2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理(Unified Threat Management,简称UTM)这一新类别。自此之后,国内市场上打着UTM旗号的安全产品如雨后春笋般不断涌现。UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全功能都可以很好的协同。同时,很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。另外,诸如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等其他特性,也逐步加入了UTM产品中。市场要求UTM产品的功能不仅仅要具备十八种“安全”武艺,还要样样精通。
从目前的市场需求来看,国内中小企业对安全产品的要求非常明显:成本低、功能丰富、维护简单、易于管理等。因此UTM设备恰好可以满足。试想,如果你把防病毒网关、反垃圾邮件网关、内容过滤网关等,再加上路由器和防火墙这样的网关都塞给中小企业,就太复杂了,它们需要的就是一体化的网关设备。但市场上的UTM各家在实现上存在很大差异,用户究竟怎样选择呢?下面,我们就通过对UTM的市场需求情况、产品功能、产品性能、易用性、性价比等五方面的综合分析,来对UTM产品进行一个总结,帮助企业用户根据自己的实际需求情况选择的适合自己的产品。
市场需求情况——企业需要真正对网络安全进行综合整治的产品
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。尽管来自企业内部的安全威胁正在增长,但木马,蠕虫以及病毒仍旧是用户需要面对的最大的安全威胁,垃圾邮件和应用程序的漏洞也给用户网络造成的严重的影响。近些年以来,之所以整个网络安全状况日益严峻,是因为利用安全漏洞正在成为一项利益巨大的投资活动,而这种行为吸引了越来越多的有经验的黑客以及组织不断参与进来,这些人已经不再以破坏系统和网站为目的,相反他们更多地认识到偷取一些个人信息和公司数据并把它们卖出去可以获得非常可观的利润,于是,各种木马和垃圾邮件开始泛滥,恶意代码也更加流行起来。可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题,如何使复杂变成简单,成为网络管理人员的一个困惑。
新技术总是会带来人们工作方式的变革。伴随着UTM设备的到来,网络管理员因为这种集中化的管理工具逐渐放弃了传统分散式的安全解决方案,他们可以通过在网络中部署一台UTM来实现原来的防病毒、防火墙、反垃圾邮件、入侵检测、以及VPN管理等功能。从表面上来看,这种方法的确简化了安全管理,但是从目前已有的UTM产品来看,也存在一些产品忽略了用户真正最该关心的内容,把更多的重点单纯的放在了“整合”这个概念上,从而导致了一些基本的安全防护工作没有做到位,为网络安全带来了更难以察觉的安全隐患,同时,也有一些UTM产品在更多关注了安全问题的同时又忽略了一些其他方面的关键问题,例如:综合吞吐、系统管理、报表日志以及升级等。当IDC在2004年开始预测UTM
市场的时候,它为这些所谓的“全能工具”制定了一个标准。但是从那时开始,这些定义就开始被不同程度的实现出了很多不同的版本。随着时间的推移,对UTM产品认识的问题变得更加凸显。然而,究竟一款UTM产品应该把它关注的点放在那些地方,让我们通过一些统计结果来了结一下。
产品功能——病毒防护仍旧是UTM最应该关注的问题
据公安部公共信息网络安全监察局调查结果显示:我国2005年5月至2006年5月间发现的网络安全事件统计情况如下:
图1 我国2005年5月至2006年5月间发现的网络安全事件
