科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>ZD评测>在独立系统上开发UTM已经成为趋势

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如今市面上有适用于各种规模网络的UTM产品。虽然它们主要与中小企业有关,但销售的产品涵盖面很广,既面向规模非常小的网络,又面向规模非常大的分散组织。分布式企业会希望部署多个UTM产品,而这意味着管理上面临问题。

来源:PCHome 2008年06月03日

关键字:UTM 防火墙 统一威胁管理

统一威胁管理(UTM)的产生

设想一下通过机场安检的流程:你走上前去,工作人员仔细检查你的登机卡和证件。一旦对方挥手示意通行,你马上会被手持金属探测器的保安人员拦下来。要是顺利通过扫描,你还没走几步,前面又出现了行李检查线。接下来,你得排队等保安搜查别人的行李。

数据包进入严加保护的网络时接受的流程就像上面这一幕。越来越多的安全系统在检查流量,查找未授权访问、恶意软件、攻击、数据泄漏、垃圾邮件及更多不良现象,所以要进行大量的证书检查和审阅——为此,许多公司把大笔费用花在了多个安全设备上。而统一威胁管理(UTM)这种想法就是用一种多功能产品取代所有这些检查和搜寻,以便直接完成所需的流程。

如今市面上有适用于各种规模网络的UTM产品。虽然它们主要与中小企业有关,但销售的产品涵盖面很广,既面向规模非常小的网络,又面向规模非常大的分散组织。分布式企业会希望部署多个UTM产品,而这意味着管理上面临问题。

幸好,大多数厂商支持的平台可以管理分布广泛的UTM设备网络;还可以集成到现有的安全套件中。安全领域的老牌大公司把UTM设备集成到了各自的整个产品组合当中,其中包括Check Point Software、思科、IBM和Juniper Networks等公司,这并不奇怪;我们也惊喜地看到,并不拥有大型综合安全套件的一些厂商也在确保满足多个设备管理和安全技术集成的要求,包括Astaro、Cyberoam、Fortinet、Secure Computing、SonicWall和ZyXel等公司。

说到成本,UTM市场值得关注的一个方面就是,许多设备内部集成了开源组件。这种方法带来了许多成本较低的设备,有利于促进竞争,受益的显然是消费者。不过另一方面,你需要关注GPL许可证方面的变化。

统一管理的利与弊

把安全功能集成到单一设备,这有许多明显的优势:降低成本、合并报告、一致的界面、简化网络架构以及易于管理。实际上,这些趋势也在推动端点安全套件市场进行合并。在桌面上,反病毒产品已成为大众化产品,厂商在围绕该产品不断添加其他功能;而在网络上,防火墙有着这样的地位。

还有不大明显的好处:就拿绿色计算潮流来说,合并并非只能借助虚拟化技术才能实现。通过统一威胁管理来减少安全设备的数量,这是节省大笔电费的另一条途径。对这个领域较成熟的产品而言,UTM确实提供了增效作用。比方说,反病毒模块、反垃圾邮件模块和内容过滤模块可能都在共享同一个已知不良URL的数据库,每个模块会以适当方式使用该数据库。Fortinet公司则把这种集成方法发挥到了极致:它的整个平台完全围绕UTM而设计。该公司维护自己的所有模块和特征数据库,这在UTM产品当中是很少见的。

当然,把所有安全功能都集成起来确实也存在弊端。任何一款UTM产品不可能做到每个部分的功能都是同类中最佳。比方说,除了Check Point、IBM和Juniper外——它们的UTM设备集成了各自顶尖的入侵预防系统(IPS)的技术,大多数UTM的IPS功能就特性和检测及预防深度而言,比不上独立的入侵预防系统。一些反病毒和反垃圾邮件功能也是如此。

