utm安全设备的定义是指一体化安全设备, 它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能,但这几项功能并不一定要同时得到使用,不过它们应该是utm设备自身固有的功能。
然而,人们总是会用看防火墙的眼光来看utm,有时候,甚至一些厂商在投标过程中,为了迎合标书,也将utm作为防火墙去投标。水,越搅越浑,面对事关信息系统安全的设备,我们需要有一双清澈的眼睛。
utm族谱
为了对付混合威胁,满足中小企业对防火墙、ids、vpn、反病毒等集中管理的需求,一些厂商将这些技术整合进一个盒子里,设计出高性能的统一 威胁管理的设备。这样的设备一般安装在网络边界,也就是位于局域网(lan)和广域网(wan)之间,子网与子网交界处, 或专用网与公有网交界处,同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体,vpn通常也 集成在内。这种盒子就是utm的雏形。
在过去的五年中,这样的黑盒子从不同侧面有过五六种不同的叫法。例如,网络防御网关(network prevention gateway-npg)是指定位在企业网络系统边界处进行防御的专用硬件安全设备。它可以是基于硬件体系的,具有防病毒功能,兼有vpn、防火墙、入侵 检测功能的网络防护网关。有一段时间,曾流行简称之为all in one,即多种功能包含在一个盒子里,成为一体化集成安全设备。后来,又掀起病毒防火墙av firewall的称呼,重点突出在防火墙中融入防病毒功能,或者叫防毒墙。综合网关 gateway则强调其综合性。而网络安全平台 network security platform的叫法较为广义,仍沿用至今,因为网络安全设备实际上是一个平台,可将多个安全功能集成在内。七层防火墙 seven layer firewall迎合众多用户的心理要求,表示不仅要防护网络层,而且深入到应用层的防护。
统一威胁管理的基本功能示意图
pk传统防火墙
utm与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面。
其一,防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发tcp/ip包。utm中的防火墙在工作中不 仅仅实现了传统的状态检测包过滤功能,而且还决定了防病毒、入侵检测、vpn等功能是否开启以及它们的工作模式。通过防火墙的策略,各种功能可以实现更好 的融合。
其二,从整个系统角度讲,utm防火墙要实现的不仅仅是网络访问的控制,同时也要实现数据包的识别与转发,例如http、mail等协议的识别与转发,对相应的模块进行处理, 从而减轻其他模块对数据处理的工作量,提高系统性能和效率。
其三,utm防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持各种新技术,例如voip、h.323、sip、im和p2p等,起点高,应用前景更广,适应性更强。
其四,从utm的操作界面上,用户就可以清楚地看出,utm防火墙策略有很多种选择,宛如在一个网络门户大平台上,植入内容丰富的机制,层次分明、操作简单、同时又灵活实用。随着策略的设置,网络的防护也随之展开星罗密布的安全哨卡。
同时,utm的网关型防病毒与主机型防病毒不同。网关型防病毒作为安全网关,必须关闭脆弱窗口,在网络的边界处阻挡病毒蠕虫入侵网络,保护内部 的网络安全。要做到这点,网关必须能够扫描邮件和web内容,在病毒到达内部网络时进行清除。
utm与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面。
其一,防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发tcp/ip包。utm中的防火墙在工作中不 仅仅实现了传统的状态检测包过滤功能,而且还决定了防病毒、入侵检测、vpn等功能是否开启以及它们的工作模式。通过防火墙的策略,各种功能可以实现更好 的融合。
其二,从整个系统角度讲,utm防火墙要实现的不仅仅是网络访问的控制,同时也要实现数据包的识别与转发,例如http、mail等协议的识别与转发,对相应的模块进行处理, 从而减轻其他模块对数据处理的工作量,提高系统性能和效率。
其三,utm防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持各种新技术,例如voip、h.323、sip、im和p2p等,起点高,应用前景更广,适应性更强。
其四,从utm的操作界面上,用户就可以清楚地看出,utm防火墙策略有很多种选择,宛如在一个网络门户大平台上,植入内容丰富的机制,层次分明、操作简单、同时又灵活实用。随着策略的设置,网络的防护也随之展开星罗密布的安全哨卡。
同时,utm的网关型防病毒与主机型防病毒不同。网关型防病毒作为安全网关,必须关闭脆弱窗口,在网络的边界处阻挡病毒蠕虫入侵网络,保护内部 的网络安全。要做到这点,网关必须能够扫描邮件和web内容,在病毒到达内部网络时进行清除。病毒和蠕虫防御功能要求能够百分之百检测、消除感染现有网络 的病毒和蠕虫,实时地扫描输入和输出邮件及其附件,支持http、smtp、pop3、imap和ftp协议,实现高速度扫描技术。安全网关还要包括反间 谍插件,对流行的灰色软件予以识别和阻断,同时,能够消除vpn隧道的病毒和蠕虫,阻止远程用户及合作伙伴的病毒传播,病毒特征库则可以在网上在线自动更 新。
不同点:ngfw与utm最大的不同在于处理机制上,utm是在防火墙平台上发展起来的,这种架构注定入侵防御、病毒防护等各个功能是简单叠加的,数据包需要逐个通过各个检测引擎,每通过一个引擎性能将下降一大截,全部开启后,性能仅剩余10%左右,很多时候无法满足实际需求,因此我们看到很多utm产品至今仍停留在概念阶段。ngfw最大的不同,是将所有威胁检测功能融合在了一个引擎里,数据包只需要通过一个引擎,就可以完成所有威胁的检测,这样的改变带来了几点价值:1)提升了检测效率,性能增强,所有功能全开启的情况下性能同样能够支撑大流量;2)ngfw各功能模块间的融合意味着相互之间可以联动,这意味着ngfw不再像utm那样割裂的看待某一个攻击,而是可以关联的看到整个攻击过程的全貌。另外,在安全防御理念上,ngfw倡导主动防御的概念,对应对未知威胁有较大的提升。
第一,从架构看,ngfw采用集成化、单引擎:ngfw将应用层安全检测模块统一到一个检测引擎,各个功能模块还可以形成联动。 虽然utm也提供多种安全功能的单一设备,也包含第一代防火墙和ips功能,但它只是把多种安全引擎叠加在了一起,这会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。
第二,性能更强,管理更高效:传统utm在功能叠加上无法实现应用高效,在管理控制上也有不足之处。一些utm设备有很多功能,如:防火墙、上网行为、应用识别、ips等,但这仅仅是各种功能的堆叠,当这些功能全开时,性能会大打折扣。下一代防火墙采用一体化引擎,可一次性对数据流完成识别、扫描,达到更高的性能,通过融合,还可让管理者更加轻松。如,德国一家企业用了3000台下一代防火墙,却只需2个网管人员,这是因为它有一个集中设备管理器,以此可以高效低监控所有设备。
第三,提供更全面的l2-l7层攻击防护,适应不同规模的企业:utm适合在分支办事机构中节省费用,适用于较小的公司,但很难满足大型企业需要。而ngfw不仅对web攻击、漏洞攻击、病毒木马等类型的应用层攻击有很好的防护效果,还能对服务器或终端外发的流量进行检查。。
高级检测技术。贯穿于utm整体的一条主线实际是高级检测技术。先进的完全内容检测技术(cci)能够扫描和检测整个osi堆栈模型中最 新的安全威胁,与其它单纯检查包头或深度包检测的安全技术不同,cci技术重组文件和会话信息,可以提供强大的扫描和检测能力。只有通过重组,一些最 复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟,utm使用asic芯片来为特征扫描、加密/解密和ssl等功能提供硬件加速。