1 统一威胁管理(UTM)定义
IDC对统一威胁管理(UTM)安全设备的定义的是: 由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。
2 UTM采用的技术
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:
1.完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2.ASIC 加速技术
ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。
3.定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4.紧密型模式识别语言 (CPRL)
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。
3 UTM代表潮流
UTM设备开始形成具有竞争力的安全市场。
2003年,市场上还只有7家厂商在销售UTM产品。而到了2004年底,UTM厂商的数量增长到了至少16家。这些厂商包括知名的网络安全产品厂商、防病毒市场的前导者及一些欧洲和亚洲的小型设备厂商。UTM市场上获得成功的关键是提供更高的性能和更强的功能,使之成为与众不同的产品。在UTM 市场,Fortinet公司利用自主产权的ASIC芯片技术,推出了FortiGate UTM系列,大幅度提升开启防病毒功能下的安全性能,实现6种重要的UTM特性, 包括防病毒、VPN、防火墙、IDP、内容过滤、反垃圾邮件如图所示。
UTM市场在短期内将会有大幅度的增长。展望未来5年, UTM预计会成为安全市场的领导者。UTM市场份额预期在几年后超过防火墙/VPN的市场份额。分析其原因有以下几方面:
● UTM设备将防病毒和入侵检测功能融合于防火墙之中, 成为防御混合型攻击的利剑。混合型的攻击可能攻破单点型的安全方案,但却很可能在统一安全方案面前败下阵来。
● UTM设备提供综合的功能和安全的性能,降低了复杂度, 也降低了成本, 适合企业、服务提供商和中小办公用户的网络环境。
● UTM设备能为用户定制安全策略,提供灵活性。用户既可以使用UTM的全部功能,也可酌情使用最需要的某一特定功能。
● UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。
● 随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分,可扩展性好, 蕴藏的增长潜力可观。