于管理等,而UTM设备恰好可以满足需求。可以想像,如果把防病毒网关、垃圾邮件网关、防拒绝服务攻击网关、内容过滤网关等,再加上路由器和防火墙这样的设备都提供给中小企业,对它们而言就太复杂了,它们需要的就是一体化的网关设备。”

  走出误区:UTM替代防火墙?

  尽管关于UTM市场定位,各方的观点取得空前的一致,但对于UTM未来的发展,业内还存在一些误导,其中最明显的要算“UTM替代防火墙”这一点了!

  这也难怪,任何一项新事物的出现,总要与原有事物进行比较。好比武侠小说中,初出茅庐的新人最快的成名方法是战胜江湖上的名人,UTM也不例外,不过这次却有些尴尬。

  中联绿盟信息技术(北京)有限公司解决方案中心总监吴云坤认为:“UTM实际上是代替不了防火墙的,或者再准确一点,UTM是替代不了高端防火墙的。这里面有一个根本的问题,UTM试图解决一个性能和检测能力之间的平衡问题。众所周知,防火墙、路由器、交换机、VPN等都属于传输类的设备,它们解决的是网络通断的问题。对于这类设备的一个最高、最核心的要求是联通性和可靠性。因此,防火墙做必要检测的前提是要保证网络是联通的;而IDS设备是旁路的,它追求检测的准确性,避免的是误报和漏报,包括审计也是一样的。在UTM中集成这两项功能,就存在一个天生的矛盾,因为用户需要面临抉择,是保证性能,还是强调检测能力。”

  “有的时候厂商会误导用户,UTM把很多功能都集合在一起,好像‘1+1+1+1+1=5’,其实不一定准确; UTM可能是‘0.3+0.1+0.2+0.15+……’几个因素加在一起有可能大于1,也可能小于1.客户应该很清楚地认识到并不是简单地把几个1加在一起,而是把几个零点几加在一起。从我的认识和了解来说,目前,UTM设备真正能够达到实用的,实际上是在百兆级,它基本上能够满足这种性能的压力。”北京启明星辰信息技术有限公司首席战略执行官潘柱廷的这番论断多多少少也驳斥了“UTM功能较多论”的误区。

  正视尴尬:名不正言不顺

  在业内对UTM的认识存在不同程度误区的同时,自身也面临着些许尴尬!

  吴云坤认为:“目前UTM产品多多少少还存在‘单边产品’现象,所谓单边产品就是其中某一项功能特别强,而其他功能相对较弱。”

  UTM除了面临自身“一条腿”走路的尴尬之外,在“名分”上好像也比较模糊!于海波提及:“在国内,很多项目招标时,UTM设备的标书还是按照防火墙类别制订的。造成这种问题的原因有二,第一、UTM作为安全产品在取得‘上岗证’时,国内并没有相应UTM的产品分类,因此在各项产品认证、许可证上,产品分类一栏赫然还是防火墙;第二、在标书制定时,存在非常大的难度,因为目前国际、国内都没有统一的标准对UTM设备的功能、性能等指标做统一的规定,加之各家实现方法不同、包含功能也不尽相同,其规范性还需进一步的统一和加强。”

  链 接:选购UTM

  说到选购,无外乎知晓自己的需求,选择适合自己的产品,尤其对于中小企业更是这样!面对UTM产品,用户需要从以下几点入手:

  1.产品是否具备UTM的关键技术。包括高可靠、高性能的硬件平台,网络全协议层防御,高检测技术降低误报和漏报。

  2.性能要求是否能够满足企业自身的需求。

  3.选择企业迫切需求的安全功能。其中涉及防火墙、VPN、IDS/IPS、防病毒、防垃圾邮件、防拒绝服务攻击、内容过滤等。专家建议:目前,应当优先考虑防火墙、防病毒的功能集成。

0
相关文章