筆者理解UTM定義至少包括如下三個(gè)要素:
1.面對(duì)的威脅
UTM部署在網(wǎng)絡(luò)邊界的位置,針對(duì)2-7層所有種類的威脅。根據(jù)威脅破壞產(chǎn)生的后果,網(wǎng)絡(luò)邊界面臨的威脅可以分為三類:對(duì)網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞的威脅、利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的威脅、網(wǎng)絡(luò)資源濫用威脅。
①對(duì)網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞的威脅:此類威脅的特點(diǎn)就是以網(wǎng)絡(luò)自身或內(nèi)部的業(yè)務(wù)系統(tǒng)為明確的攻擊對(duì)象,通過技術(shù)手段導(dǎo)致網(wǎng)絡(luò)設(shè)備、主機(jī)、服務(wù)器的運(yùn)行受到影響(包括資源耗用、運(yùn)行中斷、業(yè)務(wù)系統(tǒng)異常等)。ARP欺騙、DDoS攻擊、蠕蟲等均屬于此類威脅。例如DOS攻擊,雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù),但阻塞了應(yīng)用的帶寬,對(duì)網(wǎng)絡(luò)自身的資源進(jìn)行了占用,導(dǎo)致正常業(yè)務(wù)無法正常使用。
②利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的威脅:此類威脅的特點(diǎn)是通過技術(shù)手段對(duì)主機(jī)或服務(wù)器進(jìn)行入侵攻擊,以達(dá)到政治目的或經(jīng)濟(jì)利益目的為目標(biāo)。包括盜號(hào)木馬、SQL注入、垃圾郵件、惡意插件等。例如盜號(hào)木馬,通過這個(gè)工具,不法分子獲得用戶的個(gè)人賬戶信息,進(jìn)而獲得經(jīng)濟(jì)收益;又如垃圾郵件,一些不法分子通過發(fā)送宣傳法輪功的郵件,毒害人民群眾,追逐政治目的。
③網(wǎng)絡(luò)資源濫用的威脅:此類威脅的特點(diǎn)是正常使用網(wǎng)絡(luò)業(yè)務(wù)時(shí),對(duì)網(wǎng)絡(luò)資源、組織制度等造成影響的行為。包括大量P2P下載、工作時(shí)間使用股票軟件、工作時(shí)間玩網(wǎng)絡(luò)游戲等。比如P2P下載是一種正常的網(wǎng)絡(luò)行為,但大量的P2P下載會(huì)對(duì)網(wǎng)絡(luò)資源造成浪費(fèi),有可能影響到正常業(yè)務(wù)的使用;又如,股票軟件是正常行為,但上班時(shí)間使用,降低了工作效率,對(duì)公司或單位構(gòu)成了間接損失。這些行為都屬于網(wǎng)絡(luò)資源濫用。
當(dāng)然,由于是以結(jié)果進(jìn)行分類,有些威脅可以同時(shí)歸屬于兩類,例如SQL注入,有些注入是為了獲取信息,達(dá)到政治或經(jīng)濟(jì)目的,屬于第二類;有些注入后是為了修改網(wǎng)頁(yè),達(dá)到破壞正常網(wǎng)站訪問業(yè)務(wù)的目的,屬于第一類。這并不影響分類覆蓋范圍的全面性。
2.處理的方式
UTM是對(duì)傳統(tǒng)防護(hù)手段的整合和升華,是建立在原有安全網(wǎng)關(guān)設(shè)備基礎(chǔ)之上的,擁有防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內(nèi)容過濾、反垃圾郵件等多種功能,這些技術(shù)處理方式仍然是UTM的基礎(chǔ),但這些處理方式不再各自為戰(zhàn),需要在統(tǒng)一的安全策略下相互配合,協(xié)同工作。
當(dāng)然,對(duì)于眾多的功能,有必備功能和增值功能之分。一般而言,防火墻、VPN、入侵防御、防病毒是必備的功能模塊,缺少任何一個(gè)不能稱之為UTM。其余是增值功能,用戶可以根據(jù)自身需求進(jìn)行選擇。
站在用戶角度,面對(duì)的是整個(gè)網(wǎng)絡(luò)、所有業(yè)務(wù)的安全,整體的安全策略實(shí)施是非常重要的。統(tǒng)一的策略實(shí)施是使多種安全功能形成合力的關(guān)鍵,各自為戰(zhàn)是不能實(shí)現(xiàn)整體安全策略的。因此在UTM處理方式中,需要特別考慮策略的協(xié)調(diào)性、一致性。
3.達(dá)成的目標(biāo)
有了面對(duì)的威脅對(duì)象和處理方式之后,就要看UTM能達(dá)成的目標(biāo)了,也就是價(jià)值。UTM設(shè)備保護(hù)的是網(wǎng)絡(luò),能精確識(shí)別所有的威脅,根據(jù)相應(yīng)策略進(jìn)行控制,或限速、或限流、或阻斷,保持網(wǎng)絡(luò)暢通,業(yè)務(wù)正常運(yùn)轉(zhuǎn)是最好的結(jié)果,“精確識(shí)別和控制”是最為關(guān)鍵的。
同時(shí),UTM整合多種安全能力后,仍然需要保持比較高的性能,因此性能不能有明顯下降;安全網(wǎng)關(guān)設(shè)備的可靠性要求毋庸置疑的;此外,由于設(shè)備的功能多,對(duì)網(wǎng)管員的要求高,管理方便、配置簡(jiǎn)單當(dāng)然也是UTM類設(shè)備要達(dá)成的目標(biāo)。
綜上,筆者認(rèn)為,UTM可以定義為:通過安全策略的統(tǒng)一部署,融合多種安全能力,針對(duì)對(duì)網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞、利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)、網(wǎng)絡(luò)資源濫用等威脅,實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)安全設(shè)備。
