笔者理解UTM定义至少包括如下三个要素:
1.面对的威胁
UTM部署在网络边界的位置,针对2-7层所有种类的威胁。根据威胁破坏产生的后果,网络边界面临的威胁可以分为三类:对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。
①对网络自身与应用系统进行破坏的威胁:此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象,通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,对网络自身的资源进行了占用,导致正常业务无法正常使用。
②利用网络进行非法活动的威胁:此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击,以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马,通过这个工具,不法分子获得用户的个人账户信息,进而获得经济收益;又如垃圾邮件,一些不法分子通过发送宣传法轮功的邮件,毒害人民群众,追逐政治目的。
③网络资源滥用的威胁:此类威胁的特点是正常使用网络业务时,对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为,但大量的P2P下载会对网络资源造成浪费,有可能影响到正常业务的使用;又如,股票软件是正常行为,但上班时间使用,降低了工作效率,对公司或单位构成了间接损失。这些行为都属于网络资源滥用。
当然,由于是以结果进行分类,有些威胁可以同时归属于两类,例如SQL注入,有些注入是为了获取信息,达到政治或经济目的,属于第二类;有些注入后是为了修改网页,达到破坏正常网站访问业务的目的,属于第一类。这并不影响分类覆盖范围的全面性。
2.处理的方式
UTM是对传统防护手段的整合和升华,是建立在原有安全网关设备基础之上的,拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能,这些技术处理方式仍然是UTM的基础,但这些处理方式不再各自为战,需要在统一的安全策略下相互配合,协同工作。
当然,对于众多的功能,有必备功能和增值功能之分。一般而言,防火墙、VPN、入侵防御、防病毒是必备的功能模块,缺少任何一个不能称之为UTM。其余是增值功能,用户可以根据自身需求进行选择。
站在用户角度,面对的是整个网络、所有业务的安全,整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键,各自为战是不能实现整体安全策略的。因此在UTM处理方式中,需要特别考虑策略的协调性、一致性。
3.达成的目标
有了面对的威胁对象和处理方式之后,就要看UTM能达成的目标了,也就是价值。UTM设备保护的是网络,能精确识别所有的威胁,根据相应策略进行控制,或限速、或限流、或阻断,保持网络畅通,业务正常运转是最好的结果,“精确识别和控制”是最为关键的。
同时,UTM整合多种安全能力后,仍然需要保持比较高的性能,因此性能不能有明显下降;安全网关设备的可靠性要求毋庸置疑的;此外,由于设备的功能多,对网管员的要求高,管理方便、配置简单当然也是UTM类设备要达成的目标。
综上,笔者认为,UTM可以定义为:通过安全策略的统一部署,融合多种安全能力,针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。