统一威胁管理不问出身看应用

要说06年最火的艺人要说是相声界拜师一年的郭德纲。不熟悉者会认为他是一夜成名，实际上郭不仅在北京剧场苦熬十年说相声，而且还一直在遭受一些传统相声业内人士的排挤，原因是出身不正。谁让郭德纲那时候没有师傅呢。

相声一贯对门户师傅注重，可以说没有门户就不是真正说相声的。从相声反正看，相声分为“浑门”和“清门”两个门派。浑门是相声主流派别，而清门出身的人多为票友出身，多因没有门户不被相声界所接受。

今天的utm（统一威胁管理，united threat management，简称utm）市场也遇到了一百年前相声界所面临的问题——正统出身之争。

从新架构是方向

idc将集成防火墙、防病毒、入侵检测等多种信息安全功能的安全网关设备命名为utm之后，utm设备越来越受到it人士的关注。然而utm硬件技术则是由两种不同的平台之上发展而来，一种是采用防火墙架构平台，另一种则是基于入侵检测技术产品平台之上研发而来。

一时间，技术不同技术的某些产品供应商均表明自身技术上有优势，而对方技术有瑕疵。

防火墙技术起家的厂商认为，以入侵检测为基础的utm设备在抵御网络攻击能力不强；而基于入侵基础技术之上的utm设备供应商则指责说，基于防火墙技术的utm产品，在打开了内容过滤或反病毒功能后，设备性能会极端下降。

安氏领信产品与解决方案中心经理姜宁揭露了这种争论本质：“相互指责的双方，在安全理念、发展趋势、技术积累，以及能够具体给用户带来的利益都会有所不同，防火墙为主的厂商是在访问控制的基础上添加其他功能，借此希望通过utm产品进入入侵检测及安全内容管理子市场；原为入侵检测产品为主的厂商在攻击检测/阻断的基础上添加其他功能，试图通过utm产品进入防火墙市场。”

存在于utm领域的这种争论类似于相声清门与浑门之争：浑门的认为清门的把相声说的太雅，让众多相声听众失去了更多的方面乐趣，有背于相声娱乐大众的初衷；而清门的则说有些浑门相声低俗，仅为讨得观众一笑。

对此，juniper公司大中华区新兴技术经理吴若松认为，这种争论的起因是utm设备还处在第一个发展阶段。从发展方向看，未来将不存在防火墙和入侵检测技术谁为基础平台，因为utm设备将根据用户的实际需求，增添更多的功能，现有设备无论是基于什么样的平台，都不一定能适用于未来的发展需要，重新设计utm平台架构则是大势所趋。

“很难对从防火墙和ips产品演进而来的utm产品做好和不好的评价，”sonicwall中国区技术经理蔡永生对上述争论的看法是，“utm产品关键看其实现的功能和性能，如防病毒和入侵的的数量、签名更新的速度、产品性能等。”正如蔡永生所言，防火墙和入侵检测是utm功能必须要具备信息安全功能，用户是不会看使用的utm产品是基于哪种平台架构，只要好使管用就好。

网新易尚认为硬件架构重要，但并不是最重要的，“utm在中国的发展首先取决于各级主管对于网络安全的认识程度，从目前来看大家对网络安全问题越来越重视，在信息系统建设中都会采购各种安全设备，但网络安全是一个系统工程，硬件安全设备在其中只占其中一小部分，它还涉及到安全策略的制定、日志分析、扫描引擎和病毒库攻击库的不断更新，不然的话虽然购买了安全设备但也起不到安全防护的作用。其次还取决于utm技术的不断发展，这包括utm本身的处理能力、扫描技术和扫描引擎的发展、对未知攻击病毒的判断能力等。”

相声作品中，无论是浑门的《拉洋片》、《金刚腿》，还是清门的《八猫图》、《穷富论》、《夸住宅》，只要是能娱乐大众的段子，就是好的相声作品。

技术发展方向

utm坚决不是防火墙或者是入侵检测基础上的多种信息安全功能的简单叠加。

实际上早在2001年，就有安全厂商试图在防火墙（含vpn功能）的基础上增加网关防病毒等应用层检测过滤功能。但由于在设计之初没有充分考虑到产品的实用性能，只是一味地将很多功能叠加到一起，硬件平台仍然是沿用传统防火墙的x86架构工控机，软件实现技术上也没有质的提高。而实际上我们知道，utm产品相对于防火墙来讲，不仅仅是功能增加了很多，检测的层次也从防火墙的网络层上升到了应用层，这对于硬件资源的占用是成百倍甚至上千倍的。由此导致的结果就是，做出的utm产品虽然功能很多，但性能低得根本无法在用户的实际网络环境中得到正常应用。另外还有一些utm产品由于没有解决好ips（入侵防御系统）的误报问题而经常导致用户的正常应用被中断。

那么utm设备到底需要何种功能，未来又有哪些功能需要进一步增强呢？

fortinet认为，当前网络威胁的一大特点是新漏洞攻击产生速度快，即称为“零小时”(zero-hour)或“零日”(zero-day)攻击。另外，社会工程陷阱型的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意web站点、web重定向等伪装为合法应用和邮件信息欺骗用户的威胁日益增多。utm设备应该具备的基本功能包括网络防火墙、网络入侵检测／防御和网关防病毒功能。完善的安全特性，还可包括安全管理、日志、策略管理、服务质量(qos)、负载均衡、高可用性(ha)和报告带宽管理等，这无疑是对付零日攻击、提升检测威胁能力的好办法。

蔡永生的观点是，“提升utm产品的功能和性能将受到更多的关注。 utm已经不是2003年提出的简单的概念，厂家把各种各样的功能集成在一起。因此在软件算法和硬件的性能都可以做进一步的提升。此外提高针对最新的病毒和入侵的签名的响应速度也是重要的工作。”

“在utm设备中一定要进一步增强增强安全管理的能力，”吴若松认为，“在信息安全安全管理方面，目前企业中没有足够的人才以供其使用，即便是有人可以进行一定的网络管理，但由于人的精力有限，面对日益复杂的网络若要实施更为有效的网络管理，需要相关的设备提高帮助。这正可以发挥utm优势，它可将多种安全威胁的管理融合在一起，进行统一管理。”

而思科公司则在其推出的utm新品中，阐述了自己的观点。为思科自适应安全设备（asa）5500系列新开发的内容安全和控制安全服务模块（csc-ssm）提供了anti-x服务。同时，cisco asa 5500系列将防病毒和内容安全技术与防火墙和能够抵御威胁的vpn服务有机地集成在一起，使客户不但能够在易于管理的解决方案中有效保护网络安全，还能降低运营成本以及部署和管理多点解决方案的复杂性。