随着企业的业务发展,企业对信息系统和网络的依赖程度越来越高: 销售部门需要通过电子邮件等手段和客户联络及进行交易、售后服务部门需要用VoIP和IM对客户进行售后服务支持、研发部门需要通过HTTP和FTP等手段收集信息、企业在外地的分支机构和出差人员需要VPN安全接入以使用企业内部的信息资源。
同时,由于企业的信息系统及网络大多数时候需要和外界进行信息交换,垃圾邮件、恶意软件、钓鱼攻击、DDoS等种种安全威胁也时刻威胁着企业的信息系统和网络,企图削弱甚至摧毁企业的业务信息处理能力。企业如何应对上述威胁?许多意识到信息安全重要性的企业急于寻找一个适合自己业务需求的安全方案,但对于数量占大部分的中小企业来说,安全方案的采购/维护成本、技术复杂性等都是中小企业所不能承受的,因此,统一威胁管理(UTM)方案应运而生。
统一威胁管理的原理、优点、缺点
统一威胁管理(UTM,Unified Threat Management)是2004年由IDC的Charles Kolodgy提出的概念,UTM把基本的防火墙、反垃圾邮件、反病毒、入侵检查功能和扩展的VPN、Web内容过滤、 入侵拦截、AAA等集成在一个硬件平台上。
UTM的优点在于整合化,它以较低的成本满足了中小企业对信息处理安全的大部分需求,避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作,并提供简单易用的界面给非专业的用户进行常规的维护工作。但UTM的缺点也同样来自于它的整合性,由于UTM在一个设备上整合了多个安全功能模块,受处理能力及成本的限制,UTM设备所实现的反垃圾邮件、反病毒等功能离单一安全设备的水平尚有不小的差距,达不到单一安全设备的安全级别;也由于处理能力的限制,UTM设备在启用基本防火墙功能的情况下,开启反病毒、入侵检测等耗费系统资源的应用模块时,性能会显著下降,某些产品甚至会有 70%多的性能下降。
因此,目前市场上的UTM产品,更适用于网络带宽要求不高、安全防护等级不太高的场合。换句话说,UTM在中小企业才能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。
企业如何选择UTM
虽然UTM设备有诸多优点,但企业对UTM设备的选择应该有一个原则: UTM设备的选择应该满足企业安全策略所要求的安全目标,还应该和企业现有的业务处理环境、管理制度、信息技术环境做到最大程度的兼容。
企业可以根据以下步骤来确定自身的安全需求以及要采购的UTM要满足的技术要求:
企业的业务处理需求:指企业对正常业务处理流程中可能存在的安全薄弱环节的加固,或对可能存在的入侵路径进行控制的需求。对一个主要使用电子邮件与外界联络的企业,就需要考虑UTM设备的反垃圾邮件功能是否满足日常使用需求;对另一个通过NAT发布企业网站的企业来说,抗DDoS功能和入侵检测功能又应该成为选购UTM设备首要考虑的因素;对于有安全远程接入需求的企业, UTM设备的VPN支持也应该进行考虑。由于无线网络成本的降低,许多企业也开始部署无线网络,在这些企业中,UTM设备是否支持无线网络也要纳入考虑的范围。总之,企业应该根据自己的业务特点,结合信息的输入输出来确定待采购的UTM设备应该具有的基本功能。
企业的管理要求:企业需要用安全策略来指导内部用户使用信息系统的行为,同时也需要通过技术手段来限制用户实施某些行为的能力,因此,企业选择UTM设备的时候也应该考虑UTM设备是否满足企业管理要求。比如,企业禁止用户在工作时间使用某些IM软件,允许使用VoIP软件,选择的UTM设备就应该包含IM控制功能;企业不禁止用户使用P2P软件,但需要限制用户的使用带宽,那选择的UTM设备就应该有P2P 带宽限制功能;企业禁止用户在工作时间浏览某些类型的网站,那选择的UTM设备应该带有Web内容过滤的功能。同时,根据企业的管理需要,UTM设备可能还需要能提供分级认证、授权、审计功能(AAA)—— 企业的安全策略和管理需求也是企业选择UTM设备重要的考虑因素。
