从面市的第一天起,UTM(统一威胁管理)设备就成了安全市场上诱人的苹果,只不过,不管从技术还是从用户的介绍程度来看,这个高高挂在枝头上的苹 果,还略带青涩。
UTM的土壤
网络中的黑客,过去曾经是信息领域的精神骑士,然而现在,他们越来越像是一群巫师,在黑暗的角落里调配着各种毒剂,然后顺着网络这个无所不至的 管道,传送到世界的每一个角落,其目的也变得越来越赤裸裸:就是窃取“中毒者”的财富。
网络的含金量在不断增加,安全威胁也同时与之剧增,最让用户难以承受的是,不同的攻击手段混合起来,使得防范变得愈加困难,而且在安全管理上的 压力,也越来越难以承受,所有这些,恰恰形成了UTM迅速生长的土壤。
在大多数厂商所认可的定义中,UTM 产品被描述成集成多个安全特性为一体的硬件设备,并统一在一个标准的管理平台之下。
为了与其他产品区分开,UTM 必包含网络防火墙、 网络入侵检测和防御和网关防病毒。以上这些功能并不见得都要被使用,但这些功能必须是 UTM设备所固有的。在 UTM产品中,各个功能部分无法被拆离。
不少人也许会产生这样的疑问:市场上已经有了那么多的安全产品,其中不乏相当优秀者,为什么用户还会愿意接受这种新的尚不成熟的产品?
催生并促进UTM设备飞速发展的要点有两个,其一就是安全环境的日益复杂,这导致了混合式攻击不断增加;其二就是对于安全管理简单性和灵活性的 需求越来越强烈。随着像防火墙、防病毒、内容过滤、入侵检测以及其他功能等安全技术数量的增加,不少人都自然而然地认为有理由将所有这些功能安装在一台设 备中,来节省资金和运营费用,当然也希望能借此进一步提高安全性。
实际上,UTM也确实有着传统安全防护设备所不具备的优势。
首先,UTM设备大大降低了安全系统构件的复杂性,一体化的设计简化了产品选择、集成和支持服务的工作量。避免了软件安装工作和服务器的增加: 安全服务商、产品经销商甚至最终用户通常都能很容易的安装和维护这些设备,而且这一过程还可以远程进行。
其次,UTM设备的维护量通常很小,因为这些设备通常都是即插即用的,只需要很少的安装配置。
再有,大多数UTM设备可以和高端软件解决方案协同工作,这一特性很有吸引力,因为很多硬件设备通常安装在远程地点,企业在那里往往没有专业安 全管理人员,UTM设备可以很容易的安装并通过远程遥控来管理它。这种管理方式可以很好的和大型集中式的软件防火墙协同工作。
最后,由于应用的需求,用户通常都倾向于尝试各种操作,而UTM安全设备的“黑盒子”设计限制了用户危险操作的可能,通过更少的操作过程,降低 了误操作隐患,从而提高了安全性。
市场催化剂和用户隐忧
UTM从诞生之日起就非常引人注目,当然,它并不是一个凭空而出的全新技术,准确地说,他本身就是一种安全技术的混合体。创造 UTM市场的是一些走在市场前沿的厂商,包括 Fortinet和Servgate,以及一些传统安全市场上的知名厂商,比如Symantec和 NetScreen(已被Juniper收购)。现在,已经有越来越多的厂商加入了 UTM行列,从网络领先厂商Cisco到新兴厂商NetworkD等等。
由于网络安全原有的高端市场面临饱和,而中小型企业网络安全预算难以负荷大规模的安全系统部署,但安全威胁却又是混合、整体的,单独买防火墙、 IDS/IPS、VPN、防病毒等等,投资大、网络复杂、维护成本高,而一台UTM设备就能够解决问题,还容易管理。因此,UTM这样价格相对低廉,功能 又比较齐全的整合性网络安全产品,成为安全厂商角力的重点,这同时也是中小企业以及大企业分支机构的主要产品需求。
根据IDC最近发布的 2005年6月全球安全设备跟踪季度报告所提供的数据,2005年第一季度, UTM安全设备市场发展迅速,与2004年第一季度相比营收增长超过123%,销售数量增长近190%。IDC 预测UTM 市场在短期内仍将会有大幅度的增长,并以年均16.8%的速度递进,到 2008 年时达到 34.5 亿美元。其中防火墙/VPN部分增长势头将持续到 2006 年,然后开始下降,总的来说,到这个预测期间结束时, UTM将成为市场的主流。