其中,54%的被调查单位表示发生过信息网络安全事件,比去年上升5%;其中发生过3次以上的占22%,比去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%:“遭到端口扫描或网络攻击”(36%)和“垃圾邮件”(35%)次之。在发生的安全事件中,攻击或传播源来自外部的占50%,比去年下降7%;内外部均有的占34.5%,比去年上升10.5%。
由此可见,病毒、蠕虫和木马仍旧是给企业网络安全造成威胁的罪魁祸首,所以,整合归整合,UTM仍旧应该把病毒防护作为其最应该关注的问题。首先,我们来了解一下目前UTM产品普遍采用的2种防毒技术:一种是基于数据流的过滤,这种技术通常是用ASIC芯片来实现的,其实现方法与网络协议无关,只是把已知的病毒规则加入到UTM中,对接收到的数据包的内容进行强匹配,因此速度非常快,可以有效的在骨干网络上对当前最流行的病毒进行过滤,但缺点也很明显,这种设备通常比较“笨”,无法对其“不认识”的病毒或格式复杂的文件采取任何分析;另一种是基于文件的过滤,这种技术通常是在人们熟悉的X86平台上实现的,其实现方法是基于协议代理,通过协议识别把利用某种协议进行传输的数据重新组合起来,做文件还原,再进行病毒查杀,这种方法可以对压缩包、复合文档(OLE对象)、病毒的加壳变形甚至是未知病毒等进行有效的识别处理,适合用在Intranet出口保证企业内部网络安全,但由于其要对传输的文档进行缓存并扫描,其速度相对来说慢一些。所以,对于一些厂商鼓吹的ASIC架构的高性能,实际上是牺牲了病毒的识别率为代价的。甚至在中低端产品中ASIC厂商为了降低成本,其过滤性能还没有X86平台好,因此不能光听概念,应在实际环境中综合评估。
除了认识病毒识别的方法,接下来还应该关心一下UTM对病毒进行查杀的实际支持情况,主要考虑以下几个方面:支持的病毒种类与数量、病毒库的升级频率、支持的病毒过滤协议、VPN通道杀毒以及防病毒策略的配置方式等内容。目前来说,病毒总数已经达到40万以上,为了达到有效的病毒防护,病毒升级的频率应能够达到一天一次,另外,应支持对于网络中常用的应用协议,例如:HTTP、POP3、SMTP、FTP进行杀毒,较好的产品还支持IMAP、MSN等协议;对于病毒过滤策略配置的实现方式,一般应支持防火墙策略,允许用户指定接口与区域,以便实现针对性防毒。
下面来关注UTM的反垃圾邮件功能。同样,反垃圾邮件的实现方式也分成2种,一种是本地过滤,另一种是基于集中式过滤。本地过滤是目前许多产品采用的方式,所谓的本地是指管理员需要手动在本地计算机上添加反垃圾邮件规则,并对其不断的维护更新,这种方法管理成本高、消耗本地计算机资源还容易发生漏报;而集中式过滤,采用了分布式技术,在互联网上的所有检测服务器实时对邮件的发送行为进行监控,并互相同步,保证的规则的统一,因此过滤效果往往较好,另外,由于这种方法是基于邮件发送行为的,因此与邮件使用的语言无关,并且能够有效处理图片垃圾邮件的问题,这都是传统的本地过滤技术无法完成的任务,但这种方法也有自己的缺点,会对网络资源造成部分开销。
接下来了解IPS功能。这部分主要需要关注UTM的误报情况,因为中小企业的管理员通常没有精力来分析是误报,还是真的有攻击;另外还有了解打开后对性能的影响程序,以便选择性对主要安全威胁进行过滤。
除了对防病毒、防攻击以及反垃圾邮件这三个对用户网络安全造成影响最大的这三个方面之外,我们来了解一下UTM还应该关注的其他问题:
- VPN——网关上的配置要尽可能的简单,应该能够支持Windows的VPN客户端拨号程序,这样任何受信用户在任何地点都可以连接到企业内部网络;
- 内网管理能力——主要有MAC管理,能否自动学习到每个用户的机器名信息,便于做管理,机器名信息是否能自动带入其它模块;还要了解其流量控制与带宽管理的细节,是否能与用户相关,并且很方便的设置;最后还要了解一下,能否对应用进行管理,如IM、P2P、游戏软件、股票软件等。