另外还有厂商的营销宣传。新买的笔记本电脑其电池使用时间从来不像厂商承诺的那么长久。以UTM为例,你在与厂商代表进行会谈时,有必要持怀疑态度。厂商拿安全产品的单独评估宣传耗用带宽有多低,其实这种带宽很难量化;如果设备使用了五六个或者更多不同的分析模块,预计在实际网络条件下,而且所有模块都开启,实际性能会与厂商宣传的数字会有很大不同。正是由于这个原因,许多产品采用了硬件加速功能;但要是你不在自己的网络上试一下开启所需选项的产品,就无法确切知道它能否经得起实际考验。

另一个潜在陷阱就是安全功能统一放到一个地方的概念,这为网络网关保护带来了单一故障点;而且目前出现了这样的动向:分布安全而不是合并安全,以便提高安全效果。

开源之争

有些UTM产品一开始就结合了一系列开源技术——比如Snort拿来用于入侵检测与预防系统、ClamAV用于反病毒、IPTables/Netfilter用于防火墙,这样就有了UTM所需的全部必要组件。加上一点粘合剂、界面和报告机制,就可以拿到市场上去卖了。

SmoothWall公司卖的就是这种产品,并且对这一事实毫不讳言。连其接口也采用了开源,可以免费获取。顾客自然从中得益。SmoothGuard 1000的价格只有可以保护同样规模网络的竞争产品的三分之一到一半,只要5000美元,就能保护多达1000个节点。相比之下,Check Point公司可保护1000个节点的产品价格高达15500美元。Astaro公司也坦率地承认,其UTM产品(起价1200美元)的引导区使用了开源,不过它声称这是同类中最佳的总体方案,还提到最近由开源的Squid HTTP代理系统改为内部开发的代理系统。

有些厂商瞧不起基于开源技术的竞争产品,但开源软件与专有代码本来就没有孰好孰坏之说,这是不争事实。确实,对资源有限、在努力实施一体化UTM方案的任何一家公司而言,明智之举就是,根据风险评估得出的结论,把财力资源投入到最需要专有软件的地方;必要地方用开源软件作为补充。

不过,你在决定选择开源还是专有的统一威胁管理方案时,需要注意几个问题。首先,许可证的变化可能会影响将来的版本。比方说,Tenable Network Securit公司把其知名Nessus漏洞扫描器的版本从2.0迁移到3.0时,改变了许可条款;不过值得一提的是,之所以可能会这样,完全是因为3.0版本的所有(或者说几乎所有)开发工作都是由Tenable雇用的编程人员完成的。而之前版本的许可证不可以取消。

另一个问题就是GPL衍生作品(derivative works)条款。大部分的最初解释是,基于编译版的应用程序接口开发的程序不能被看成是衍生程序。换句话说,只要原来的应用程序没有被改动过,那么如果拿来Snort,在配置、管理和输出数据外面封装Web接口,这就不能算是衍生程序,结果整个应用程序需要获得GPL许可。不过,不是所有的开源作者都恪守这种惯例。如今,Nmap和Snort明确要求:使用其程序后可能会影响UTM厂商的任何应用程序都要事先获得许可,比如添加源文件或者数据文件,或者用安装程序来封装。

我们采访的UTM厂商通常使用Snort,不过只有Astaro在Sourcefire的网站上被列为集成商。其他公司可能有的打算不使用3.0系列的产品,有的与Sourcefire签订了专有许可协议。Sourcefire不愿表明谁获得了哪些内容的许可方面的详情。

站稳脚跟

IDC公司的分析师Charles Kolodgy在2004年首次提出“统一威胁管理安全设备”这个术语时,与其说是他引入了一类新的产品,还不如说是宣布了一股潮流。当时防火墙在添加各种功能,而Kolodgy最初给出的UTM定义要求产品把防火墙、入侵检测与预防以及反病毒扫描等功能集成到单一设备中。如今的UTM产品包括诸如此类的众多功能。概要如下:

·防火墙:这种应用广泛的安全产品近来渐渐失宠。不过在真正的默认拒绝部署环境下,防火墙仍是一项可靠的安全措施;而UTM设备源于防火墙的事实表明了其合适的部署模式:你只要对网络非常了解,知道把防火墙部署在网络上的哪个部位比较好,那么这个部位可能也适合部署其他安全特性及功能。另外,防火墙厂商们没有止步不前。在最新一代的防火墙理念当中,一度应用于开放系统互连(OSI)网络模型第1层到第3层的概念如今针对这个模型的全部7层,允许规则应用于数据和应用程序,不管使用哪个端口或者哪种协议。

