论文部分内容阅读
UTM产品架构示意图
信息安全属于应用科学领域,它总是由实际出现的问题而滋生出一套方法,从而形成一种技术,然后学者再抽象出一个模型,最后,将该模型放之于实际应用之中,指导新技术的产生,UTM也是在这种模式下的产物。
技术
严格来讲,UTM并不是某一项独立的技术,它的魅力之处体现在它的设计思想,似乎为信息安全提供了一个完美的技术解决方案。
为了达到统一处理威胁的目的,UTM必须要有一个统一的调度引擎,这是最核心的东西,也是每一个UTM厂商自己要解决的问题,而该调度引擎编写的好坏直接影响着UTM设备的性能和效率。该引擎负责接收用户前台的各种请求,它将这些请求进行类型匹配,匹配上某一类型的安全事件后,便进入到相应的类型处理模块,如反病毒模块,然后由该模块对该事件进行处理。该模块将处理结果返回UTM调度引擎,由调度引擎负责将结果处理成统一的事件形式反馈给用户。
UTM的调度引擎只是根据上层发来的指令调用相应的安全模块,在这此之前,还要有一个威胁识别模块。也就是说,对于一个复杂的安全事件来讲,要有一个合理的机制将这些安全事件分解成若干个单一安全事件,然后再将请求导引到调度引擎去进行统一的调度处理。
然而,很多时候,由于一些安全事件的请求需求并行处理,为了提高处理的效率,便引入了ASIC硬件加速技术。它在芯片级对一些关键技术进行优化,比如可以集成硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能,从而使UTM并行处理效率大大提高。
要想发挥出UTM的效用,必须采用定制的操作系统,专用的强化安全的操作系统能够提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,定制的操作系统使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IPS等功能。
误区
关于UTM,目前有几种认识,我认为有失偏颇。有人认为UTM是多而不精的尴尬产品,就像小帆船捆在一起不能成为大船一样,这些功能捆在一起,同样不能解决整体的安全问题。如果提出这样的疑问,那么证明还没看到UTM的本质。
一般地,如果一个UTM厂商靠自身的研发能力而开发出了支持多种功能的UTM产品,那它的功能肯定是粗糙的,因为,UTM提供的每一项功能都是一个产业的方向,都需要一个安全公司朝着这个方向耕耘多年才可以,而一个UTM厂商是无法提供的,因此,如果依靠自身的研发能力提供这些功能,无疑是非常粗糙、无法实用的。
但事实上,UTM厂商往往是通过同某一领域里的技术领先厂商进行深度技术合作来拥有该厂商在这一方面的优势,从而形成UTM产品自身的优势。虽然UTM产品是一种整合,但它的整合是一种深层次的,不是简单的将多个产品进行捆绑,而是将某一方面的功能,做为它的一个子模块以源码级或二进制级的方式嵌入到整个UTM平台中去。这时,只要UTM厂商能够设计出一个很好的统一调度算法来,就不会产生多模块互相冲突的问题。
有人通过测试数据来说明UTM的各项功能并不突出,并得出如果将UTM所有功能都打开,网络几乎不能正常使用的论断,因此建议用户在使用的过程只使用某一项功能,而将其他功能关闭。
其实,测试数据并不能说明真实的网络应用情况,每个UTM的使用者都应该根据自己的网络情况来权衡。基本上,UTM是面向中小企业网络的,目的是降低安全的复杂度和采购成本,如果是中小企业,那么网络带宽的使用并不是饱和的,而且安全威胁也并不是在同一时间同时出现的。它往往是在不同的时间出现不同的安全威胁,在这种情况下,UTM的使用者完全可以根据自身的网络情况,按照时间的不同,来定制相应的安全策略,对多种安全事件进行串行防护。
挑战
UTM在快速发展并被越来越多用户认可的同时,也面临着三个重要挑战:提高应用层检测的精度、应对性能下降的挑战和满足易用性需求。
深层检测是优秀UTM的关键和基础。深层检测包括了全面和精确两个方面。深层检测在部分用户看来是网关防病毒的同义词,但实际上,深层检测的真正目的不仅仅是对病毒的防御,还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。
同时,作为部署在网关位置的UTM产品,在进行深层检测时必须确保不出现误判,如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。充分利用过去检测技术方面的积累,同时加强针对P2P、IM、游戏类软件的跟踪和积累UTM解决应用层检测精度难题最有效的措施。
解决性能下降难题是UTM广泛应用的前提。性能下降的问题已经有些老生长谈,在过去的几年中,多数厂商都通过ASIC芯片级的解决方案进行解决,但效果普遍不好,要么性能上去了、功能没了,要么功能多了,很多事由CPU来做,性能自然不佳。硬件确实是一个思路,但笔者认为由于UTM的功能实在是比较多,因此必须由具备较强运算能力的硬件平台承载,在中低端产品上,现有的工控平台是可以满足性能要求的,在高端UTM产品上,多核是一个很好的发展方向;同时多CPU并行计算也是非常好的方式,但技术难题过多,短期内难以实现。
做到易用、好用是UTM产品成为网关终结者的催化剂。网关的易用不只体现在管理、维护、配置上,还体现在设备的部署上,对网络的兼容性上。UTM产品确实需要在产品开发过程中贯彻易用这一原则,使产品能够具有长期的生命力。
趋势
纵观UTM,它有着很好的发展前景,因为未来网络应用会越来越复杂,对安全的需求也会越来越复杂,就需要有这样的一个产品来解决所有的安全问题。
随着攻击手段和病毒传播手段的不断变化,以及DDoS攻击、零日攻击、未知攻击的愈演愈烈,应该说网络安全的形势变得越来越严峻,要做到真正的统一威胁管理,就不能单独的依赖一台设备或某种技术。这就要求UTM产品一方面,需要增强自身和周边产品的协同工作能力,比如UTM产品和主机安全软件的合作,自动阻止那些操作系统补丁或防毒软件特征库没有及时更新的主机接入到网络,即主机准入控制技术。使由基于点的防御转向全网防御成为可能。
另一方面,UTM产品要不断增强对IM和P2P、网络视频、网络娱乐等协议的识别能力,UTM产品需要朝着更主动和更加智能的方向发展,以保证对网络业务的安全防护和控制。
此外,随着硬件平台的发展,硬件加速芯片的普及,UTM将会向着更快、更高、更强的集成化方向发展。而且会一反传统的简单网关设备那种设计思路,UTM会直接接管应用层的各种应用协议,实现一种根据客户需求的、更加细粒度的管理和威胁防御。
纯高端应用的UTM机型在某种程度上并不被市场看好,因为本来UTM的出现就不是用来解决高端网络问题的,而且大型企業网络的流量与复杂程度都会非常高,网管也拥有良好的素质,网络里早已配置了各种安全产品,它们更在乎的是连通率和吞吐量。所以,虽然各大UTM厂商频繁推出高端UTM网关设备,但能否形成高端UTM取代高端防火墙与VPN的局面,目前还很难预计。