IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

统一威胁管理:等待成熟的青苹果(1)

2005年12月26日
/

从面市的第一天起,UTM(统一威胁管理)设备就成了上诱人的苹果,只不过,不管从技术还是从用户的介绍程度来看,这个高高挂在枝头上的苹果,还略带青涩。

UTM的土壤

网络中的黑客,过去曾经是信息领域的精神骑士,然而现在,他们越来越像是一群巫师,在黑暗的角落里调配着各种毒剂,然后顺着网络这个无所不至的管道,传送到世界的每一个角落,其目的也变得越来越赤裸裸:就是窃取“中毒者”的财富。

网络的含金量在不断增加,安全威胁也同时与之剧增,最让用户难以承受的是,不同的攻击手段混合起来,使得防范变得愈加困难,而且在安全管理上的压力,也越来越难以承受,所有这些,恰恰形成了UTM迅速生长的土壤。

在大多数厂商所认可的定义中,UTM 产品被描述成集成多个安全特性为一体的硬件设备,并统一在一个标准的管理平台之下。

为了与其他产品区分开,UTM 必包含网络防火墙、 检测和防御和网关防病毒。以上这些功能并不见得都要被使用,但这些功能必须是 UTM设备所固有的。在 UTM产品中,各个功能部分无法被拆离。

不少人也许会产生这样的疑问:市场上已经有了那么多的安全产品,其中不乏相当优秀者,为什么用户还会愿意接受这种新的尚不成熟的产品?

催生并促进UTM设备飞速发展的要点有两个,其一就是安全环境的日益复杂,这导致了混合式攻击不断增加;其二就是对于安全管理简单性和灵活性的需求越来越强烈。随着像防火墙、防病毒、、入侵检测以及其他功能等安全技术数量的增加,不少人都自然而然地认为有理由将所有这些功能安装在一台设备中,来节省资金和运营费用,当然也希望能借此进一步提高安全性。

实际上,UTM也确实有着传统安全防护设备所不具备的优势。

首先,UTM设备大大降低了构件的复杂性,一体化的设计简化了产品选择、集成和支持服务的工作量。避免了软件安装工作和服务器的增加:安全、产品经销商甚至最终用户通常都能很容易的安装和维护这些设备,而且这一过程还可以远程进行。

其次,UTM设备的维护量通常很小,因为这些设备通常都是即插即用的,只需要很少的安装配置。

再有,大多数UTM设备可以和高端软件解决方案协同工作,这一特性很有吸引力,因为很多硬件设备通常安装在远程地点,企业在那里往往没有专业安全管理人员,UTM设备可以很容易的安装并通过远程遥控来管理它。这种管理方式可以很好的和大型集中式的软件防火墙协同工作。

最后,由于应用的需求,用户通常都倾向于尝试各种操作,而UTM安全设备的“黑盒子”设计限制了用户危险操作的可能,通过更少的操作过程,降低了误操作隐患,从而提高了安全性。

市场催化剂和用户隐忧

UTM从诞生之日起就非常引人注目,当然,它并不是一个凭空而出的全新技术,准确地说,他本身就是一种安全技术的混合体。创造 UTM市场的是一些走在市场前沿的厂商,包括 Fortinet和Servgate,以及一些传统安全市场上的知名厂商,比如Symantec和 NetScreen(已被Juniper收购)。现在,已经有越来越多的厂商加入了 UTM行列,从网络领先厂商Cisco到新兴厂商NetworkD等等。

由于网络安全原有的高端市场面临饱和,而中小型企业网络安全预算难以负荷大规模的安全系统部署,但安全威胁却又是混合、整体的,单独买防火墙、IDS/IPS、VPN、防病毒等等,投资大、网络复杂、维护成本高,而一台UTM设备就能够解决问题,还容易管理。因此,UTM这样价格相对低廉,功能又比较齐全的整合性网络安全产品,成为安全厂商角力的重点,这同时也是中小企业以及大企业分支机构的主要产品需求。

根据IDC最近发布的 2005年6月全球安全设备跟踪季度报告所提供的数据,2005年第一季度, UTM安全设备市场发展迅速,与2004年第一季度相比营收增长超过123%,销售数量增长近190%。IDC 预测UTM 市场在短期内仍将会有大幅度的增长,并以年均16.8%的速度递进,到 2008 年时达到 34.5 亿美元。其中防火墙/VPN部分增长势头将持续到 2006 年,然后开始下降,总的来说,到这个预测期间结束时, UTM将成为市场的主流。

