本文是一個筐架方法論BaCaMeth應用實例,應用的筐架是"nW1H筐"。其實這套筐是非常常用,也是非常能夠被聽眾理解和接受的一套筐。這套筐帶有比較強的西方味道。
nW1H筐就是將分析對象從What,Why,Who,Whom,Whose,Where,When,While,Which,以及How等幾個方面進行分析。有的時候,可以將不同的WH做出一些類比和延伸,以適應分析對象的一些特征。所有的方面都用nW1H來套用,有些問題會稍微牽強點,但是這套筐畢竟可以讓我們很好地打開話題。
---------------------------------------------------------
What 關于名字:(What's it name?)
現在有三種英文名字和UTM有關。
從英文本義,以及UTM現在所指的技術和產品來看,第三個英文其實最恰當。中文應當翻譯成“一體化威脅管理”。
What 關于主要功能:(What are its major functions?)
目前對于UTM比較常見的說法是:由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。它將多種安全特性集成于一個硬設備里, 構成一個標準的統一管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。這幾項功能并不一定要同時都得到使用,不過它們應該是UTM設備自身固有的功能。UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務的。
可以看出,大家所說的這個UTM其實是一個硬件設備。所以國際上有Unified Threat Appliance的說法。而且UTM是一個比防火墻功能更加豐富的網關設備,一些QoS/LB/HA等要求都是網關的附帶要求。
Why 市場為什么需要:(Why we need it?)
**從其他設備的不足來談
當前的防火墻不能滿足更加復雜要求的檢測能力,比如對于病毒的檢測、對于攻擊的檢測等當前的IDS單獨設備,不能完成實施阻斷,而客戶希望不要僅僅報警還要幫助自動解決問題如果用戶購買眾多的安全網關,比如防病毒網關、垃圾郵件網關、防拒絕服務攻擊網關、內容過濾網關等等,再加上路由器和防火墻這樣的網關,就太復雜了。希望有集成在一起的多功能網關。
**UTM能夠帶來的價值
降低了安裝和維護的復雜度:這些設備通常都是即插即用的黑盒子,相關的安裝、維護工作量會減少。如果出現問題,可以直接通過設備替換來解決問題。
能夠實現“無干預”運行:由于設備在運行中,主要是自動實現阻斷、過濾等動作,一般不需要人工干預,不用像面對IDS/審計系統等那樣需要人工的分析決策。但是我們要注意UTM的局限性,它達不到IDS和審計系統那樣的深度檢測和分析。
What 什么不行(What's the limitation?)
在網關的位置,UTM面臨一個性能和檢測能力的平衡問題——“是加強其檢測能力還是保證其傳輸性能?”
傳統防火墻的性能已經非常高了,基本上可以做到線速傳輸;而旁路式的IDS和審計系統,由于沒有傳輸性能的壓力,可以對于數據進行非常深度和廣度的檢測和分析;而UTM作為一個希望提供多樣化檢測能力的網關設備,必須在性能和檢測能力上尋求平衡,在高帶寬環境下兩方面都達到很高水平是不可能。這也是我以前撰文闡明三者之間無法完全互相替代的原因。
由于UTM自身的檢測是多方面的檢測,而且這些檢測結果還要用于阻斷/通行的判斷。這樣的復雜狀態,進行HA的轉換會有一定的難度。因此,目前UTM設備的HA能力普遍要弱于防火墻和路由器。
Where 部署在什么地方(Where is it deployed?)
由于UTM的功能特點和自身限制條件,UTM不適合作為高帶寬高性能要求的網關,也不適合作為深度檢測數據源存在。那么UTM應當部署在帶寬不大,流量不大,對于高可用性的要求一般,但是對于綜合安全防護要求高,不希望過多人工維護和干預的網關位置。
那么UTM的這個位置就應當是中小企業的大部分網關位置,或者大型企業和機構的低端接入網關位置。
Who 誰會采購(Who should buy them?)
鑒于上面對于UTM功能特點、自身限制、部署方式等的綜合分析,可以發現UTM的主要采購者應當就是中小企業。部分大型企業和機構,也可能采購一部分,前提是這些UTM可以和其他網關設備系統工作和管理。
而且,因為傳統防火墻的檢測能力不足、IDS的應用復雜度,使得UTM成為中小企業的不二選擇,UTM很可能成為中小企業安全市場上非常主流的安全產品。
Whose 誰在力推(Whose UTMs are in the market?)
UTM類型產品的前身應當是防病毒網關和IPS。
在就是年代末,趨勢科技率先開發出防病毒網關產品之后,網關防病毒漸漸成為防病毒的關鍵一環,而一個網關增加一定的防火墻功能應當是順理成章的。
一些防火墻廠商垂涎IDS的市場空間,推出了IPS/IDP類的產品,NetScreen推出的IDP就是代表。在防火墻廠商的威脅下,IDS廠商自然奮起迎戰,之后ISS等為代表的廠商也推出像preventia類似的網關安全產品。并且發現,IDS廠商在這個市場結構調整的過程中并沒有太大的損失,而是自己進入防火墻領域的絕佳機會。因為UTM的部署位置決定了其要替代的是防護墻的部署。
再有就是一些新進的安全廠商,直接就殺進UTM這個領域,希望通過專業化和差異化實現快速增長,比如Fortinet就是一個比較成功的例子。
當然,也有一些廠商在舉著這面誘人的大旗,利用吸引人的“一體化能力”,不讓客戶充分認識UTM自身的限制條件,而從中混水摸魚的。這些廠商是用戶必須特別小心的。其實多問一些為什么,就可以識破這種“萬能的技術神話”。
When 現在采購是否合適(When should I buy it?)
其實這是一個永久的問題。肯定要結合自身情況,和當時技術的具體情況來決定。
買你最合適的,所以不買概念最好最新的,不買最貴的,而買你最合適的。不要相信以后怎么樣,就看它現在的能力,是否能夠滿足你1-2年的需要就可以。2年以后還不知道會怎么樣呢。
Which 怎么選擇(Which one is suitable for me?)
**看看是否具有UTM的關鍵技術
**性能是否能夠滿足
目前還不要相信千兆的UTM能夠應付高壓力的應用環境。
對于百兆環境和壓力不高的千兆環境,可以進行測試,以測試結果為依據。
**眾多的安全能力是否合身
防火墻、VPN、IDS/IPS、防病毒、防垃圾郵件、防拒絕服務攻擊、內容過濾等等功能,都可能被集成在UTM中,合時地選擇你真正需要和比較成熟的功能。目前,應當優先考慮防火墻、防病毒的功能集成。