- 日志管理能力——UTM应该提供本地病毒、垃圾邮件隔离、日志审计、统计报表,且无须再配其它软件或硬件来管理日志与报表。如果UTM无法对其管理的内容提供有效的报告,那么就显得没有任何意义了。所以,优秀的UTM设备都应该提供丰富直观的日志报告,有些内容甚至是实时提供的,这些内容使得网络管理员可以方便的监控网络的状态和安全状况。如果UTM可以提供足够的可扩展性和一个好的集中管理工具,报表界面应该能够提供绑定在UTM设备上的所有安全功能的信息。随着网络应用的不断增加,传统的文字型日志已经不能很好的满足管理的需求,如果不进行特殊的处理,管理员很难从日志中直接发现他们感兴趣的内容。因此,现在很多的UTM都提供了图形日志界面,这使得监管网络变得更加容易。除了用文字记录日常的数据报告,控制台还应该提供哪些应该提醒管理员注意的“头条”项目。
- 集中管理与联动功能——优秀的UTM应该提供集中管理功能,不少UTM还能与网络中的杀毒软件网络版进行联动,阻止有安全隐患的计算机上网,并发送管理员报警,让管理很容易发现网内的安全短板,以便及时解决。在UTM的领域里,集中管理可以帮助管理员对网络有一个全景的掌握。另外,这种集中管理的方式可以充分兼容于原有的分散式的解决方案,在一个位置对网络中的所有设备进行管理,这与当今强调的可扩展性和灵活性是一致的,这样,那些新的设备和老的设备,UTM提供的功能以及UTM没有的功能,都可以通过集中管理联系起来,统一在UTM管理之下。除此之外,集中管理还有其他的好处。当发现问题时,集中化的管理提供了更快的响应时间和对问题更完整的可视性,它为跨越距离管理安全提供了更多的可能性,网络管理员不仅可以集中管理同一个局域网内的设备,他甚至可以跨越很多个站点来管理远程安全设备,这对于没有足够资金在每一个远程站点上部署专门的安全人员的中型公司来说,是非常经济的。
- 系统升级功能——在过去,UTM设备捆绑的很多安全组并不一定都能够自动升级,因此管理员只能一一手动进行更新,对于维护来说,这是一项很让人头疼的事情。有的UTM甚至就没有提供升级功能,用户还需要另行购买用来处理升级的程序。而现如今,UTM几乎都提供了专业的升级功能,它可以自动下载各种组件需要的最新的签名,并且管理员可以只通过单击一个按钮来完成整个操作。并且,有些新型的设备还支持升级包的自动分发功能,可以保证处在企业内部计算环境中每一个角落的设备都能够获得自动更新,在很大程度上简化了管理员的日常工作。
产品性能——传统的防火墙指标不能全面评估UTM的实际工作状况
目前,防火墙已经具有较为完善的测试标准和测试结果了,例如:每秒新增、最大并发、各种包的吞吐情况、特定压力下的情况等。但这往往只是60秒的数据,且是无规则情况下的,然而在实际的网络环境中,肯定会有规则,并且会长时间不间断地运营,因此获得的性能数据肯定会打折扣。防火墙的最大并发上百万已经很常见了,应用层的并发是否也需要这么大呢?其实防火墙的最大并发,主要是在维护包过滤的状态信息,时窗往往达到5分钟,因此需要很大的并发值。但对于应用层过滤,主要看所采用的技术是代理还是流过滤。如采用代理技术,在应用层的连接在还原数据后就可以复用,因此并不需要很多并发,一般来说每人5个就够了;这时,应用层最主要的时看新增能力及吞吐能力,前者表示很多用户在传输数据时,新用户请求的响应时间,后者反应请求的时延。另外,应用层的吞吐受影响的因素更多,如文件的大小、文件的种类、文件的实际内容、服务器的带宽、服务器的忙闲、出口的带宽、经过的网络设备、域名解析的情况,因此不能光看最大吞吐,而是看平均吞吐(在实际的网络环境中,统计一周左右的数据,通过网关设备,看其平均处理能力)。
对于防毒产品,还要看检出率与误报率;当然在实现环境中用户不能直接评估此数据,因此只能看国家检测机构的数据。但是我们可以模拟变形来看看安全网关的处理能力,如将文件放到复合文档中、放到压缩包中、使用加壳工具处理后看看是否能得到过滤。如果没有通过国家权威机构的检测,这样的UTM建议不要购买。
