|
UTM是统一威胁管理(Unified Threat Management)的英文缩写,即一体化的安全设备,通常包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能,目前UTM已经成为网络安全产品的一个发展方向。根据IDC的报告,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平均接近80%的年成长率,并将于2008年成长成为一个容量达到20亿美元的细分市场,将占有整个信息安全市场的半壁江山,达到57.6%。
为了让信息安全主管(CSO)更好地理解和选购UTM设备,本期产品主题特组织了一期UTM专题,希望您能擦亮眼睛,选择到自己合意的产品,保护您的网络安全。
从2003年UTM产品推出到现在市场上有30多家主流厂商,UTM的技术已经相当成熟。然而,UTM的发展并不如预期得快,充分应用还需要克服几大障碍。
近日,总部在温州的国内特大型电器生产企业正泰集团部署了一套集防火墙、VPN、网关防病毒、IPS和反间谍软件于一体的SonicWALL的统一威胁设备,以保障驻扎在全球亚、非、拉多个国家和地区的销售网点的24小时运营的产品认购、保存订单、财务等业务的安全运行。不仅可防止来自Internet的网络安全威胁,如病毒、入侵等,还可以扫描VPN隧道的数据,防止病毒、入侵等安全威胁通过VPN隧道在各个分支机构和公司总部的网络上传播。
温州也许是信息化应用比较充分的地区,对UTM的认识也比较充分。这代表了一部分用户的态度。全球最早推出UTM设备的Fortinet公司大中华区技术总监赵彦利认为,UTM之所以能快速为用户接受,主要原因在于几点:首先,当前混合性威胁快速增长,推动了用户对UTM所提供的灵活且高度集成的功能的需求;其次,UTM产品相对于单独购置各种功能,可以有效降低用户的成本投入;同时,UTM的管理比较统一,能够大大降低在技术管理方面的要求,尤其对缺少专业的信息安全人员的中小企业而言,更是如此。当然,像Fortinet这样的信息安全厂商以及后来进入该领域的大量厂商对UTM的大力推进也是促进其发展的主要原因。
但是,相当一部分行业用户的认识则完全不同,计世资讯分析师沈韶恂认为,有三大障碍阻碍着UTM设备的发展,如果解决不好,将对UTM设备的发展产生极大的影响。这三大障碍是:对UTM的不了解、对性能的不放心以及对可靠性的担心。归根结底,是对UTM还持怀疑态度。
认识障碍
“对UTM不信任的主要原因是因为许多用户不了解该产品。”计世资讯分析师沈韶恂说。计世资讯在2006年3月推出的《网络安全研究报告》调查数据显示,尽管目前UTM是安全厂商力推的产品,但用户对这个概念的认知程度仍然很低,有所了解的用户仅占5.9%,而完全不知道的用户则高达72%。
此外,对于这种集成型的安全产品,用户的看法比较分散,其中只有12.2%的用户认为这种产品性价比高,维护简单,正是自己所需要的产品;认为UTM还不成熟,可以用作安全系统的补充设备的用户占到20.1%;而认为集成在一起性能低、效果不好的用户比例也有24.9%。
中国化工建设总公司是应用信息安全设备比较充分的企业,它的企业节点有100多个,应用遍布全球各地,早在2001年就开始部署应用安全设备,包括内容检测产品,对老三样的防火墙、VPN、反病毒技术等,更是很早就开始采用,但是,当记者采访该公司负责信息安全建设的综合部副总经理熊女士时,她甚至不知道什么是UTM。
也有一些用户是知道UTM的,但认为UTM离自己太远,并不是自己企业首选的信息安全设备。中电通信科技有限责任公司信息管理部经理张艳认为,虽然了解UTM设备,但是认为它并不适合自己的企业,因为自己已经部署了防火墙、VPN、IDS、反病毒等多种安全技术,没有必要再投资UTM设备。
一些大型行业用户则认为,UTM是适合中小企业的设备,并不适合在电信、金融等大型行业用户中应用。山西网通企业信息化部经理粱世红认为,UTM只适合那些没有技术实力的中小企业,并不适合大型企业。“UTM就是将防火墙、反病毒、IDS老三样整合进一个单一的设备中,中小企业对信息安全不愿意投资太多的经费,因此,对UTM可能会有需求,但是,像电信这样的大型企业,对信息安全讲究的纵深防御,对资金并不敏感,因此,一般不会考虑UTM。”
这些用户只是记者随意抽查的几个用户的真实心态,与厂商描述的用户对UTM设备的认知大相径庭。
计世资讯的调查也印证了这一观点,沈韶恂认为,UTM一般被认为更加适合应用在中小企业网络安全领域,但通过调查发现,中小企业对UTM的认知程度甚至还要低于整体认知度的平均水平。
