現(xiàn)在有三種英文名字和UTM有關�。
- United Threat Management (Google搜索出288項)
- Universal Threat Management (Google搜索出679項)
- Unified Threat Management (Google搜索出62400項)
從英文本義��,以及UTM現(xiàn)在所指的技術(shù)和產(chǎn)品來看����,第三個英文其實最恰當�。中文應當翻譯成“一體化威脅管理”。
What 關于主要功能:(What are its major functions?)
目 前對于UTM比較常見的說法是:由硬件���、軟件和網(wǎng)絡技術(shù)組成的具有專門用途的設備����,它主要提供一項或多項安全功能���。它將多種安全特性集成于一個硬設備里, 構(gòu)成一個標準的統(tǒng)一管理平臺�。UTM設備應該具備的基本功能包括網(wǎng)絡防火墻����、網(wǎng)絡入侵檢測/防御和網(wǎng)關防病毒功能�。這幾項功能并不一定要同時都得到使用����, 不過它們應該是UTM設備自身固有的功能。UTM安全設備也可能包括其它特性����,例如安全管理����、日志、策略管理��、服務質(zhì)量(QoS)����、負載均衡、高可用性 (HA)和報告帶寬管理等�����。不過���,其它特性通常都是為主要的安全功能服務的�。
可以看出,大家所說的這個UTM其實是一個硬件設備�����。所以國 際上有Unified Threat Appliance的說法��。而且UTM是一個比防火墻功能更加豐富的網(wǎng)關設備���,一些QoS/LB/HA等要求都是網(wǎng)關的附帶要求��。
Why 市場為什么需要:(Why we need it?)
從其他設備的不足來談
當 前的防火墻不能滿足更加復雜要求的檢測能力����,比如對于病毒的檢測���、對于攻擊的檢測等當前的IDS單獨設備�����,不能完成實施阻斷�����,而客戶希望不要僅僅報警還要 幫助自動解決問題如果用戶購買眾多的安全網(wǎng)關��,比如防病毒網(wǎng)關��、垃圾郵件網(wǎng)關�、防拒絕服務攻擊網(wǎng)關、內(nèi)容過濾網(wǎng)關等等��,再加上路由器和防火墻這樣的網(wǎng)關����, 就太復雜了��。希望有集成在一起的多功能網(wǎng)關�����。
UTM能夠帶來的價值
降低了安裝和維護的復雜度:這些設備通常都是即插即用 的黑盒子�����,相關的安裝����、維護工作量會減少。如果出現(xiàn)問題����,可以直接通過設備替換來解決問題��。
能夠?qū)崿F(xiàn)“無干預”運行:由于設備在運行中����,主要是自 動實現(xiàn)阻斷�����、過濾等動作��,一般不需要人工干預��,不用像面對IDS/審計系統(tǒng)等那樣需要人工的分析決策��。但是我們要注意UTM的局限性���,它達不到IDS和審 計系統(tǒng)那樣的深度檢測和分析���。
What 什么不行(What"s the limitation?)
在網(wǎng)關的位置,UTM面 臨一個性能和檢測能力的平衡問題——“是加強其檢測能力還是保證其傳輸性能����?”
傳統(tǒng)防火墻的性能已經(jīng)非常高了�����,基本上可以做到線速傳輸���; 而旁路式的IDS和審計系統(tǒng),由于沒有傳輸性能的壓力����,可以對于數(shù)據(jù)進行非常深度和廣度的檢測和分析;而UTM作為一個希望提供多樣化檢測能力的網(wǎng)關設 備����,必須在性能和檢測能力上尋求平衡��,在高帶寬環(huán)境下兩方面都達到很高水平是不可能����。這也是我以前撰文闡明三者之間無法完全互相替代的原因。
由 于UTM自身的檢測是多方面的檢測����,而且這些檢測結(jié)果還要用于阻斷/通行的判斷。這樣的復雜狀態(tài)�����,進行HA的轉(zhuǎn)換會有一定的難度。因此����,目前UTM設備的 HA能力普遍要弱于防火墻和路由器。
Where 部署在什么地方(Where is it deployed?)