另外需要注意的是 ,IDC 预测市场将以“波浪形”的模式发展,2004~2005 年的增长速度加快,然后到 2006~2007 年将会下降,到 2008 年重新开始上升。这个预测同时考虑了新购买和以往设备更新替代的因素。在厂商发布新型号产品之前,市场将会增长缓慢;而当厂商发布新产品时,市场增长率会提高。IDC 预计今后几年UTM市场将会按照这个模式趋势发展。

在这些乐观的市场分析背后,我们也会看到一些值得担心的问题,例如这些设备可能造成网络中的单故障点,而且其中的单个安全功能也许不是同类功能产品中最好的。

据一次对来自至少拥有1千名雇员企业的653位IT经理的调查发现,尽管厂商为克服这些缺点付出了努力,但最终用户仍持怀疑态度。Forrester Research未发表的研究报告显示,不足五分之一的人偏爱单台多功能安全设备,而大多数人喜欢多台单功能设备。

Forrester分析师Rob Whiteley说:“这并不代表需求的问题,而主要是由于一体化设备还不够成熟。目前出现在市场上的多功能设备,很多都没有处理一体化的足够能力。这种不成熟所带来的故障和宕机,反而会使安全风险比原来更大。”

实际上,已经有用户因为上述原因,放弃了已经购买的一体化安全设备,Summit Information Systems公司网络经理就弃用了一台这样的设备。他说:“有一次我们在同一个平台上运行多个功能,一下就耗完了处理能力,我不得不减少功能来保持性能。”该公司现在使用分离的防火墙、入侵检测和入侵防御平台。“这样做有点麻烦,但是是值得的。”

除了性能上的考虑,还有一部分企业的安全负责人认为,使用多个单独设备在安全上更可取,因为这些系统可以相互加强。比如路由器阻塞了某些端口,防火墙被配置为阻塞同样的端口。这样外部进入公司的数据流至少要经过两种采用不同方式和互补规则的安全系统。虽然两种系统阻塞或开放的是同样的端口,但它们是以不同的方式做这件工作的。

技术的脉络

当然,更多企业还是对于管理众多单独的安全系统倍感头痛,比如企业在同时部署防火墙、防毒、IDS就会发现,三种不同系统的控制接口难以操作,整体控制界面也因此难以掌握,企业往往需要设定三台安全设备上,三套以上不同管理界面的软件,一旦遇到病毒或入侵事件,还要把记录导出来做交叉比对。

很多安全专家也认为,拥有更多的设备,会增加误配置的可能性,很明显,“当使用多台单功能设备时,人类犯错误的概率呈几何级数增加。”

虽然UTM设备在管理上有很强的优势,但另一个矛盾也随之而来,那就是,越来越集成化的产品,也使得单点故障所导致的可用性问题越来越突出,在其他领域,这主要是设备更换的成本问题,但在安全领域却不同,集成化的多功能设备一旦瘫痪,整个网络都将毫无防备地暴露在危险之中,以目前蠕虫病毒、黑客攻击的泛滥猖獗,这样不设防的信息系统可能在几分钟甚至更短的时间内就会遭到毁灭性的破坏。

安全专家建议,企业如果采用UTM设备负责整个网络的安全,最好配置为两个平台以热故障切换模式运行,如果一个平台发生故障,另一平台立即接手承担处理任务。

这样做虽然增加了一些成本,但也带来了另一个好处,那就是更容易的排错:当一台设备出现故障之后,即使是一个非技术人员也可以很容易的用另外一台设备替换它,使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。

从更加细化一些的技术层次来看,UTM结合了很多值得关注的先进技术。首先值得一提的是CCP,即完全性内容保护。

这种技术对OSI七层模型中描述的所有层次的内容进行处理,其有效性将大大超过目前通用的状态检测技术以及深度包检测技术。

为了实现CCP的强大能力,UTM设备通常对处理性能有着更高的要求,否则很容易出现前面提到的,在开启多个防护功能后,性能直线下降的问题。

此外,为了实现先更高的处理效率和更强健的防御性能,UTM在规则算法、模式识别语言等方面也需要一些特别的设计,这些都是对安全厂家研发实力的考验。对此,记者也采访了一些正在相关领域进行研究的安全企业。

共2页: 1 [2] 下一页
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点