另外需要注意的是 ,IDC 预测市场将以“波浪形”的模式发展,2004~2005 年的增长速度加快,然后到 2006~2007 年将会下降,到 2008 年重新开始上升。这个预测同时考虑了新购买和以往设备更新替代的因素。在厂商发布新型号产品之前,市场将会增长缓慢;而当厂商发布新产品时,市场增长率会 提高。IDC 预计今后几年UTM市场将会按照这个模式趋势发展。
在这些乐观的市场分析背后,我们也会看到一些值得担心的问题,例如这些设备可能造成网络中的单故障点,而且其中的单个安全功能也许不是同类功能 产品中最好的。
据一次对来自至少拥有1千名雇员企业的653位IT经理的调查发现,尽管厂商为克服这些缺点付出了努力,但最终用户仍持怀疑态度。 Forrester Research未发表的研究报告显示,不足五分之一的人偏爱单台多功能安全设备,而大多数人喜欢多台单功能设备。
Forrester分析师Rob Whiteley说:“这并不代表需求的问题,而主要是由于一体化设备还不够成熟。目前出现在市场上的多功能设备,很多都没有处理一体化的足够能力。这种 不成熟所带来的故障和宕机,反而会使安全风险比原来更大。”
实际上,已经有用户因为上述原因,放弃了已经购买的一体化安全设备,Summit Information Systems公司网络经理就弃用了一台这样的设备。他说:“有一次我们在同一个平台上运行多个功能,一下就耗完了处理能力,我不得不减少功能来保持性 能。”该公司现在使用分离的防火墙、入侵检测和入侵防御平台。“这样做有点麻烦,但是是值得的。”
除了性能上的考虑,还有一部分企业的安全负责人认为,使用多个单独设备在安全上更可取,因为这些系统可以相互加强。比如路由器阻塞了某些端口, 防火墙被配置为阻塞同样的端口。这样外部进入公司的数据流至少要经过两种采用不同方式和互补规则的安全系统。虽然两种系统阻塞或开放的是同样的端口,但它 们是以不同的方式做这件工作的。
技术的脉络
当然,更多企业还是对于管理众多单独的安全系统倍感头痛,比如企业在同时部署防火墙、防毒、IDS就会发现,三种不同系统的控制接口难以操作, 整体控制界面也因此难以掌握,企业往往需要设定三台安全设备上,三套以上不同管理界面的软件,一旦遇到病毒或入侵事件,还要把记录导出来做交叉比对。
很多安全专家也认为,拥有更多的设备,会增加误配置的可能性,很明显,“当使用多台单功能设备时,人类犯错误的概率呈几何级数增加。”
虽然UTM设备在管理上有很强的优势,但另一个矛盾也随之而来,那就是,越来越集成化的产品,也使得单点故障所导致的可用性问题越来越突出,在 其他领域,这主要是设备更换的成本问题,但在安全领域却不同,集成化的多功能设备一旦瘫痪,整个网络都将毫无防备地暴露在危险之中,以目前蠕虫病毒、黑客 攻击的泛滥猖獗,这样不设防的信息系统可能在几分钟甚至更短的时间内就会遭到毁灭性的破坏。
安全专家建议,企业如果采用UTM设备负责整个网络的安全,最好配置为两个平台以热故障切换模式运行,如果一个平台发生故障,另一平台立即接手 承担处理任务。
这样做虽然增加了一些成本,但也带来了另一个好处,那就是更容易的排错:当一台设备出现故障之后,即使是一个非技术人员也可以很容易的用另外一 台设备替换它,使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。
从更加细化一些的技术层次来看,UTM结合了很多值得关注的先进技术。首先值得一提的是CCP,即完全性内容保护。
这种技术对OSI七层模型中描述的所有层次的内容进行处理,其有效性将大大超过目前通用的状态检测技术以及深度包检测技术。
为了实现CCP的强大能力,UTM设备通常对处理性能有着更高的要求,否则很容易出现前面提到的,在开启多个防护功能后,性能直线下降的问题。
此外,为了实现先更高的处理效率和更强健的防御性能,UTM在规则算法、模式识别语言等方面也需要一些特别的设计,这些都是对安全厂家研发实力 的考验。对此,记者也采访了一些正在相关领域进行研究的安全企业。
UTM在技术上第一个要面对的,就是构建统一的高性能硬件平台。那么这个平台是选用ASIC还是NP(Network Processor)?
