关于UTM的9个W问题

What 关于名字:(What"s it name?)
现在有三种英文名字和UTM有关。

  • United Threat Management (Google搜索出288项)
  • Universal Threat Management (Google搜索出679项)
  • Unified Threat Management (Google搜索出62400项)

从英文本义,以及UTM现在所指的技术和产品来看,第三个英文其实最恰当。中文应当翻译成“一体化威胁管理”。

What 关于主要功能:(What are its major functions?)

目 前对于UTM比较常见的说法是:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用, 不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性 (HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。

可以看出,大家所说的这个UTM其实是一个硬件设备。所以国 际上有Unified Threat Appliance的说法。而且UTM是一个比防火墙功能更加丰富的网关设备,一些QoS/LB/HA等要求都是网关的附带要求。

Why 市场为什么需要:(Why we need it?)

从其他设备的不足来谈

当 前的防火墙不能满足更加复杂要求的检测能力,比如对于病毒的检测、对于攻击的检测等当前的IDS单独设备,不能完成实施阻断,而客户希望不要仅仅报警还要 帮助自动解决问题如果用户购买众多的安全网关,比如防病毒网关、垃圾邮件网关、防拒绝服务攻击网关、内容过滤网关等等,再加上路由器和防火墙这样的网关, 就太复杂了。希望有集成在一起的多功能网关。

UTM能够带来的价值

降低了安装和维护的复杂度:这些设备通常都是即插即用 的黑盒子,相关的安装、维护工作量会减少。如果出现问题,可以直接通过设备替换来解决问题。
能够实现“无干预”运行:由于设备在运行中,主要是自 动实现阻断、过滤等动作,一般不需要人工干预,不用像面对IDS/审计系统等那样需要人工的分析决策。但是我们要注意UTM的局限性,它达不到IDS和审 计系统那样的深度检测和分析。

What 什么不行(What"s the limitation?)

在网关的位置,UTM面 临一个性能和检测能力的平衡问题——“是加强其检测能力还是保证其传输性能?”

传统防火墙的性能已经非常高了,基本上可以做到线速传输; 而旁路式的IDS和审计系统,由于没有传输性能的压力,可以对于数据进行非常深度和广度的检测和分析;而UTM作为一个希望提供多样化检测能力的网关设 备,必须在性能和检测能力上寻求平衡,在高带宽环境下两方面都达到很高水平是不可能。这也是我以前撰文阐明三者之间无法完全互相替代的原因。

由 于UTM自身的检测是多方面的检测,而且这些检测结果还要用于阻断/通行的判断。这样的复杂状态,进行HA的转换会有一定的难度。因此,目前UTM设备的 HA能力普遍要弱于防火墙和路由器。

Where 部署在什么地方(Where is it deployed?)

由于UTM的功能 特点和自身限制条件,UTM不适合作为高带宽高性能要求的网关,也不适合作为深度检测数据源存在。那么UTM应当部署在带宽不大,流量不大,对于高可用性 的要求一般,但是对于综合安全防护要求高,不希望过多人工维护和干预的网关位置。

那么UTM的这个位置就应当是中小企业的大部分网关位 置,或者大型企业和机构的低端接入网关位置。

Who 谁会采购(Who should buy them?)

鉴于上面对于UTM功能特点、 自身限制、部署方式等的综合分析,可以发现UTM的主要采购者应当就是中小企业。部分大型企业和机构,也可能采购一部分,前提是这些UTM可以和其他网关 设备系统工作和管理。
而且,因为传统防火墙的检测能力不足、IDS的应用复杂度,使得UTM成为中小企业的不二选择,UTM很可能成为中小企业安 全市场上非常主流的安全产品。

Whose 谁在力推(Whose UTMs are in the market?)

UTM 类型产品的前身应当是防病毒网关和IPS。

在就是年代末,趋势科技率先开发出防病毒网关产品之后,网关防病毒渐渐成为防病毒的关键一环, 而一个网关增加一定的防火墙功能应当是顺理成章的。

一些防火墙厂商垂涎IDS的市场空间,推出了IPS/IDP类的产 品,NetScreen推出的IDP就是代表。在防火墙厂商的威胁下,IDS厂商自然奋起迎战,之后ISS等为代表的厂商也推出像preventia类似 的网关安全产品。并且发现,IDS厂商在这个市场结构调整的过程中并没有太大的损失,而是自己进入防火墙领域的绝佳机会。因为UTM的部署位置决定了其要 替代的是防护墙的部署。

再有就是一些新进的安全厂商,直接就杀进UTM这个领域,希望通过专业化和差异化实现快速增长,比如 Fortinet就是一个比较成功的例子。

当然,也有一些厂商在举着这面诱人的大旗,利用吸引人的“一体化能力”,不让客户充分认识 UTM自身的限制条件,而从中混水摸鱼的。这些厂商是用户必须特别小心的。其实多问一些为什么,就可以识破这种“万能的技术神话”。

When 现在采购是否合适(When should I buy it?)

其实这是一个永久 的问题。肯定要结合自身情况,和当时技术的具体情况来决定。

买你最合适的,所以不买概念最好最新的,不买最贵的,而买你最合适的。不要相 信以后怎么样,就看它现在的能力,是否能够满足你1-2年的需要就可以。2年以后还不知道会怎么样呢。

Which 怎么选择(Which one is suitable for me?)

看看是否具有UTM的关键技术

  • 网络全协议层防御
  • 有高检测技术来降低误报
  • 有高可靠、高性能的硬件平台支撑
  • 一体化的统一管理

性能是否能够满足

目前还不要相信千兆的UTM能够应付高压力的应用环境。

对于百兆环境和压力不高的千兆环境,可以 进行测试,以测试结果为依据。

众多的安全能力是否合身

防火墙、VPN、IDS/IPS、防病毒、防垃圾邮件、防拒绝服务 攻击、内容过滤等等功能,都可能被集成在UTM中,合时地选择你真正需要和比较成熟的功能。目前,应当优先考虑防火墙、防病毒的功能集成。