对于垃圾邮件来说也是一样的,主要看检出率与误报率,因为误报会影响用户的正常邮件,因此一定要低,一般能接受的指标是千分之一;同时检出率要高,一般应达到85%以上,优秀的产品应该达到90%。
综上所述,单纯用一些测试防火墙的设备来评估UTM的性能是不客观的。用户应该理解厂商的性能参数的实际意义,建议在自己的实际环境中进行试用,并辅助实测,以便评估所购买的产品。
易用性——方便的部署、简单的管理、友好的报表
UTM设备不同于交换机、路由器等网络产品,管理员往往需要通过基于对一段时间内发生网络事件的分析,对现行的安全策略进行修改,因此UTM产品的易用性就非常重要。我们在评价一款UTM产品的易用性时,主要从以下几个方面进行分析:
- 方便的部署:对于中小企业用户来说,UTM的安装和部署应该足够简单,尽量不影响企业现有的网络环境。在企业有多连接时应能够做到负载均衡,并支持各种接入方式。
- 简单的管理:这部分包含管理、升级和调试三方面的内容:
- 友好的报表:UTM应该能够图形化的显示出系统的各种信息,突出显示管理员应该关注的内容,并能够提供多种格式的报表,方便管理员进行文档备份以及报告。
·管理方面,UTM产品应提供图形化的自有管理系统,应对用户本地语言提供详细的管理手册和设置范例,另外还应该对UTM采用分级管理,为不同的管理目的设定不同的角色;
·升级与更新。UTM产品自身应该能够方便升级,同时,对于UTM使用的各种组件的特征库,例如:入侵特征库、病毒库、垃圾邮件库以及恶意URL站点库等应该做到智能升级;
·调试手段:UTM产品应该为用户提供必要的网络故障检测手段和调试工具,方便用户能快速定位故障,例如,Ping、Trace Route、数据包捕获、Telnet、SSH、应用协议跟踪等。另外,为方便得到更多的原厂商技术支持,UTM应该提供能提供远程协助功能。
性价比——根据实际的网络环境选择产品
首先,UTM是一款网关型硬件设备,各种应用数据均要经过它的检查、处理,因此,网络数据的处理能力非常重要。另外,如果UTM在基本防火墙应用的基础上,再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块,处理能力会有明显下降。也许有人会说,想要提高性能,你少开几个安全模块不就行了吗?但是,我们认为用户花钱购买UTM产品无非就是希望以较少的成本,换取更多的安全服务以及更好的统一管理方式。一旦为了保证网络应用性能,而被迫关闭很多安全防护模块,那么UTM产品和单一功能的安全产品相比,优势又在何处呢?
对于UTM这种新兴的网络安全产品,目前业界还缺乏足够规范的测试与评价标准。由于各个厂家对UTM概念理解的不同,也造成了UTM功能方面的差异。考察百兆级UTM产品在一个人数规模在100~500人之间的中小型企业的综合防护能力。切记不要片面追求某项测试指标的高低,应该全面考虑各种因素。目前市面上的UTM产品,全功能开启后,防火墙有50%--90%的性能损失。这并不令人感到意外。小企业的UTM产品,防火墙性能80M,开网关防毒15M,开IPS也是15M,两个同时开变成12M。这种产品面对的就是100人的小办公环境,这些办公室往往是2M的企业ADSL,或是几条AD线路,最多也就是10M专线,最大投资希望在2万元之内搞定所有安全功能。目前UTM的市场主要定位还是企业,很少有运营商使用。因此从市场上看,UTM还是一些企业的办公机构的用户群。因此UTM的核心在于一个产品只要能够满足用户的应用环境就可以了。百兆的UTM产品,如果火墙能够达到200M,开网关防毒后处理能力达到60M,开IPS也同样的话,完全能满足300人以内的企业用户。这种规模的企业即便是申请专线,外加上备份用的AD,总带宽往往也不超过30M。即使开启UTM的所有功能,处理能力也是够用的;但这类规模的企业一般到投资是有严格的控制,不般来说总投资不超过5万元。目前,比较务实的厂商一般会选择更好的硬件来达到相应级别的过滤指标,如百兆产品也会使用伪千兆的网卡,以保证内网的高速数据包转发;并使用运算性能好的处理器,以增加内容过滤的处理能力;并对数据流进行综合检查,防止串行检查以提高处理速度,并利用多核处理器来实现并行处理,以减少时延。