天融信的技术人员认为,只有ASIC技术才能获得这样的性能保证,而且,随着网络安全环境的不断严峻和恶化,对于攻击和过滤处理要求不断提高, 对处理器性能的需求也是在不断增长,有些产品虽然目前能够暂时满足需求,但长远来看是难以为继的。天融信经过自研,于去年成功推出了基于ASIC技术的专 用安全处理硬件平台,目前也应用到了UTM安全设备上,取得了很好的效果。
启明星辰则认为,NP架构是现在国内防火墙高端产品中主流的安全技术。相对于传统的X86技术以及ASIC技术来说,它有着明显的优势。X86 技术主要适用于百兆网络,对于千兆网络,X86基本无法胜任;ASIC技术虽然具有性能高的优势,但是,由于其具有产品前期投入大、不能灵活满足用户需求 的缺点,这种技术不太适合现阶段的中国用户的需求。
虽然现在市场上有很多厂商都宣称,他们的UTM产品是综合安全网关,可以实现防火墙、防病毒等多种安全功能。但是,他们也不得不承认,在这些多 种安全功能中,防病毒功能的实现最困难,效果往往不理想。
防病毒功能之所以成为UTM的难点,是因为防病毒产品的核心部件有2个——防病毒引擎和病毒库。其中病毒库是需要经常,甚至每天更新的。这样, 病毒库的数据量往往会很大,作为网关级产品,其数据量本身就很庞大,为了确保流入的数据包是“干净”的,就需要对每个数据包进行打开、分析、检查,这是一 个较长的比对过程,一个数据包如此,个个数据包都如此,这样很容易把一台UTM设备拖垮。
针对这个问题,启明星辰的UTM产品则借助了启明星辰在IDS技术方面的多年积累,利用了它独到的“IPS协议还原技术”,巧妙地解决了这个难 题。而SonicWALL公司采用的是逐个包扫描深度包检测引擎专利技术(正在申请美国专利),无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵 的扫描和防护,消除了网关防病毒产品对同时下载的文件数目和文件的大小的严格限制,在网关防病毒技术上是一个突破。
下一步的方向
网络安全威胁已经由针对TCP/IP协议的漏洞的攻击,转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击。与之抗衡的主流安全防护技 术的发展也经历了第一代包过滤防火墙,第二代应用代理防火墙,第三代全状态检测防火墙和新兴的第四代深度包检测的UTM设备。与第三代全状态检测防火墙不 同的是,UTM设备不仅能在第三层、第四层检查TCP/IP协议和规则,而且能扫描应用层数据,实现网关防病毒、入侵防护、反间谍软件等等,同时随着 VoIP的发展,UTM设备应该能够支持VoIP协议。
关于UTM的发展方向,思科公司的喻超说:“性能的提升是一方面,这取决于硬件技术的发展。另外一个重要的方面是如何提高UTM的稳定性和防范 的有效性。各安全功能在同一个系统中工作,各功能之间是否能够保证完全的协调和稳定非常重要。另外,UTM的追求目标是所起到的防御效果可以达到或超出几 个独立安全设备一起工作的效果。”
SonicWALL公司的蔡永生认为,UTM设备的功能正在不断的升级。例如SonicWALL的产品就加入了反间谍软件,封堵Skype、 BT、eMule 等等。只要是应用层的安全威胁,UTM设备都要去防护。而Fortinet技术总监李宏凯则提到了UTM设备的逻辑关系分析,提升各功能间的关联性。
几个问题
1.UTM是否会成为网络中的单点故障?
