统一威胁管理(UTM)是近年来在媒体上出现频率较高的一个词:它表示在一个硬件平台上整合各种安全功能,如防火墙、VPN、网关防病毒、入侵检测、入侵阻断、流量分析、内容过滤、3A认证等,它的出现在于一些中小企业用户缺乏安全技术人员,
希望以在网关处的一个硬件设备,一揽子解决所有的安全问题。IDC在一份调查报告上称,UTM将是增长最快的信息安全产品。国际最早推出UTM设备的厂商有Fort.net、WatchGuard等公司,而国内最早推出的UTM设备,则是今年6月启明星辰公司与港湾公司联合推出的天清汉马防火墙――虽然被称为防火墙,但它因为在高性能防火墙的基础上集成了VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等众多产品功能于一身,应该属于UTM的范畴。
然而,UTM在实际应用中,效果并不理想,很多单位在实际应用中都将反病毒或者入侵阻断(IPS)功能关闭,因为只有这样设备才能正常运行。将反病毒功能打开后,一些利用采用X86网络基础架构的UTM设备的性能迅速下降,某些甚至下降达70%以上,这对所有数据都要通过的网关设备而言,是用户不能忍受的;而一旦打开了IPS功能,由于许多厂商的IPS技术基础是建立在IDS之上,并没有实质性的进展,那些在旁路安装的IDS上人们能够容忍的高误报率,如果在在线安装的IPS中出现,人们就绝对无法容忍了。试想:如果网络反复对那些误报的攻击采取阻断措施,正常的流量进不来,网络不断被虚假的报警阻断,网络管理员不被骂死才怪。因此,UTM目前正面临着这样的困境。
性能的问题可以通过采用高性能的技术,如ASIC技术或者NP技术来解决,一般的网络设备厂商都已经具备了这样的实力;而IPS的误报率问题,则只能是专业的入侵检测或入侵防御厂商才能解决的,一般的厂商没有经过长时间的技术积累,很难突破IPS的技术瓶颈。
启明星辰公司与港湾合作推出的UTM设备,正是基于这样的考虑:港湾是国内较好的网络硬件设备开发商,在提高网络设备的性能方面具有其他小厂商没有的优势;而启明星辰拥有国内第一的IDS品牌,两方结合,正好能解决UTM设备应用中的难题。天清汉马防火墙中的IPS的误报率小于2%,而一般的IPS的误报率甚至可能超过20%,这是我们在国内敢于首先推出UTM设备的原因。
无论UTM设备目前面临着怎样的难题,我依然坚信,只要解决了一些技术难点,UTM一定是未来网络安全设备发展的方向。
作者简介:严立,美国坦布尔学院计算机系硕士,曾在美国有12年IT、金融行业经验。1996年创建启明星辰公司,目前任该公司副总裁,主持国家863计划、信息产业部重大“网络保障应急响应示范工程”等国家级科研项目。