统一威胁管理(UTM)专用设备通过关联和分析来自不同安全引擎的数据,提供更高的检测网络威胁活动的智能性。这类设备提供了一种取代单个部署 分离系统的方法。
IDC已建立了这种产品分类,其最小特性集合包括防火墙、入侵检测/防御系统(IDS/IPS)和杀毒功能。很多MTM专用设备进行了扩展,添 加了VPN、防垃圾邮件、防间谍件和Web内容过滤功能。
大多数这类安全功能运行在应用层检测垃圾邮件、病毒、蠕虫和其它复杂形式的攻击以及可能令人不快的或未经授权的内容。因此,每台UTM设备都必 须能够执行从三到七层的深度数据包检查。一些威胁可以跨多个数据包,因此需要一种多数据包有效载荷组装机制来实时阻止它们。
尽管UTM专用设备具有这些安全集成优势,但它们复杂的数据包处理要求带来性能问题。因此,UTM系统应当采用一些硬件加速技术。
这种性能问题体现在两个方面:吞吐量和延时。硬件加速同时改进这两个方面,一些UTM系统可以达到高达70Gbps的吞吐量,而总延时不到50 毫秒。
性能也可以在独立系统中成为问题。单独看,这些设备可以提供令人满意的吞吐量和足够低的延时,但是当按照串行方式部署时,延时将累加起来。
由于许多企业网络现在支持延时敏感应用,如VoIP,因此总延时会迅速超过这些关键任务应用所建议的延时。UTM解决方案通过一次为多个安全特 性组装数据而不是单个地为每个安全特性组装内容,帮助克服延时问题。
由于将多个安全引擎集成到一台设备中,UTM使管理人员可以更方便地在整个企业执行细详的安全政策。它还使检测混合威胁成为可能。这类混合威胁 利用为绕过单条防线而精心设计的攻击组合(如病毒、蠕虫、木马和拒绝服务攻击组合)。
利用UTM解决方案,集成的安全引擎相互配合,使系统可以从多个最佳视角检测实时传输流-不管是数据包还是整个文件。例如,一个表面上看似无害 的电子邮件可能穿过杀毒系统。但邮件含有一个最终链接到木马病毒的基于UTML的附件。由于UTM解决方案可以利用反垃圾邮件、杀毒、防间谍件和其它安全 引擎组合,因此可以更容易地检测到这类混合威胁。
在一个UTM解决方案中组合多种安全引擎提供了一种检测和制止混合威胁的新方法。