原因何在呢?Fortinet公司大中华区技术总监赵彦利认为,这确实是因为厂商,包括媒体对UTM的宣传不够造成的。“此外,UTM是这样一个新兴的技术和市场,早先只有Fortinet一家推出这样的设备,后来,一些国际国内的厂商纷纷进入这一市场,才在2006年将UTM设备推到一个高峰,人们对它的认识确实还需要时间。”
还有一个很重要的因素,就是产品生命周期问题。虽然很多用户对UTM表现出强烈的兴趣,但大多数企业基本都采购了或多或少的安全设备。在已有安全设备基本能满足需求的情况下,企业即便迫于新型网络威胁的压力采购安全设备,购买UTM产品的可能性也不会很大。也正因为如此,虽然许多厂商在推UTM,用户买账的并不多。要让市场接受这个概念,并最终达到普及,UTM除了要不断完善自己,还要等待时机。
性能障碍
UTM目前在市场上最被人诟病的地方在于它的性能。
因为硬件平台及软件系统方面的问题,目前的UTM产品在多种功能同时运行时,性能会大打折扣。曾经有专业的评测机构对一些UTM设备进行评厕,发现,当仅仅打开防火墙、VPN等网络层功能时,UTM还能保持线速,但当打开反病毒、内容过滤、反垃圾邮件以及后来许多厂商在设备中新增的反间谍软件等应用层安全功能时,其性能下降极快,某些甚至下降了70%以上。这等于没法使用这些应用层的安全功能,相当于花了大量的价钱买了一堆无用的功能。
计世资讯分析师沈韶恂认为:市场上一些产品并没有很好地实现UTM架构,性能上还不足以满足用户的要求;而且相当多的用户担心产品不成熟或集成功能太多会影响效果。
“此外,市场上有不少声称UTM的产品,只是将各种安全功能堆积到一起,没有从底层做集成优化设计,同时开启各功能时,性能急剧下降,让不少用户对UTM失去信心。”Fortinet公司大中华区技术总监赵彦利说。
山西网通企业信息化部经理粱世红说:“UTM的端口速率可能很高,但是总体性能不会太高,将极大影响网络的效率。”
难怪UTM总是处于令人“爱恨交加”的地位!
“但这一问题是可以通过技术手段解决的。”许多厂商都在不断进行技术改造,今日的UTM与往昔比在技术上已经有了质的飞跃。从2006年开始,一些千、万兆级以及几十万兆级的UTM产品不断出现,虽然打开全部功能后性能会下降很快,但下降后的性能依然能达到几百兆,对许多中小企业而言,带宽已经足够了。
北京安氏领信科技发展有限公司产品市场部经理饶女士给出了安氏领信在这方面的解决方案。“我们从两个方面有效地解决了开启防病毒功能后UTM性能下降的问题:从硬件方面,LinkTrust UTM采用了Virus-Detection Engine协处理器来协助通用处理器来完成病毒的查杀;技术实现上,安氏领信自主研发了业界独有的‘流杀毒’技术,不同于传统防病毒将数据包还原、缓存、查杀病毒后再转发的工作机制,LinkTrust UTM采用的流杀毒技术完全透明部署,可支持Trunk模式下的流扫描,病毒过滤不需要任何IP地址。通过两方面技术的结合,极大地提高了对病毒的查杀效率。”
此外,为了提升性能,许多用户认为,并不是UTM中集成的安全功能越多越好,而是只需要适合自己企业的功能就好。
可靠性的障碍
计世资讯的调查中发现,用户更倾向于选择成熟可靠的安全产品。在影响用户选购UTM设备的因素中,成熟度与可靠性占的比例达到40.2%,可见用户对成熟产品的期望。
“UTM设备如果技术不稳定,反而会引发新的安全风险,将可能成为新的安全威胁,这将增添新的网络安全的风险。” 中电通信科技有限责任公司信息管理部经理张艳说。
“因为UTM是网关处的安全设备,是‘将所有的鸡蛋都放在一个篮子里’,一旦出了故障,将影响整个网络的效率,甚至引起网络中断,这对业务连续性要求较高的企业,将是致命的打击。” 山西网通企业信息化部经理粱世红说。
然而,这种担心正随着产品的日渐成熟而日益减少。
“UTM从2003年就开始出现在市场上,到目前为止,已经经历了3年多的时间,产品的技术架构也已经从X86、NP发展到ASIC,它的可靠性绝不会低于目前的任何一款防火墙。人们大可放心使用。”Fortinet 大中华区技术总监赵彦利说。 “UTM是全新的安全产品,不应只是多个安全功能的简单集成,而是一个更为整合的统一威胁管理系统”。Fortinet在这方面为用户增强了信心。“我们通过一些技术将众多的安全功能有机地整合在一起,以主动防护系统为‘指挥中心’,将各种安全引擎(状态检测防火墙引擎、嵌入式病毒引擎、深度包检测引擎、垃圾邮件过滤引擎、高层协议分析机)有机组织起来进行协同并行的工作。这样就不会存在一些UTM设备将众多安全功能简单堆砌而引发的兼容性及性能问题,同时也确保了UTM能够更加准确高效地防御各种复合型威胁。”
