UTM(United Threat Management)意为统一威胁管理,是在2004年9月由美国著名IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。从这个定义上来看,IDC 既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。UTM就成为近年来颇受安全业界关注的一个热门话题。
认识UTM采用的主流技术
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:
1、完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2、ASIC 加速技术
ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。
3、定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4、紧密型模式识别语言 (CPRL)
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。
5、动态威胁管理检测技术 (CPRL)
动态威胁防御系统(Dynamic Threat Prevention System, 简称DTPS)是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异常检测引擎检查,提高整个系统的检测精确度。
UTM基础应用是UTM设备必须要有一个整合功能的基础平台,目前在技术上,主要分为两大分支:一类是以高性能防火墙为基础的UTM设备,这是目前多数UTM厂家的做法。对这种设备来说,一般都集成了全功能的防火墙,并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示,这种设备主要是为了取代防火墙。另一类是以高端IPS为基础,不断演化出UTM设备。这种做法比较新,包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高,但是带来的好处也是显而易见,由于IPS的优势,可以对日益增多的系统渗透与复合攻击进行阻断与控制。
对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙,对于有意延伸到高端应用的UTM显然不合适。另外,这类产品的吞吐量与误报率也不能忽视,毕竟这将对用户的网络运行带来影响。 总之,无论采用哪种方式,UTM在一定时期内,都会重点强调某一方面的功能强大,而这也正是UTM的“特色”,不管是防火墙,还是IPS,甚至是防病毒,附加的功能都是一个强有力的补充。我们对于UTM功能特点、自身限制、部署方式等的综合分析,可以发现UTM的主要采购者应当就是中小企业。部分大型企业和机构,也可能采购一部分,前提是这些UTM可以和其他网关设备系统工作和管理。而且,因为传统防火墙的检测能力不足、IDS的应用复杂度,使得UTM成为中小企业的不二选择,UTM很可能成为中小企业安全市场上非常主流的安全产品。
随着基于ASIC芯片加速平台应用能力的增强,不只缺乏安全技术人员、资金有限的一些中小企业用户可以通过UTM一揽子设备解决所有的安全问题,大型企业甚至服务提供商也开始部署UTM设备,教育、金融和电信等行业需求明确。大型企业和行业应用是UTM市场潜力巨大的一大领域,在目前UTM技术应用中,金融和电信占整个市场份额的40~50%,烟草、石油及石化等行业市场开发潜力不可低估。UTM产品包括几大块:防火墙、IPS及内容过滤等,不同类型的企业或行业可以灵活购买一个或几个部分,灵活应用。
目前,已经在国内推出UTM产品的厂商有近10家,其中有国内厂商,也有国外厂商;有传统安全厂商,也有网络产品厂商。在国外厂商中,最早推出 UTM设备的是Fortinet、SonicWall、WatchGuard等公司;国内推出的UTM设备的厂商有深信服、联想网御、华为3Com,另外,启明星辰推出的天清汉马防火墙虽然被称为安全网关,但因为集成了防火墙、VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等功能,也应该属于UTM的范畴。
UTM发展趋势
总体来看,UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供了组合多种安全功能的可能,用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能,并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进,除了引发出的新市场需求之外,UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。
目前市场上出现的各种UTM产品和UTM解决方案更多的是在已有产品或已有解决方案的基础上进行整合和创新而成,统一威胁管理真正的威力尚没有被完全发挥出来。以UTM安全设备为例,很多厂商的产品仍旧是以防火墙系统为核心,并且在引导用户认知的过程中也体现出方式。这一方面是因为用户对防火墙产品的认同度较高,另一方面也体现了厂商在技术实现方面的一些脉络。按照目前的发展态势估计,UTM产品很可能代替目前传统的一些信息安全产品,成为信息安全市场上新的主流。根据IDC的数据,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平均接近百分之八十的年成长率,并于 2008年成长成为一个容量达到20亿美元的市场分额。