UTM是统一威胁管理(UnifiedThreatManagement)的缩写,最早由FortiNet公司提出。
后由著名的市场研究机构IDC首度为统一威胁管理提出明确定义,具体定义如下:UTM安全设备是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,但它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。
技术之路不平坦
UTM设备虽然集成包括防火墙、VPN、IDS/IPS、内容过滤等多种技术于一体,但由于目前的UTM厂家没有能力掌握全部技术,往往在一种核心 技术的基础上加入其他技术,从而衍生出来UTM。因此就出现了UTM产品以什么为核心的纷争。目前来看,UTM设备主要有三种出身:一种是从防火墙技术衍 生出来的,一种是从防病毒技术衍生出来的,还有一种是从入侵检测/保护技术衍生出来的。
从发展方向看,未来将不存在防火墙、防病毒、入侵检测技术等谁为核心的问题,因为UTM设备中各种技术的“深度融合”才是大势所趋。从技术角度来 说,实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供2-7层的安全防护,采用高性能硬件技术和深度融合的技术平台,才能达 到UTM的部分目标。
UTM要求高性能的硬件技术,UTM产品相对于防火墙来讲,不仅仅是功能增加了很多,检测的层次也从防火墙的网络层上升到了应用层,这对于硬件资源 的占用是成百倍甚至上千倍的。由此导致的结果就是,UTM产品虽然功能很多,但在多种功能同时运行时,性能会大打折扣甚至无法运行。X86架构不能够满足 UTM的高要求,NP和ASIC加速技术是目前更好的选择。因此采用更优秀的硬件平台提高性能,是UTM产品的必然趋势。
深度融合的技术平台是UTM的性能保证,UTM产品包括防火墙、网关防病毒、IDS/IPS、VPN、内容过滤等功能模块,各种功能模块对数据的处 理各有其处理方式及资源占用。如果基于某个功能模块发展起来的UTM产品,没有充分考虑到技术的深度融合,只是一味地将很多功能“简单叠加”到一起,其结 果将直接影响UTM系统效率,造成整体性能下降,甚至整个设备的不可用。UTM产品需要在统一平台基础上,深度融合各种技术,以达到产品技术组合的最优 化。
冷静对待UTM市场
虽然UTM市场喧嚣火热,但据IDC最新发布的报告显示,大家寄予厚望的“统一威胁管理”UTM市场,并没有像预期那样快速成长。
性能是最受客户关心和最被业界质疑的因素。因为硬件平台及软件系统方面的问题,目前的UTM产品在多种功能同时运行时,性能会大打折扣。作为集成网 关,这将直接影响到用户的业务应用。有些UTM厂家建议,在使用初期,先打开最需要的某一功能模块,再根据变化的使用要求,逐步打开其他功能模块。但这种 变通的方法恰恰与UTM多功能特性相违背,根本之道还在于采用更优秀的硬件平台以提升整体性能。
对于安全设备来说,稳定性是尤其重要的。UTM软件系统的复杂性带来了稳定性的损失和Bug的增加。尤其是当某项功能出现问题时,极有可能导致整个设备的不可用。这不仅需要在硬件平台上下功夫,还要考虑到技术的深度融合,提高软件系统的稳定性,减少当机率、重启率。
目前UTM产品多多少少还存在“单边产品”现象,所谓单边产品就是其中某一项功能强,而其他功能相对较弱。这是由UTM厂家技术背景决定的。用户在 选择产品时,要注意了解UTM产品每个功能的技术实现程度,不要简单地以功能多少评判UTM产品优劣。例如一些UTM厂家总会拿产品中装有IPS模块来说 明自己系统的完善,实际上主流IPS厂商在IPS技术方面都有较强的实力和长期的技术积淀,这是UTM厂家做不到的,孰优孰劣只要进行产品测试就可见分 晓。
除了设备采购价格之外,客户仍需关注UTM各功能模块的服务费用。不必说UTM厂家自己提供的防火墙等产品升级服务,单说第三方厂商的软件升级如病毒库、URL库、攻击规则库等每年都需要一笔不少的费用。因此用户考虑UTM的价格时,一定要全面分析。
目前国际、国内都没有统一的标准对UTM设备的功能、性能等指标做统一的规定,加之各家实现方法不同、包含功能也不尽相同,对UTM产品的评测对比 产生很大的影响。在国内,很多项目投标时,UTM设备的标书还是按照防火墙类别制定的。所以UTM规范性还需进一步统一和加强,以推动UTM市场的进一步 发展。
总之,UTM作为安全产品的集大成者,由于在性能、稳定性、功能、价格以及标准等方面还存在很多问题,要成为IT安全市场的中间力量还有很多难关需要突破。