这个问题是用户普遍关心的问题,因为用户不能忍受断网,所以当然也是厂商重点考虑的问题。以Fortinet产品为例,其技术总监李宏凯介绍 说,Fortinet的产品在软件设计上就采用了冗余方式,多进程相互监测,发现UTM设备出现了问题能够自动重起。用户还可以采用两台UTM设备做 HA(High Availability),但对于中小型用户,可能没有足够的投资。
为了避免可能发生的单点故障,Fortinet还提供了FortiBridge这样的穿透式设备(在断电时自动变为旁路式),它采用“失效开 放”架构。FortiBridge能够发送真实的包,通过监测协议来判断UTM设备的运行状态。如果发现UTM设备不能工作了,FortiBridge可 以把业务流量接管过来,维持网络畅通。
2.怎么解释UTM其中的单个安全功能也许不是同类功能中最好的这个问题?
思科公司的喻超认为,UTM强调的是集成管理、集成安全的能力。如果单独比较,单个功能可能不是同类功能中最好的,因为不需要是最好。但UTM 是全面的,它可以利用其他的部分来弥补。比如防火墙功能中的深度检测,在UTM中可能就不需要和独立的防火墙去完全比较,因为UTM内含的IPS的能力可 以弥补这方面的能力,可以超过独立防火墙在这方面的能力。
3.购买UTM设备到底能省多少钱?
要看具体配置和对功能的要求,像思科的ASA的价格跟用户选择的安全功能有关系,功能要求越多,相对来说性价比就越高。比如要防火墙、 IDS/IPS、VPN、防病毒软件,以前需要4种设备,现在一台就可以了,这样节省至少60%。但如果用户只需要防火墙和VPN,这样就不会便宜多少 了。
李宏凯算了一笔帐:传统百兆防火墙价格7~8万,再加上其他安全产品,总成本在30万左右。而购买UTM产品,价格在10万元左右。关键的是管 理成本的降低。
4.用户应该重点考察UTM设备的哪些功能?
一般UTM设备均以防火墙和防病毒为依托,因为这两个功能是用户必需的,在此基础上再增加其他功能。因此,用户应该重点考察UTM设备的防火 墙、防病毒功能和性能。
编看编想:“混合”配方的疗效
实际上,如果我们仔细观察黑客的攻击技术会发现,在近几年时间里,这些黑客技术本身并没有发生飞跃性的变化,依然是通过我们所熟知的恶意代码: 如蠕虫病毒、木马间谍等来探测和攻击系统漏洞。但致命的一点是,这些本来可以防御的安全威胁在混合到一起时,就让现有的很多安全系统左支右拙,难以应付。
这就像把几种不同的毒药混合到一起一样,即使你了解并掌握其中每一种毒药的毒性和解救办法,但当他们混合在一起时,却会让你束手无策。
混合式的攻击最基本的威胁就在于,它经过黑客的特殊设计和精心安排之后,可以分别绕过现有的安全节点,如独立的 VPN、防火墙和防病毒产品,从而攻破单点型的安全方案。
对于大多数中小企业来说,购买众多的安全产品并进行有效整合,然后再配备专业人员来管理,从成本上是不现实的,这是UTM受到青睐的原因,但问 题是,这种“混合型”并且大规模生产的“配方”到底能够在多大程度上解决现有的问题。
至少从目前的情况来看,不少用户对其仍持有怀疑的态度,虽然集成化的产品相对方便,人们不必在为不同的需求再去寻找相应的设备,而且在价格相差 不多的情况下,大多数用户都期望能够获得尽可能多的功能,但性能和单点故障的问题仍然让人担忧。客户不希望自己的网络可能会因为某个设备的故障而变得完全 不设防。
即使这些问题随着技术的发展被解决了,还有一个难点,那就是安全的威胁在向着具体的应用深入,大规模生产并部署的UTM设备怎样才能适应不同用 户不同的特性需求,并在越来越多厂商的竞争下,不会陷入价格战的泥潭,这也是UTM市场未来必需要面对的问题。
未经允许不得转载:DOIT » 统一威胁管理:等待成熟的青苹果
