統(tǒng)一威脅管理(Unified Threat Management),2004年9月,IDC首度提出“統(tǒng)一威脅管理”的概念,即將防病毒、入侵檢測和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management,簡稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中,該概念引起了業(yè)界的廣泛重視,并推動了以整合式安全設(shè)備為代表的市場細(xì)分的誕生。由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項或多項安全功能,將多種安全特性集成于一個硬設(shè)備里,構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。從這個定義上來看,IDC既提出了UTM產(chǎn)品的具體形態(tài),又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看,眾多安全廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備等產(chǎn)品都可被劃歸到UTM產(chǎn)品的范疇;而從后半部分來看,UTM的概念還體現(xiàn)出在信息產(chǎn)業(yè)經(jīng)過多年發(fā)展之后,對安全體系的整體認(rèn)識和深刻理解。 目前,UTM常定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設(shè)備里,形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。
雖然UTM集成了多種功能,但卻不一定要同時開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模,UTM產(chǎn)品分為不同的級別。也就是說,如果用戶需要同時開啟多項功能,則需要配置性能比較高、功能比較豐富的產(chǎn)品。
基本特點
1.建一個更高,更強,更可靠的墻,除了傳統(tǒng)的訪問控制之外,防火墻還應(yīng)該對防垃圾郵件,拒絕服務(wù),黑客攻擊等這樣的一些外部的威脅起到綜檢測網(wǎng)絡(luò)全協(xié)議層防御。真正的安全不能只停留在底層,我們需要構(gòu)成治理的效果,能實現(xiàn)七層協(xié)議保護,而不僅僅局限與二到四層。
2.要有高檢測技術(shù)來降低誤報。作為一個串聯(lián)接入的網(wǎng)關(guān)設(shè)備,一旦誤報過高,對用戶來說是一個災(zāi)難性的后果,IPS就是一個典型例子。采用高技術(shù)門檻的分類檢測技術(shù)可以大幅度降低誤報率,因此,針對不同的攻擊,應(yīng)采取不同的檢測技術(shù)有效整合可以顯著降低誤報率。
3.要有高可靠,高性能的硬件平臺支撐。對于UTM時代的防火墻,在保障網(wǎng)絡(luò)安全的同時,也不能成為網(wǎng)絡(luò)應(yīng)用的瓶頸,防火墻/UTM必須以高性能,高可靠性的專用芯片及專用硬件平臺為支撐,以避免UTM設(shè)備在復(fù)雜的環(huán)境下其可靠性和性能不佳帶來的對用戶核心業(yè)務(wù)正常運行的威脅。
在應(yīng)用安全網(wǎng)關(guān)產(chǎn)品的投標(biāo)中,往往可以看到UTM,上網(wǎng)行為管理,防病毒網(wǎng)關(guān),Web安全網(wǎng)關(guān)這幾類的產(chǎn)品。一個企業(yè)的公開招標(biāo),可以看到有至少10家不同類型的廠商參與投標(biāo)。用戶會產(chǎn)生很大的困惑,究竟什么樣的產(chǎn)品才是最符合需求呢?在下面的內(nèi)容里,將從網(wǎng)絡(luò)安全的發(fā)展角度、用戶的需求偏重點、功能、性能等幾個方面做具體的探討。
下面,將從網(wǎng)絡(luò)安全的發(fā)展角度分析這幾種網(wǎng)關(guān)產(chǎn)品的由來以及發(fā)展趨勢。
各種網(wǎng)關(guān)產(chǎn)品的由來及發(fā)展趨勢
如果說路由器實現(xiàn)了企業(yè)內(nèi)部網(wǎng)與Internet的互聯(lián)互通,那么網(wǎng)絡(luò)層防火墻就是企業(yè)內(nèi)部網(wǎng)與Internet互聯(lián)互通上的過濾崗哨,它根據(jù)數(shù)據(jù)包的性質(zhì)(數(shù)據(jù)包的性質(zhì)有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。)進行包過濾,主要發(fā)揮在網(wǎng)絡(luò)層的訪問控制保障作用。網(wǎng)絡(luò)層防火墻在20世紀(jì)90年代推向市場,設(shè)計策略遵循安全防范的基本原則是“除非明確允許,否則就禁止”。為了實現(xiàn)企業(yè)內(nèi)部網(wǎng)與Internet的互聯(lián)互通,以滿足企業(yè)基本Internet應(yīng)用的需求,通常網(wǎng)絡(luò)層防火墻對外開放了80、443、25、110和21等http、https、smtp、pop3和FTP這幾種協(xié)議常用的標(biāo)準(zhǔn)端口。
然而,如今隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,80、443、25、110和21端口不再僅僅是常用的http、https、smtp、pop3和FTP等應(yīng)用協(xié)議使用的專利,越來越多的應(yīng)用可以自動掃描防火墻的開放端口進行通信,例如IM、P2P、流媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股等Internet應(yīng)用,同時網(wǎng)絡(luò)威脅的散布與攻擊技術(shù)也不再限于網(wǎng)絡(luò)層,而上升到基于http、https、smtp、pop3和FTP等應(yīng)用協(xié)議的數(shù)據(jù)包中。這樣一來傳統(tǒng)網(wǎng)絡(luò)層防火墻基于數(shù)據(jù)包性質(zhì)的過濾規(guī)則,就沒法檢測數(shù)據(jù)包的內(nèi)容,也就無法分析檢測過濾出其中的網(wǎng)絡(luò)應(yīng)用威脅。
于是為了防御網(wǎng)絡(luò)層防火墻通常所開放的這5個常用Internet應(yīng)用協(xié)議所帶來的網(wǎng)絡(luò)威脅,像木馬、病毒、間諜軟件等,出現(xiàn)了防病毒網(wǎng)關(guān)(這是國內(nèi)的叫法,國外叫Anti-malware網(wǎng)關(guān))。同時出現(xiàn)的還有上網(wǎng)行為管理產(chǎn)品,對IM,P2P,流媒體,網(wǎng)絡(luò)游戲,網(wǎng)絡(luò)炒股、web2.0站點等加以管控,他的強項在于對于網(wǎng)絡(luò)應(yīng)用的管理,而并非防御網(wǎng)絡(luò)應(yīng)用威脅。Web安全網(wǎng)關(guān)最早出現(xiàn)是在防病毒網(wǎng)關(guān)的基礎(chǔ)上增加了對URL的分類過濾,主要實現(xiàn)對http、https、FTP、SMTP、POP3等應(yīng)用協(xié)議的安全與web內(nèi)容的過濾管控。隨著Internet應(yīng)用技術(shù)的發(fā)展變化,為了實現(xiàn)全面的Internet應(yīng)用安全與管理,web安全網(wǎng)關(guān)在防病毒的基礎(chǔ)上又集成了應(yīng)用控制、帶寬管理等上網(wǎng)行為管理類產(chǎn)品的大部分功能。除了上面應(yīng)用層的網(wǎng)關(guān)廠商,傳統(tǒng)的防火墻廠商也在拓展其功能。在傳統(tǒng)的網(wǎng)絡(luò)層訪問控制的基礎(chǔ)上增加了網(wǎng)絡(luò)應(yīng)用的識別與管控,具有了應(yīng)用控制、帶寬管理甚至URL過濾等功能,叫法也變成了應(yīng)用防火墻。功能最全面的應(yīng)用網(wǎng)關(guān)是UTM,它包括網(wǎng)絡(luò)層防火墻、垃圾郵件過濾、IPS、防病毒,URL過濾、應(yīng)用控制和帶寬管理等一系列的功能。