安全讲堂之UTM与传统网关的关系

自从UTM出现以来,许多用户认为只要有了UTM,就没有必要再购买其他单一网关产品,只要在网络边界部署UTM,所有的安全问题都会迎刃而解。

实际不然,在网络边界的位置,UTM是最合适不过的;但在网络内部,还存在各种级别的安全域;在各个行业内部,也存在着很多特殊的网络。

出于多方面的考虑,也许这些位置部署的不一定是UTM类设备。我们来看一下UTM与各种传统网关的关系。

UTM与防火墙的关系

由于历史最久、应用最广,防火墙在安全网关设备中的位置非常重要,防火墙主要工作在OSI参考模型的网络层和传输层,能够实现丰富的控制功能。UTM最为重要的功能之一就是防火墙,UTM的防火墙功能是完整的,完全覆盖了独立防火墙的功能,从产品功能角度看UTM是完全能取代防火墙的。但在实际网络应用中,有些内部网络与其他网络是完全物理隔离的,同时各个安全域之间仅需要访问控制,不需要应用层的安全防护。而在不考虑成本投入的情况下,这部分网络的安全防护也可以由UTM的防火墙功能来完成。所以从长远来看,UTM是能取代防火墙的。

UTM与入侵防御网关(IPS)的关系

入侵防御设备通常部署在两个位置:Web服务器前或网络出口,因此也就有了NIPS和WIPS两种IPS.NIPS部署在网络出口位置,保护目标是网络,但网络是主机、服务器、网络设备的动态集合,这个保护目标并不明确;NIPS一般实现入侵防御功能、部分防火墙功能、内容过滤功能等,看上去更像UTM功能的子集,所以UTM是涵盖了NIPS设备的。而WIPS部署在服务器前,主要是保护Web业务,保护对象非常明确,要求也非常高,"精确阻断"是对WIPS的要求,重点是针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。从部署位置和功能重点上可以看出,UTM与WIPS是相互补充的。

UTM与网闸的关系

网闸是用于物理隔离的两个网络之间的网关,同一时间只与一个网络进行逻辑连接,并且主要应用于同一单位的两个安全级别相差较大的网络之间;而UTM用于逻辑隔离的网络之间,同一时间可以与两个网络进行逻辑连接。因此UTM与网闸部署位置、工作模式、解决问题都是不同的,两者之间是相互补充、共同存在的关系。

UTM与反垃圾邮件网关的关系

邮件系统一般部署在企业安全网关的DMZ区,而反垃圾邮件网关部署在邮件系统的前面,与安全网关串联。从功能上看,UTM完全实现了反垃圾邮件功能;从位置上看,两者为串联关系,完全可以合并在一起,因此,UTM可覆盖和取代反垃圾邮件网关。

UTM与防病毒网关(AV)的关系

防病毒功能是UTM最重要的功能之一,为必备功能;从查毒和杀毒能力上看,采用与独立防病毒网关类似的技术,达到相同的效果。防病毒对性能的影响比较大,通过软件的优化和专用硬件平台的选择,UTM的防毒性能与独立防病毒网关的性能相差不大。因此,UTM可覆盖和取代防病毒网关。

总体上,UTM取代了防火墙、NIPS、防病毒网关、反垃圾邮件网关等大多数传统安全网关,而与WIPS、网闸形成了互补关系。UTM的出现将使得串联网关式的多种产品得到有效的整合,在网络边界树起了强大的立体防线,用户不需要在网络边际上部署一连串的安全设备,在管理和成本上都将为用户带来极大的效益。

对于非网关类安全产品而言,UTM与它们更多的是互补关系,都是整体安全解决方案的一部分。例如与入侵检测类产品的关系,UTM是串联网关式的防御阻断类产品,入侵检测是旁路监听式检测类产品;两者的部署方式和所起作用是不同的,尤其是网关产品要解决可靠性稳定性和防止误报的问题,检测产品要解决敏感性完整性和防止漏报的问题。因此,两者不能互相取代,各自都能发挥独特的重要作用,使得网络安全保障形成一个有效体系。