UTM 全解析

network

UTM 全解析


什么是UTM
UTM（United Threat Management）意为统一威胁管理，是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。从这个定义上来看，IDC既提出了UTM产品的具体形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴；而从后半部分来看，UTM的概念还体现出在信息产业经过多年发展之后，对安全体系的整体认识和深刻理解。
为什么需要UTM
随着时间的演进，信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面，从前的安全威胁和恶意行为与现今都不可同日而语。仅仅在几年之前，我们还可以如数家珍的讲述各种流行的安全漏洞和攻击手段，而现在这已经相当困难。现在每天都有数百种新病毒被释放到互联网上，而各种主流软件平台的安全漏洞更是数以千计。我们遇到的麻烦更多的表现为通过系统漏洞自动化攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等等。这些攻击手段在互联网上肆意泛滥，没有保护的计算机设备面临的安全困境远超从前。安全厂商在疲于奔命的升级产品的检测数据库，系统厂商在疲于奔命的修补产品漏洞，而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒，防火墙只能对非法访问通信进行过滤，而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中，安全问题的炸弹随时都有爆炸的可能用户必须针对每种安全威胁部署相应的防御手段，这样使信息安全工作的复杂度和风险性都难以下降。而且，一个类型全面的防御体系也已经无法保证能够使用户免受安全困扰，每种产品各司其职的方式已经无法应对当前更加智能的攻击手段。我们面对的很多恶意软件能够自动判断防御设施的状态，在一个通路受阻之后会自动的尝试绕过该道防御从其它位置突破，并逐个的对系统漏洞进行尝试。一个防御组件成功屏蔽了恶意行为之后，攻击程序在调整自身的行为之后，已经发现该攻击活动的组件无法通知其它类型的防御组件，使得该攻击仍有可能突破防御体系。防御更具智能化的攻击行为，需要安全产品也具有更高的智能，从更多的渠道获取信息并更好的使用这些信息，以更好的协同能力面对日益复杂的攻击方法。这就是为什么整合式安全设备日益受到用户的欢迎，也是为什么有大量行业人士认为UTM类型的产品将成为信息安全新的主流。
UTM的技术架构
UTM的架构中包含了很多具有创新价值的技术内容，IDC将Fortinet公司的产品视为UTM的典型代表，我们就结合Fortinet公司采用的一些技术来分析一下UTM产品相比传统安全产品到底有哪些不同。
完全性内容保护（Complete Content Protection）简称CPP，对OSI模型中描述的所有层次的内容进行处理。这种内容处理方法比目前主流的状态检测技术以及深度包检测技术更加先进，目前使用该技术的产品已经可以在千兆网络环境中对数据负载进行全面的检测。这意味着应用了完全性内容保护的安全设备不但可以识别预先定义的各种非法连接和非法行为，而且可以识别各种组合式的攻击行为以及相当隐秘的欺骗行为。
ASIC是被广泛应用于性能敏感平台的一种处理器技术，在UTM安全产品中ASIC的应用是足够处理效能的关键。由于应用了完全性内容保护，需要处理的内容量相比于传统的安全设备大大增加，而且这些内容需要被防病毒、防火墙等多种引擎所处理，UTM产品具有非常高的性能要求。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内，才能够提供足够的处理能力使UTM设备正常运作。Fortinet不但成功的在自己的产品内应用了ASIC这一具有高度尖端性的芯片技术，而且还进行了很多开创性的工作，推出了FortiASIC技术，令老牌的ASIC厂商也不得不刮目相看。
除了硬件方面有独特的设计之外，UTM产品在软件平台上也专门针对安全功能进行了定制。专用的操作系统软件提供了精简而高效的底层支持，可以最大限度的发挥硬件平台的能力。UTM产品的操作系统及周边软件模块可以对目标数据进行智能化的管理，并具有专门的实时性设计，提供实时内容重组和分析能力，可以有效地发挥防病毒、防火墙、VPN等子系统功能。
紧凑型模式识别语言（Compact Pattern Recognition Language）简称CPRL，是为了快速执行完全内容检测而设计的。这种语言可以在同样的软硬件平台下提供高得多的执行效能，并且可以使防病毒、防火墙、入侵检测等多种安全功能的安全威胁辨识工作获得更好的协同能力。另外，这种实现方式还有利于集成更先进的启发式算法以应对未知的安全威胁。
动态威胁防护系统（Dynamic Threat Prevention System），是在传统的模式检测技术上结合了未知威胁处理的防御体系。动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间共享使用，以达到检测准确率和有效性的提升。这种技术是业界领先的一种处理技术，也是对传统安全威胁检测技术的一种颠覆。
UTM的优点
整合所带来的成本降低
将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低，这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
降低信息安全工作强度
由于UTM安全产品可以一次性的获得以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以无论在部署过程中可以大大降低强度。另外，UTM安全产品的各个功能模块遵循同样的管理接口，并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。同等安全需求条件下，UTM安全设备的数量要低于传统安全设备，无论是厂商还是网络管理员都可以减少服务和维护工作量。
降低技术复杂度
由于UTM安全设备中装入了很多的功能模块，所以为提高易用性进行了很多考虑。另外，这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说，使用UTM产品可以提高这些组织应用信息安全设施的质量。
UTM的缺点
网关防御的弊端
网关防御在防范外部威胁的时候非常有效，但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部，所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。
过度集成带来的风险
将所有功能集成在UTM设备当中使得抗风险能力有所降低。一旦该UTM设备出现问题，将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
性能和稳定性
尽管使用了很多专门的软硬件技术用于提供足够的性能，但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。
UTM发展趋势
总体来看，UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供了组合多种安全功能的可能，用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能，并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进，除了引发出的新市场需求之外，UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。按照目前的发展态势估计，UTM产品很可能代替目前传统的一些信息安全产品，成为信息安全市场上新的主流。根据IDC的数据，UTM产品市场在近几年会维持高速的增长态势，在2008年之前将维持平均接近百分之八十的年成长率，并于2008年成长成为一个容量达到20亿美元的市场细分。