統一威脅管理(Unified Threat Management, 簡稱UTM )
源于在防火墻的基礎上,添加防病毒、入侵檢測功能而合成為一體化設備
人們經常把UTM與多功能的防火墻混淆,青出于藍還是藍嗎?
UTM設備,正在成為安全舞臺上一顆冉冉升起的新星。
UTM安全設備的定義是指一體化安全設備, 它具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能,但這幾項功能并不一定要同時得到使用,不過它們應該是UTM設備自身固有的功能。
然而,人們總是會用看防火墻的眼光來看UTM,有時候,甚至一些廠商在投標過程中,為了迎合標書,也將UTM作為防火墻去投標。水,越攪越渾,面對事關信息系統安全的設備,我們需要有一雙清澈的眼睛。
![]("http://security.ccidnet.com/col/attachment/2006/6/733427.jpg")
統一威脅管理的基本功能示意圖
UTM族譜
為了對付混合威脅,滿足中小企業對防火墻、IDS、VPN、反病毒等集中管理的需求,一些廠商將這些技術整合進一個盒子里,設計出高性能的統一威脅管理的設備。這樣的設備一般安裝在網絡邊界,也就是位于局域網(LAN)和廣域網(WAN)之間,子網與子網交界處, 或專用網與公有網交界處,同時也可被設置于企業內網和服務供應商網絡之間。它的優勢在于將企業防火墻、入侵檢測和防御以及防病毒結合于一體,VPN通常也集成在內。這種盒子就是UTM的雛形。
在過去的五年中,這樣的“黑盒子”從不同側面有過五六種不同的叫法。例如, “網絡防御網關”(Network Prevention Gateway-NPG)是指定位在企業網絡系統邊界處進行防御的專用硬件安全設備。它可以是基于硬件體系的,具有防病毒功能,兼有VPN、防火墻、入侵檢測功能的網絡防護網關。有一段時間,曾流行簡稱之為“All in One”,即多種功能包含在一個盒子里,成為一體化集成安全設備。后來,又掀起“病毒防火墻AV Firewall”的稱呼,重點突出在防火墻中融入防病毒功能,或者叫“防毒墻”。“綜合網關 Gateway”則強調其綜合性。而“網絡安全平臺 Network Security Platform”的叫法較為廣義,仍沿用至今,因為網絡安全設備實際上是一個平臺,可將多個安全功能集成在內。“七層防火墻 Seven Layer Firewall”迎合眾多用戶的心理要求,表示不僅要防護網絡層,而且深入到應用層的防護。
PK傳統防火墻
UTM與傳統的防火墻有哪些本質區別呢?主要體現在以下幾個方面。
其一,防火墻功能模塊工作在七層網絡協議的第三層。大多數傳統防火墻用一種狀態檢測技術檢查和轉發TCP/IP包。UTM中的防火墻在工作中不僅僅實現了傳統的狀態檢測包過濾功能,而且還決定了防病毒、入侵檢測、VPN等功能是否開啟以及它們的工作模式。通過防火墻的策略,各種功能可以實現更好的融合。
其二,從整個系統角度講,UTM防火墻要實現的不僅僅是網絡訪問的控制,同時也要實現數據包的識別與轉發,例如HTTP、Mail等協議的識別與轉發,對相應的模塊進行處理, 從而減輕其他模塊對數據處理的工作量,提高系統性能和效率。
其三,UTM防火墻能植入很多更高的新功能,例如虛擬域、動態路由和多播路由,它支持各種新技術,例如VoIP、H.323、SIP、IM和P2P等,起點高,應用前景更廣,適應性更強。
其四,從UTM的操作界面上,用戶就可以清楚地看出,UTM防火墻策略有很多種選擇,宛如在一個網絡門戶大平臺上,植入內容豐富的機制,層次分明、操作簡單、同時又靈活實用。隨著策略的設置,網絡的防護也隨之展開星羅密布的安全哨卡。
同時,UTM的網關型防病毒與主機型防病毒不同。網關型防病毒作為安全網關,必須關閉脆弱窗口,在網絡的邊界處阻擋病毒蠕蟲入侵網絡,保護內部的網絡安全。要做到這點,網關必須能夠掃描郵件和Web內容,在病毒到達內部網絡時進行清除。病毒和蠕蟲防御功能要求能夠百分之百檢測、消除感染現有網絡的病毒和蠕蟲,實時地掃描輸入和輸出郵件及其附件,支持HTTP、SMTP、POP3、IMAP和FTP協議,實現高速度掃描技術。安全網關還要包括反間諜插件,對流行的灰色軟件予以識別和阻斷,同時,能夠消除VPN隧道的病毒和蠕蟲,阻止遠程用戶及合作伙伴的病毒傳播,病毒特征庫則可以在網上在線自動更新。
解剖UTM
UTM需要在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其它基于內容的安全威脅的產品,有的系統不僅集成了防火墻、VPN、入侵檢測功能,還融入內容過濾和流量控制功能,提供了高性價比和強有力的解決方案。由于UTM系統需要強勁的處理能力和更大容量的內存來支持,消耗的資源必然是很大的,僅利用通用服務器和網絡系統,要實現應用層處理,往往在性能上達不到要求。只有解決功能與性能的矛盾,UTM才能既實現常規的網絡級安全(例如防火墻功能),又能在網絡界面高速地處理應用級安全功能(例如病毒與蠕蟲掃描)。雖然UTM實現的技術途徑可以有多種,采用ASIC解決功能與性能矛盾,仍是公認的最有效主要方法。能夠支撐一個優秀的UTM設備,最主要有三種優秀技術實現途徑來保障。
其一,ASIC加速技術。在設計UTM系統的總體方案中,有著兩類不同加速用途的ASIC,也就是說,它們朝著兩個方向發展:一是應用層掃描加速,另一是防火墻線速包處理加速。
其二,定制的操作系統(OS)。實時性是UTM系統的精髓。多功能集成的安全平臺需要一套專用的強化安全的定制操作系統。這一OS提供精簡的、高性能防火墻和內容安全檢測平臺。 通過基于內容處理的硬件加速,加上智能排隊和管道管理,OS使各種類型流量的處理時間達到最小,從而給用戶帶來最好的實時性,有效地實現防病毒、防火墻、VPN和IPS等功能。
其三,高級檢測技術。貫穿于UTM整體的一條主線實際是高級檢測技術。先進的完全內容檢測技術(CCI)能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅,與其它單純檢查包頭或“深度包檢測”的安全技術不同,CCI技術重組文件和會話信息,可以提供強大的掃描和檢測能力。只有通過重組,一些最復雜的混合型威脅才能被發現。為了補償先進檢測技術帶來的性能延遲,UTM使用ASIC芯片來為特征掃描、加密/解密和SSL等功能提供硬件加速。