·入侵检测与预防系统:虽然入侵检测系统(IDS)和入侵预防系统(IPS)背后的理念有着细微差异——或者说,本该如此,但它们较之传统防火墙的作用主要在于能够查看数据包内部,而不是只是根据数据包头来做出安全决策。遗憾的是,IPS代表了默认允许机制:制订的规则旨在阻止各种攻击、漏洞或者其他可疑行为,之外的各种流量却可以长驱直入。

虽然通常来说,IPS经过合理调整后,可以减少大部分恶意流量,但IDS/IPS厂商们很难跟上从服务器攻击到客户机端漏洞的转变。网络网关入侵预防系统存在视角问题:很难发现不是针对网络套接字(network socket)的攻击。比方说,浏览器插件漏洞可以在加密的JavaScript代码里面发送;而JavaScript代码采用在SSL事务里面进行加密的HTTP内容编码来进行压缩。要是端点上没有运行相关软件,或者缺乏完美模拟端点的完备功能——这又是网络IPS缺乏的功能,IPS就没有任何可靠办法来阻止这种攻击。

·反病毒:最初的UTM定义包括网关反病毒功能,这通常意味着SMTP和HTTP扫描。有些产品把保护对象扩大到了对等协议、文件传输协议或者聊天客户软件。最近出现的UTM产品没有单纯的反病毒功能;相反,把反间谍软件、反垃圾邮件和反恶意软件等功能都包括在内。最新技术利用行为扫描来对传输文件进行检查,从而识别潜在威胁,而不是依靠静态指纹数据库。当然,不管扫描是基于行为还是基于特征,它们仍都采用默认允许策略。

随着市场不断发展,除了这“三大功能”外,UTM产品还新添了诸多功能,包括:

·网络基础设施功能:考虑到UTM背后的理念以及已经流行的这一趋势:把虚拟专用网(VPN)等其他网络功能集成到防火墙产品里面,许多UTM设备也就成了完全实用的一体化网络基础设施(network-infrastructures-in-a-box)。它们可能包括网络地址转换(NAT)、服务质量或者VPN之类的功能。UTM产品中的VPN功能不但包括SSL或者其他客户机/服务器VPN技术——这些技术让远程员工可以访问公司内部的资源,还包括站点到站点VPN技术。

·内容过滤:内容过滤常常与通过URL黑名单服务(这是需要订购许可证才能更新的诸多UTM特性当中的一项)的Web内容过滤有关,经常被厂商吹嘘成能够提高生产力。当然,高明的用户几乎总是能找到办法来访问他们想要查看的内容。

·数据泄漏预防:数据泄漏预防(DLP)产品在过去这几年一直很流行。预计它们会继续合并到传统的UTM产品当中。如今,许多产品拥有一些简单的数据泄漏预防机制,如电子邮件关键字过滤或者阻止电子邮件中的附件,但IBM的Proventia产品线领先一步,声称拥有一整套完备的DLP功能。

·网络访问控制:虽然即便不与其他众多功能结合在一起,网络访问控制(NAC)或者网络准入控制(取决于销售厂商)的概念也很难定义,但它对下面这种产品来说很有必要:在网络上处理与安全有关的各项工作,从而控制访问、执行端点安全策略,或者与其他NAC系统集成起来。SonicWall公司的强制反病毒检查就是证明厂商往这个方向迈出了一小步的例子。

·基于身份的访问控制:对网络网关产品而言,基于身份的访问控制(IBAC)是另一项比较新的安全技术。自计算机问世以来,操作系统、应用程序及其他设备就在采用授权和验证思想。不过,把这种思想运用到网络网关的IBAC还是比较新的一种方法。Cyberoam公司把这种基于身份的保护技术作为其UTM产品线的一项基本功能。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题