面对UTM设备不可避免的性能损失,以及不同规模、不同需求的用户,哪些UTM才是适合的?哪些方案才是可行的对此,有必要从国内的实际情况进行评估与比较,以便找到适合自身特点的安全产品。单一功能的安全防护设备虽然专业性强,但是往往需要多台设备配合组网,协调性、可维护性、投入成本往往不尽如人意。特别是在不同供应厂商之间出现扯皮的现象时,不利于分析网络故障的原因。而一款优秀的UTM产品往往具备基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理等特点,其整合化的优势变得非常明显。
但我们还要计算3年总拥有成本。首先要了解各个模块的收费情况,目前许多UTM产品,反病毒模块、反垃圾模块、VPN模块、IPS模块、内容过滤模块是单独收费的,当然也有部分厂商提供许多免费模块;第二要了解其授权模式,目前业内有两种授权模式,一种是基于每设备收费,不限制用户数;另一种是基于用户数收费,这样企业在发展过程中,可能还需要额外的费用;最后要了解其服务收费方式,一般来说UTM的服务更重要,在购买后能提供什么样的规则升级服务,及产品售后服务。一般来说是按年进行收费,多数还会一次性购买多年服务会享受一定的折扣。通过总成本,与获得到的功能与性能综合比较,以决定选择合适自己的产品。
总结
虽然UTM设备有诸多优点,但企业对UTM设备的选择应该有一个原则: UTM设备的选择应该满足企业安全策略所要求的安全目标,还应该和企业现有的业务处理环境、管理制度、信息技术环境做到最大程度的兼容。
企业的业务处理需求:
指企业对正常业务处理流程中可能存在的安全薄弱环节的加固,或对可能存在的入侵路径进行控制的需求。对一个主要使用电子邮件与外界联络的企业,就需要考虑UTM设备的反垃圾邮件功能是否满足日常使用需求;对另一个通过NAT发布企业网站的企业来说,防毒与入侵检测功能又应该成为选购UTM设备首要考虑的因素;对于有安全远程接入需求的企业, UTM设备的VPN支持也应该进行考虑。总之,企业应该根据自己的业务特点,结合信息的输入输出来确定待采购的UTM设备应该具有的基本功能。
企业的管理要求:
企业需要用安全策略来指导内部用户使用信息系统的行为,同时也需要通过技术手段来限制用户实施某些行为的能力,因此,企业选择UTM设备的时候也应该考虑UTM设备是否满足企业管理要求。比如,企业禁止用户在工作时间使用某些IM软件,选择的UTM设备就应该包含IM控制功能;企业不禁止用户使用P2P软件,但需要限制用户的使用带宽,那选择的UTM设备就应该有P2P带宽限制功能;企业禁止用户在工作时间浏览某些类型的网站,那选择的UTM设备应该带有Web内容过滤的功能。
企业的信息技术需求:
企业的IT需求包括很多方面,其中最常见的莫过于采购UTM设备对企业之前的设备投资的保护和部署UTM设备之后对网络操作环境的影响。比如,如果企业原来已经部署有网络版的反病毒方案,UTM设备应该能够与网络版进行联动;企业和用户是否能忍受功能全部启用的UTM设备带来的网络带宽的下降如果企业原来已经部署有防火墙,用户也统一安装有反病毒软件,也需要UTM来防范混合性威胁。另外,企业采购UTM设备也要考虑UTM设备的维护成本及日后IT环境扩展的需要。
最后,需要明确一点的是UTM的设计思路应始终是把安全放在第一位,只有在安全特性上,才能谈性能。事实上,和其他的企业级IT产品一样,UTM的技术寿命一般就是三年,因此无论采用何种技术,只要能够达到企业的出口带宽,并能够满足企业3年的发展需求就够了。因此要计算3年总拥有成本,再看获得到的价值与服务来评估适合自己的产品。