虽然UTM要成为主流安全产品,在产品技术、性能方面还需要继续提升,在用户方面则还要培育用户的信心。但从当前的UTM产品情况来看,对传统的改善仍要大于对传统的颠覆。
展望未来的几年时间,UTM安全设备将集成更多的功能要素,从而使用户的安全设施具有整体的安全性。同时各种功能之间的整合方式也将有所发展,当前树状分布的安全功能在未来将发展称为网状互动的结构,不同功能之间将获得完全的协同。
UTM的理念除了应用于单个的安全设备之外,还会扩展到更大规模的安全防御设施。用户的所有安全产品都会整合到统一的架构和管理接口之下,实现整个安全设施就是一台UTM设备的目标。
未来的信息安全产品不仅仅需要自身具有整合性,更需要不同种类不同厂商产品的整合,以最终形成多组织、多用户进行协同的全球性信息安全防御体系。UTM所提出的理念代表了这一伟大愿景,也让我们有理由对UTM的未来抱有美好的期望。
链接一:什么是UTM?
UTM全名是Unified Threat Management,中文即统一威胁管理系统。是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的细分市场的诞生。IDC对UTM的定义是:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。UTM设备可以集成其他安全功能,如反垃圾邮件、内容过滤等。UTM安全设备也可能包括其他特性,例如安全管理、日志、策略管理、带宽管理(QoS)、负载均衡、高可用性(HA)等。不过,这些特性通常都是为主要的安全功能服务的。
链接二:UTM的技术架构
由于UTM安全设备通常会同时运行多个功能模块,对系统性能的要求要远远大于单纯的防火墙或入侵检测系统,这意味着UTM产品必须使用相对高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于性能敏感平台的一种处理器技术,将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。
除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(Net Processor,网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
X86硬件架构是信息安全产品中经常会用到的架构,但是,对于UTM设备来说,性能是产品是否能用的主要指标,X86架构基本不能满足需求,因此,很少用在UTM设备中。
链接三:UTM设备的好处
1.整合所带来的成本降低
将多种安全功能整合在同一产品当中,能够让这些功能组成统一的整体发挥作用,比单个功能的累加功效更强,颇有一加一大于二的意味。
现在很多用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。
包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本,获得相比以往更加全面的安全防御设施。
2.降低信息安全工作强度
由于UTM安全产品可以一次性获得多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,在部署过程中可以大大降低难度。
另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也比传统的安全产品更为简单。网络管理员可以减少维护工作量。
3.降低技术复杂度
由于UTM安全设备中装入了多种功能模块,所以为提高易用性进行了很多考虑。
这些功能的协同运作在无形中降低了掌握和管理各种安全功能的难度和用户误操作的可能。
对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
链接四:UTM适合中小企业的理由
首先,中小企业的资金投入相对难以保证,而整合多种功能的UTM安全设备相对于单独购置各种功能可有效地降低成本投入,这无疑为中小企业实施信息安全提供了一个颇具吸引力的选择。
其次,UTM安全设备统一的用户接口有助于缓解中小企业技术力量不足的问题。用户在应用UTM产品的过程中往往学习负担更小,这有助于减少出错的可能性,也间接地提升了系统的安全程度。
同时,由于总体实施和使用的复杂程度得以降低,用户的管理成本也会有较大的下降。 | 
