【IT168专稿】早在2004年9月,IDC提出UTM概念,把防火墙、ANTI-virus、IDS单一安全产品划在一起,提出“统一威胁管理”的概念,通俗理解,就是多功能化产品融合在单一硬件平台。
在随后的市场上,IDS逐步演化为IPS/IDP,而增加UTM的单一安全产品也随用户需求增加了很多。试想,如果能有一台拥有防火墙、病毒防护、VPN、IDP、甚至DDOS、QOS等功能的设备,就可以解决用户技术层面的网络安全问题,当然是非常值得期待。
作为多功能集成的UTM产品,从产生之始,就从概念上和当前单一的安全产品在功能方面有重叠,到底它们之间会存在什么关系?
UTM能替换防火墙、IDP/IPS、Anti-Virus等单一设备吗?
首先看看市场上的大部分UTM产品,实际上,当前在市场上的大多产品只是将防火墙、病毒防护、VPN、IDP等产品的诸多功能裁减大半以后,再进行集成,这类产品,更适合网络环境相对简单,信息化程度和安全等级要求较低的的中小型企业。如图(一)
图(一)
我们在看UTM和单一产品的一些简单比较(见下列表):
UTM | FW | IPS/IDS | Anti-virus | VPN(SSL VPN和IPSEC VPN) | Anti-Spam |
OSI 7层,要求对3~7层同时协调无缝保护安全。 多种功能模块同时启用 | 多为3~4 | 4~7层,针对数据报文、7层协议解码。如果使用单包检测,性能好,但误报率高,如果全连结,准确率高,性能较差规则库一般在2000种以上。 | 7层。协议还原,把应用协议类还原等,性能要求极高,内置。 病毒库一般标称至少在20万种。 | SSL VPN:7层 IPSEC VPN:3层 | 7层 |
X86(主流) ASIC(成本高) | X86 FPGA ASIC NP (全系列产品) | X86 FPGA ASIC NP (全系列产品) | X86 ASIC (全系列产品) | X86 (全系列产品) | X86 (全系列产品) |
就目前的硬件架构、软件的条件下,UTM必须解决性能和检测之间的平衡问题,特别是日益增加的应用层安全问题越来越突出,由于单一的安全设备在网络层次上关注的侧重点不同,防火墙、VPN、路由器等多关注于网络的通断、控制等,而IDS、IDP/IPS等关注的是网络上层的内容,它们要求避免的是误阻断、误报和漏报,这些单一的产品在各自所关注的领域上都需要巨大的开销,才能满足安全防护的需求。
而当前大部分主流UTM产品,大多都是基于X86架构,也只是诸多单一产品的功能裁剪的集合,在UTM必须从功能、性能和成本上取舍时,从这点而言,UTM产品无法真正完全替代单一的安全产品,而且不仅仅是防火墙。
仅从市场细分来看,单一的安全产品将在中高端用户依旧占据很大的份额。UTM产品也许会逐步替代低端单一的安全产品。