由于UTM的功能 特點和自身限制條件����,UTM不適合作為高帶寬高性能要求的網(wǎng)關,也不適合作為深度檢測數(shù)據(jù)源存在�����。那么UTM應當部署在帶寬不大����,流量不大,對于高可用性 的要求一般����,但是對于綜合安全防護要求高,不希望過多人工維護和干預的網(wǎng)關位置�。
那么UTM的這個位置就應當是中小企業(yè)的大部分網(wǎng)關位 置,或者大型企業(yè)和機構(gòu)的低端接入網(wǎng)關位置。
Who 誰會采購(Who should buy them?)
鑒于上面對于UTM功能特點�����、 自身限制����、部署方式等的綜合分析,可以發(fā)現(xiàn)UTM的主要采購者應當就是中小企業(yè)��。部分大型企業(yè)和機構(gòu)�����,也可能采購一部分��,前提是這些UTM可以和其他網(wǎng)關 設備系統(tǒng)工作和管理�。
而且,因為傳統(tǒng)防火墻的檢測能力不足�����、IDS的應用復雜度���,使得UTM成為中小企業(yè)的不二選擇,UTM很可能成為中小企業(yè)安 全市場上非常主流的安全產(chǎn)品���。
Whose 誰在力推(Whose UTMs are in the market?)
UTM 類型產(chǎn)品的前身應當是防病毒網(wǎng)關和IPS�。
在就是年代末,趨勢科技率先開發(fā)出防病毒網(wǎng)關產(chǎn)品之后����,網(wǎng)關防病毒漸漸成為防病毒的關鍵一環(huán), 而一個網(wǎng)關增加一定的防火墻功能應當是順理成章的����。
一些防火墻廠商垂涎IDS的市場空間,推出了IPS/IDP類的產(chǎn) 品�,NetScreen推出的IDP就是代表。在防火墻廠商的威脅下����,IDS廠商自然奮起迎戰(zhàn),之后ISS等為代表的廠商也推出像preventia類似 的網(wǎng)關安全產(chǎn)品���。并且發(fā)現(xiàn)��,IDS廠商在這個市場結(jié)構(gòu)調(diào)整的過程中并沒有太大的損失��,而是自己進入防火墻領域的絕佳機會��。因為UTM的部署位置決定了其要 替代的是防護墻的部署��。
再有就是一些新進的安全廠商��,直接就殺進UTM這個領域���,希望通過專業(yè)化和差異化實現(xiàn)快速增長���,比如 Fortinet就是一個比較成功的例子。
當然�����,也有一些廠商在舉著這面誘人的大旗��,利用吸引人的“一體化能力”����,不讓客戶充分認識 UTM自身的限制條件,而從中混水摸魚的��。這些廠商是用戶必須特別小心的���。其實多問一些為什么,就可以識破這種“萬能的技術(shù)神話”。
When 現(xiàn)在采購是否合適(When should I buy it?)
其實這是一個永久 的問題����。肯定要結(jié)合自身情況��,和當時技術(shù)的具體情況來決定��。
買你最合適的�,所以不買概念最好最新的,不買最貴的�,而買你最合適的。不要相 信以后怎么樣����,就看它現(xiàn)在的能力,是否能夠滿足你1-2年的需要就可以��。2年以后還不知道會怎么樣呢�。
Which 怎么選擇(Which one is suitable for me?)
看看是否具有UTM的關鍵技術(shù)
- 網(wǎng)絡全協(xié)議層防御
- 有高檢測技術(shù)來降低誤報
- 有高可靠、高性能的硬件平臺支撐
- 一體化的統(tǒng)一管理
性能是否能夠滿足
目前還不要相信千兆的UTM能夠應付高壓力的應用環(huán)境�����。
對于百兆環(huán)境和壓力不高的千兆環(huán)境�,可以 進行測試�,以測試結(jié)果為依據(jù)�����。
眾多的安全能力是否合身
防火墻�、VPN、IDS/IPS����、防病毒、防垃圾郵件�、防拒絕服務 攻擊、內(nèi)容過濾等等功能���,都可能被集成在UTM中�����,合時地選擇你真正需要和比較成熟的功能�����。目前����,應當優(yōu)先考慮防火墻、防病毒的功能集成���。
