UTM(United Threat Management)意为统一威胁管理,是在2004年9月由美国著名IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为 统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。
由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。
从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、 综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整 体认识和深刻理解。UTM就成为近年来颇受安全业界关注的一个热门话题。
认识UTM采用的主流技术
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:
1、完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2、ASIC 加速技术
ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安 全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器 和网络系统要实现内容处理往往在性能上达不到要求。
3、定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4、紧密型模式识别语言
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。
5、动态威胁管理检测技术
动态威胁防御系统(Dynamic Threat Prevention System, 简称DTPS)是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起,将其中的攻击信息 相互关联和共享,以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异常检测引擎检查, 提高整个系统的检测精确度。
UTM技术优点
1、整合所带来的成本降低
将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中 小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这 使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
2、降低信息安全工作强度
由于UTM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署过程中可以大大降低强度。另 外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,UTM安全设 备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。
3、降低技术复杂度
由于UTM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用 户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
UTM技术缺点
4、存在网关防御的弊端
网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。
5、存在过度集成带来的风险
将所有功能集成在UTM设备当中使得抗风险能力有所降低。一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
6、性能和稳定性需要进一步加强
尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。
UTM技术的应用
UTM基础应用是UTM设备必须要有一个整合功能的基础平台,目前在技术上,主要分为两大分支:一类是以高性能防火墙为基础的UTM设备,这是目前多数 UTM厂家的做法。对这种设备来说,一般都集成了全功能的防火墙,并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示,这种设备主要是为 了取代防火墙。另一类是以高端IPS为基础,不断演化出UTM设备。这种做法比较新,包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到 IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高,但是带来的好处也是显而易见,由于IPS的优势,可以对日益增多的系统渗透 与复合攻击进行阻断与控制。
对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙,对于有 意延伸到高端应用的UTM显然不合适。另外,这类产品的吞吐量与误报率也不能忽视,毕竟这将对用户的网络运行带来影响。 总之,无论采用哪种方式,UTM在一定时期内,都会重点强调某一方面的功能强大,而这也正是UTM的“特色”,不管是防火墙,还是IPS,甚至是防病毒, 附加的功能都是一个强有力的补充。
我们对于UTM功能特点、自身限制、部署方式等的综合分析,可以发现UTM的主要采购者应当就是中小企业。部分大型企业和机构,也可能采购一部分,前提是 这些UTM可以和其他网关设备系统工作和管理。而且,因为传统防火墙的检测能力不足、IDS的应用复杂度,使得UTM成为中小企业的不二选择,UTM很可 能成为中小企业安全市场上非常主流的安全产品。
随着基于ASIC芯片加速平台应用能力的增强,不只缺乏安全技术人员、资金有限的一些中小企业用户可以通过UTM一揽子设备解决所有的安全问题,大型企业 甚至服务提供商也开始部署UTM设备,教育、金融和电信等行业需求明确。大型企业和行业应用是UTM市场潜力巨大的一大领域,在目前UTM技术应用中,金 融和电信占整个市场份额的40~50%,烟草、石油及石化等行业市场开发潜力不可低估。UTM产品包括几大块:防火墙、IPS及内容过滤等,不同类型的企 业或行业可以灵活购买一个或几个部分,灵活应用。
目前,已经在国内推出UTM产品的厂商有近10家,其中有国内厂商,也有国外厂商;有传统安全厂商,也有网络产品厂商。在国外厂商中,最早推出UTM设备 的是Fortinet、SonicWall、WatchGuard等公司;国内推出的UTM设备的厂商有深信服、联想网御、华为3Com,另外,启明星辰 推出的天清汉马防火墙虽然被称为安全网关,但因为集成了防火墙、VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等功能,也应该属于 UTM的范畴。
UTM发展趋势
总体来看,UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构 上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上 提供了组合多种安全功能的可能,用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个 平台上增加或调整安全功能,并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进,除了引发出的新市场需求之 外,UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。
目前市场上出现的各种UTM产品和UTM解决方案更多的是在已有产品或已有解决方案的基础上进行整合和 创新而成,统一威胁管理真正的威力尚没有被完全发挥出来。以UTM安全设备为例,很多厂商的产品仍旧是以防火墙系统为核心,并且在引导用户认知的过程中也 体现出方式。这一方面是因为用户对防火墙产品的认同度较高,另一方面也体现了厂商在技术实现方面的一些脉络。按照目前的发展态势估计,UTM产品很可能代 替目前传统的一些信息安全产品,成为信息安全市场上新的主流。根据IDC的数据,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平 均接近百分之八十的年成长率,并于2008年成长成为一个容量达到20亿美元的市场分额。