超越防火墙 UTM设备发展中面临三道槛

从2005年开始,UTM设备因其集成化、一体化的安全概念受到了很多用户的青睐,那么,UTM未来的发展是什么?它能不能最终取代并超越防火墙的 地位呢?

自从IDC提出将集成防火墙、防病毒、入侵检测等功能的安全网关设备命名为统一威胁管理(United Threat Management,简称UTM),一时间引领了信息安全行业的新潮流。在2005年,UTM逐渐成为业界的一个流行词汇,除国外厂商 FORTINET、WatchGuard等大打UTM概念外,国内一些新兴厂商也试图分一杯羹。关于这一概念的种种说法以及用户使用后的感觉,虽然意见不 一,但总归还都受到了业界人士的提倡。

毫无疑问,UTM能够对多种安全威胁进行集中处理,降低用户成本;同时降低了应用的复杂性和繁杂的操作过程,并减少了后期的维护量;也使安全政策容 易统一定义,安全规则的一致性检验更加容易。

技术的三道门槛

为实现UTM,强调采用无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。这一目标面临多种技术的挑 战:

首先是如何用硬件技术实现高速的加密/解密、实时内容分析与处理、特征匹配和数据包扫描、流量整形、防火墙功能,显然,X86架构不能够满足要 求,ASIC 加速技术或ASIC与X86的组合技术可能是目前最好的选择。尽管如此,目前最好的UTM产品,在性能上,特别是对内容保护的性能上,仍然不如人意。

其次,必须有一个定制的或专用的操作系统,强化安全的OS需要提供精简的、高性能防火墙和内容安全处理平台。而这对于大多采用开放LINUX或 BSD操作系统的安全厂商显然是一个难点。同时,在一个专用OS上,一体化安全的概念在不同产品及不同安全功能模块的联动性与协同性也有待完善。

第三,UTM要对已知和未知的威胁,如入侵行为和病毒蠕虫攻击进行全面的检测,这个目标对专用的IDS/IPS或是防病毒网关产品都是一个挑战,无 论在性能上还是功能上。显然,UTM要做到这一点很难,现实的做法是减少检测病毒或攻击的种类,在提高整个系统的检测精确度上下功夫。

未来走向

无疑,UTM是一种理念的改变,是新技术的挖掘和集成,是接受市场需求挑战的主动迎战,是对付零日攻击、提升检测多种威胁或混合威胁能力的好办法。 但想在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代,要做一个“集大成”的UTM还需时日。这也就出现了两种发展UTM的策略:以防火 墙为核心基础,发展UTM,这是目前UTM厂商或防火墙厂商的大多数做法。再一个就是以IPS为核心发展UTM产品,这是TippingPoint的做 法。它在IPS而不是传统的防火墙基础上,发展未来的一体化安全设备。换句话说,安全虚拟专用网络(IPSec VPN)、带宽管理、网页内容过滤等安全模块,甚至包括防火墙本身,都会被安放到IPS的平台之上。

无论如何,UTM在一定时期内,都会重点强调某一方面的功能强大,也就是UTM的“特色”,不管是防火墙,还是IPS,还是防病毒。而附加的功能是 一个强有力的补充,是业余选手或半职业选手。但即使这样,对于一些用户,如中小企业用户应该已经足够了。 另外,UTM安全网关需要的专业化还是集成,并没有固定的模式,而是依靠安全的需要来选择。因此,可以预见的是,从2006年开始,在不同的安全需求下, 会出现不同组合的UTM产品,并且在实际的运用中会不断完善其赖以定位的协同性及联动性。