统一威胁管理(UTM)的产生
设想一下通过机场安检的流程:你走上前去,工作人员仔细检查你的登机卡和证件。一旦对方挥手示意通行,你马上会被手持金属探测器的保安人员拦下来。要是顺利通过扫描,你还没走几步,前面又出现了行李检查线。接下来,你得排队等保安搜查别人的行李。
数据包进入严加保护的网络时接受的流程就像上面这一幕。越来越多的安全系统在检查流量,查找未授权访问、恶意软件、攻击、数据泄漏、垃圾邮件及更多不良现象,所以要进行大量的证书检查和审阅——为此,许多公司把大笔费用花在了多个安全设备上。而统一威胁管理(UTM)这种想法就是用一种多功能产品取代所有这些检查和搜寻,以便直接完成所需的流程。
如今市面上有适用于各种规模网络的UTM产品。虽然它们主要与中小企业有关,但销售的产品涵盖面很广,既面向规模非常小的网络,又面向规模非常大的分散组织。分布式企业会希望部署多个UTM产品,而这意味着管理上面临问题。
幸好,大多数厂商支持的平台可以管理分布广泛的UTM设备网络;还可以集成到现有的安全套件中。安全领域的老牌大公司把UTM设备集成到了各自的整个产品组合当中,其中包括Check Point Software、思科、IBM和Juniper Networks等公司,这并不奇怪;我们也惊喜地看到,并不拥有大型综合安全套件的一些厂商也在确保满足多个设备管理和安全技术集成的要求,包括 Astaro、Cyberoam、Fortinet、Secure Computing、SonicWall和ZyXel等公司。
说到成本,UTM市场值得关注的一个方面就是,许多设备内部集成了开源组件。这种方法带来了许多成本较低的设备,有利于促进竞争,受益的显然是消费者。不过另一方面,你需要关注GPL许可证方面的变化。
统一管理的利与弊
把安全功能集成到单一设备,这有许多明显的优势:降低成本、合并报告、一致的界面、简化网络架构以及易于管理。实际上,这些趋势也在推动端点安全套件市场进行合并。在桌面上,反病毒产品已成为大众化产品,厂商在围绕该产品不断添加其他功能;而在网络上,防火墙有着这样的地位。
还有不大明显的好处:就拿绿色计算潮流来说,合并并非只能借助虚拟化技术才能实现。通过统一威胁管理来减少安全设备的数量,这是节省大笔电费的另一条途径。对这个领域较成熟的产品而言,UTM确实提供了增效作用。比方说,反病毒模块、反垃圾邮件模块和内容过滤模块可能都在共享同一个已知不良URL的数据库,每个模块会以适当方式使用该数据库。Fortinet公司则把这种集成方法发挥到了极致:它的整个平台完全围绕UTM而设计。该公司维护自己的所有模块和特征数据库,这在UTM产品当中是很少见的。
当然,把所有安全功能都集成起来确实也存在弊端。任何一款UTM产品不可能做到每个部分的功能都是同类中最佳。比方说,除了Check Point、IBM和Juniper外——它们的UTM设备集成了各自顶尖的入侵预防系统(IPS)的技术,大多数UTM的IPS功能就特性和检测及预防深度而言,比不上独立的入侵预防系统。一些反病毒和反垃圾邮件功能也是如此。另外还有厂商的营销宣传。新买的笔记本电脑其电池使用时间从来不像厂商承诺的那么长久。以UTM为例,你在与厂商代表进行会谈时,有必要持怀疑态度。厂商拿安全产品的单独评估宣传耗用带宽有多低,其实这种带宽很难量化;如果设备使用了五六个或者更多不同的分析模块,预计在实际网络条件下,而且所有模块都开启,实际性能会与厂商宣传的数字会有很大不同。正是由于这个原因,许多产品采用了硬件加速功能;但要是你不在自己的网络上试一下开启所需选项的产品,就无法确切知道它能否经得起实际考验。
另一个潜在陷阱就是安全功能统一放到一个地方的概念,这为网络网关保护带来了单一故障点;而且目前出现了这样的动向:分布安全而不是合并安全,以便提高安全效果。
开源之争
有些UTM产品一开始就结合了一系列开源技术——比如Snort拿来用于入侵检测与预防系统、ClamAV用于反病毒、 IPTables/Netfilter用于防火墙,这样就有了UTM所需的全部必要组件。加上一点粘合剂、界面和报告机制,就可以拿到市场上去卖了。
SmoothWall公司卖的就是这种产品,并且对这一事实毫不讳言。连其接口也采用了开源,可以免费获取。顾客自然从中得益。 SmoothGuard 1000的价格只有可以保护同样规模网络的竞争产品的三分之一到一半,只要5000美元,就能保护多达1000个节点。相比之下,Check Point公司可保护1000个节点的产品价格高达15500美元。Astaro公司也坦率地承认,其UTM产品(起价1200美元)的引导区使用了开源,不过它声称这是同类中最佳的总体方案,还提到最近由开源的Squid HTTP代理系统改为内部开发的代理系统。
有些厂商瞧不起基于开源技术的竞争产品,但开源软件与专有代码本来就没有孰好孰坏之说,这是不争事实。确实,对资源有限、在努力实施一体化UTM方案的任何一家公司而言,明智之举就是,根据风险评估得出的结论,把财力资源投入到最需要专有软件的地方;必要地方用开源软件作为补充。
不过,你在决定选择开源还是专有的统一威胁管理方案时,需要注意几个问题。首先,许可证的变化可能会影响将来的版本。比方说,Tenable Network Securit公司把其知名Nessus漏洞扫描器的版本从2.0迁移到3.0时,改变了许可条款;不过值得一提的是,之所以可能会这样,完全是因为 3.0版本的所有(或者说几乎所有)开发工作都是由Tenable雇用的编程人员完成的。而之前版本的许可证不可以取消。
另一个问题就是GPL衍生作品(derivative works)条款。大部分的最初解释是,基于编译版的应用程序接口开发的程序不能被看成是衍生程序。换句话说,只要原来的应用程序没有被改动过,那么如果拿来Snort,在配置、管理和输出数据外面封装Web接口,这就不能算是衍生程序,结果整个应用程序需要获得GPL许可。不过,不是所有的开源作者都恪守这种惯例。如今,Nmap和Snort明确要求:使用其程序后可能会影响UTM厂商的任何应用程序都要事先获得许可,比如添加源文件或者数据文件,或者用安装程序来封装。
我们采访的UTM厂商通常使用Snort,不过只有Astaro在Sourcefire的网站上被列为集成商。其他公司可能有的打算不使用3.0系列的产品,有的与Sourcefire签订了专有许可协议。Sourcefire不愿表明谁获得了哪些内容的许可方面的详情。