企业的信息技术需求:企业的IT需求包括很多方面,其中最常见的莫过于采购UTM设备对企业之前的设备投资的保护和部署UTM设备之后对网络操作环境的影响。比如,如果企业原来已经部署有网络版的反病毒方案,UTM设备的反病毒可以就可以不作为采购的参照因素之一;企业和用户是否能忍受功能全部启用的UTM设备带来的网络带宽的下降?如果企业原来已经部署有防火墙和反垃圾邮件网关,用户也统一安装有反病毒软件,那么UTM设备就不一定是企业的最好选择,企业考虑增加一个IDS或许会有更高的效费比。另外,企业采购UTM设备也要考虑UTM设备的维护成本及日后IT环境扩展的需要。
UTM厂商产品特点介绍
IDC曾在表示,随着安全领域的技术、产品和方案的融合性与互补性,传统的单一安全方案将会受到挑战,因为将会有越来越多的用户选择综合性的安全解决方 案,其中统一威胁管理方案(UTM)将会获得用户较高的青睐。
以启明星辰、联想网御、天融信为代表的国内安全厂商,以绝对的成本优势,纷纷挺进国内UTM市场,并取得了不错的成绩。
启明星辰的天清汉马USG在专用的安全操作系统上融合了防火墙、VPN、防病毒网关、入侵防御系统、防拒绝服务攻击、P2P/IM控制、 NetFlow等功能,这些功能通过一体化设计的架构,协同工作,更能体现一体化的趋势和适合中小企业应用的特点。
联想网御UTM防火墙在自有防火墙基础上,集成了软硬件技术,包括芯片加速、内容过滤、防病毒等,尤其是ASIC加速内容操作和查找,很好地解决了UTM 防火墙产品的性能问题。在全系列产品中,都包含ASIC加速硬件。
天融信TopGate网络卫士安全网关采用TOS的模块化设计架构,保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的性能,具有很好的 扩展性。
以FortiNet、SonicWALL、Juniper、Cisco为代表的国外厂家及产品,凭借着雄厚的技术优势,已经在国内UTM市场占有一片天 空。
FortiGate 400A是FortiNet公司设计的基于ASIC硬件UTM产品,可以在网络边界处为中小型企业提供实时的保护。FortiGate 400A通过采用FortiNet公司自主开发的FortiAsic内容处理器和强化安全的操作系统FortiOS,可以有效降低因检测有害的病毒、蠕虫 及其他基于内容的安全威胁而对网络性能的影响。
SonicWALL PRO 4060的核心是一个功能强大的深度包检测引擎,能实时扫描网络流量,并在恶意威胁入侵网络之前在网关处将其屏蔽。由于采用了专利技术的高速DPI引 擎,SonicWALL PRO 4060不需要把待扫描的文件完整地缓存到内存的一个缓冲区,消除了传统的网关防病毒产品对能够扫描的单个文件大小和同时扫描的文件数目的限制,真正地对 每一个数据包做扫描。同时,该产品还采用创新的SonicWALL Clean VPN技术,可在移动用户及分支机构连接威胁网络之前对其进行净化。
Juniper网络公司的NetScreen-5GT产品具备同类最佳的UTM安全特性,可保护小型远程办事处、零售点或宽带远程工作人员的安全。这些 UTM特性包括执行接入控制并阻断网络层攻击的状态检测防火墙、阻断应用层攻击的IPS(深层检测防火墙)、可选择的同类最佳的防病毒特性(包括对抗网络 钓鱼、间谍软件、广告软件、病毒和特洛伊木马)、拒绝服务(DoS)缓解功能和一个网页过滤选项,用于阻止接入已知的恶意下载网站或其他不适宜的网页内 容。NetScreen-5GT还具有站点到站点的IPSec VPN功能和VoIP安全特性,可以在办事处之间建立安全的通讯。
Cisco ASA 5500 系列自适应安全设备是思科专门设计的UTM产品和解决方案,是业界领先的UTM产品,能够将最高的安全性和VPN服务与思科全新的自适应识别和防御 (AIM)架构有机地结合在一起。作为思科自防御网络的关键组件,Cisco ASA 5500系列能够提供主动威胁防御,在网络受到威胁之前就能及时阻挡攻击,控制网络行为和应用流量,并提供灵活的VPN连接。思科提供的强大多功能网络安 全设备系列不但能为保护中小企业和大型企业网络提供广泛而深入的安全功能,还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。
综上所述,UTM设备固然有很多优势,但它也不是万灵药,企业只有根据自身的特点,选择适合自己的UTM设备,并进行妥善维护,才能保证企业信息系统和业 务不受各种威胁所损害。