笔者理解UTM定义至少包括如下三个要素:
1.面对的威胁
UTM部署在网络边界的位置,针对2-7层所有种类的威胁。根据威胁破坏产生的后果,网络边界面临的 威胁可以分为三类:对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥 用威胁。
①对网络自身与应用系统进行破坏的威胁:此类威胁的特点就是以网络自身或内部的业务系统为明确 的攻击对象,通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业 务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击,虽然不破坏网络内部的数 据,但阻塞了应用的带宽,对网络自身的资源进行了占用,导致正常业务无法正常使用。
②利用网络进行非法活动的威胁:此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击,以 达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马 ,通过这个工具,不法分子获得用户的个人账户信息,进而获得经济收益;又如垃圾邮件,一些不法分子 通过发送宣传法轮功的邮件,毒害人民群众,追逐政治目的。
③网络资源滥用的威胁:此类威胁的特点是正常使用网络业务时,对网络资源、组织制度等造成影响 的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的 网络行为,但大量的P2P下载会对网络资源造成浪费,有可能影响到正常业务的使用;又如,股票软件是 正常行为,但上班时间使用,降低了工作效率,对公司或单位构成了间接损失。这些行为都属于网络资源 滥用。
当然,由于是以结果进行分类,有些威胁可以同时归属于两类,例如SQL注入,有些注入是为了获取信 息,达到政治或经济目的,属于第二类;有些注入后是为了修改网页,达到破坏正常网站访问业务的目的 ,属于第一类。这并不影响分类覆盖范围的全面性。
2.处理的方式
UTM是对传统防护手段的整合和升华,是建立在原有安全网关设备基础之上的,拥有防火墙、入侵防御 (IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能,这些技术处理方式仍然是UTM的基础 ,但这些处理方式不再各自为战,需要在统一的安全策略下相互配合,协同工作。
当然,对于众多的功能,有必备功能和增值功能之分。一般而言,防火墙、VPN、入侵防御、防病毒是 必备的功能模块,缺少任何一个不能称之为UTM。其余是增值功能,用户可以根据自身需求进行选择。
站在用户角度,面对的是整个网络、所有业务的安全,整体的安全策略实施是非常重要的。统一的策 略实施是使多种安全功能形成合力的关键,各自为战是不能实现整体安全策略的。因此在UTM处理方式中 ,需要特别考虑策略的协调性、一致性。
3.达成的目标
有了面对的威胁对象和处理方式之后,就要看UTM能达成的目标了,也就是价值。UTM设备保护的是网 络,能精确识别所有的威胁,根据相应策略进行控制,或限速、或限流、或阻断,保持网络畅通,业务正 常运转是最好的结果,“精确识别和控制”是最为关键的。
同时,UTM整合多种安全能力后,仍然需要保持比较高的性能,因此性能不能有明显下降;安全网关设 备的可靠性要求毋庸置疑的;此外,由于设备的功能多,对网管员的要求高,管理方便、配置简单当然也 是UTM类设备要达成的目标。
综上,笔者认为,UTM可以定义为:通过安全策略的统一部署,融合多种安全能力,针对对网络自身与 应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现精确防控的高可靠、高性能、易 管理的网关安全设备。