美国著名的IDC机构于2004年9月和10月发表了两篇报告,介绍统一威胁管理系统(Unified Threat Management, 简称UTM )。 报告提出将防病毒、入侵检测和防火墙合一的安全设备命名为统一威胁管理系统, 并指出UTM 技术正引领安全行业的潮流。本文对统一威胁管理系统理念的由来、系统功能、基础技术和发展趋势作一综合介绍。
一、UTM理念创建的由来
统一威胁管理(UTM)安全设备的定义是指一体化安全设备, 它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。 但这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM理念从何而来? UTM的雏形是将网关防病毒与防火墙结合。萌发这一设计概念源自对未来五年网络安全和内容安全发展趋势的判断和预测。回顾今年2月本人在硅谷访问Fortinet总裁Ken Xie 时,谈到创建公司初衷时他认为,企业的活力来自市场和用户的需求。网络安全领域变化很快,病毒、垃圾邮件等混合型攻击方式的出现验证了五年前创业时的构想,当时就是要建立全新的体系结构,使防病毒与防火墙相结合,迎接新一代攻击的挑战。
新一代攻击的特点体现在以下几方面:一是混合型攻击,多种攻击方式的混合-—如病毒、蠕虫、木马和后门攻击,通过Email和被感染的网站发出,并很快地传递散播产生攻击的变种,使得安全设备必须对付已知或未知的攻击;二是新漏洞的攻击产生速度快,安全设施需要防范各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的攻击;三是伴随社会工程陷阱元素的攻击层出不穷,间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等目不瑕接,防不胜防,攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。
病毒和蠕虫攻击隐藏在大量的网页和邮件中,已成为当前网络攻击的常用手段。基于内容的攻击令传统的防火墙不能抵御,需要引入新一代的防火墙技术。把内容处理和防病毒功能结合贯穿到单纯的防火墙中,已代表一种发展趋势。基于这种创新的理念,新型的防病毒内容过滤防火墙就此应运而生。
为了对付混合威胁,满足中小企业对防火墙、IDS、VPN、反病毒等集中管理的需求,一些厂商将这些技术整合进一个盒子里,设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界,也就是位于局域网(LAN)和广域网(WAN)之间,子网与子网交界处, 或专用网与公有网交界处,同时也可被设置于企业内网和服务供应商之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体,VPN通常也集成在内。
在过去的五年中,这样的“黑盒子”曾从不同侧面有过五六种不同的叫法。 例如, “网络防御网关”(Network Prevention Gateway -NPG )是指定位在企业网络系统边界处进行防御的专用硬件安全设备,它可以是基于硬件体系的、具有防病毒功能, 兼有VPN、防火墙、入侵检测功能的网络防护网关;有一段时间曾流行简称为“All in One” ,即多种功能包含在一个盒子里,成为一体化集成安全设备;后来又掀起称呼“病毒防火墙 AV Firewall”, 重点突出在防火墙中融入防病毒的功能,或者“防毒墙”;“综合网关 Gateway”则强调其综合性;而“网络安全平台 Network Security Platform”的叫法较为广义,仍沿用至今,因为网络安全设备实际上是一个平台,可将多个安全功能集成在内;“七层防火墙 Seven Layer Firewall” 迎合众多用户的心理要求,表示不仅网络层而且升入到应用层的防护。
图1 统一威胁管理的基本功能示意图
二、UTM的基本内涵
1、防火墙
UTM与传统的防火墙有哪些本质区别呢? 区别主要体现在以下几方面:
(1)防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能,而且它还决定了防病毒、入侵检测、VPN 等功能是否开启以及它们的工作模式。通过防火墙的策略可以实现各种功能的更好的融合。
(2)从整个系统角度讲,UTM防火墙要实现的不仅仅是网络访问的控制,而且实现数据包的识别与转发,例如HTTP, Mail等协议的识别与转发相应的模块进行处理,从而减轻其他模块对数据处理的工作量,提高了系统性能和效率。
(3)UTM防火墙能植入很多更高的新功能,例如虚拟域、动态路由、多播路由,它支持各种新技术,例如 VoIP、H.323、SIP、IM、P2P等,起点更高 |