UTM为您的企业打造安全的网络环境

本文作者:admin       点击: 2006-07-11 00:00
前言:

互联网的出现改变了人们的生活方式和企业运营的特点,然而越来越强大的网络就像一把越来越锋利的“双刃剑”,在带给人们便利的同时也带来了深深的对于网络入侵和信息安全的忧虑和担心。一个小的病毒所造成的系统崩溃、一个小的后门所造成的机密信息泄漏……这都成为跟计算机跟网络打交道的人的梦魇。如何才能让企业的机器能免遭病毒侵害、安全无故障地运行?如何才能让自己企业的机密“天不知、地不知、你不知,只有我知”?

2005年有一个新的名词引起了全球信息安全领域人士的关注,那就是统一威胁管理(UTM),根据IDC的预测,到2008年为止,UTM将会占据整个信息安全市场57.6%的江山,成为未来信息安全领域的主流设备。

然而究竟什么才是UTM?UTM与以往的信息安全解决方案又有什么关键性的区别?它的出现对于改善现在的网络安全又有什么样的作用?带着这诸多的疑问,记者参加了由领先的UTM解决方案供应商WatchGuard Technologies公司所举办的新品发布会,并就上面的问题采访了WatchGuard Technologies首席战略官Mark W. Stevens。


让中小型企业用得起的UTM平台

“UTM是由防火墙发展出来。後来有厂商(如WatchGuard)在防火墙加入VPN及IPS功能,有一段时间用Integrated Security Appliance来称呼。很多厂商对UTM的定义都不一样。有机构对UTM作出以下的定义:在一个产品中,至少包括了防火墙、VPN、IPS、防病毒等功能,就可以称为UTM。以WatchGuard的产品来说,除了以上基本UTM功能之上,还增加了Anti-Spamming、Anti-Spyware及URL Filtering等功能。”Stevens先生如此跟我们解释了UTM设备的标准。

UTM的兴起是因为网络应用的广泛让网络攻击的方式越来越多样化,防火墙已经不足以应付。然而,VPN、IPS、Anti-Spamming由于其高昂的价格所以也只应用于资金雄厚的大型企业,然而中小型公司的网络其实面对跟大企业一样的威胁。作为一家专注于提供UTM统一解决方案的厂商,WatchGuard更希望将UTM的产品做成让中小型公司都可以负担。Stevens先生说“它们价钱昂贵是因为它们多数是软件,都要运行于各自的硬件上,使整体价格高得吓人。但是随着CPU越来越快,记忆体涌量越来越高,以及软件等相关技术的发展,把这些不同的网络安全功能集合在同一产品中便成为可能,使中小型公司都可以负担得起。”


WatchGuard安全网络的定义

有很多用户有误解,以为防火墙/UTM只是用来分隔网络内部及外界的设备。不过Stevens先生则表示,“我们会建议我们的客户也以我们的UTM把不同的内网隔开。这样,除了可以防止病毒从一个部门传到另一个部门外,还可帮助防止跨部门的攻击。”

“另外,我们将来也有可能会把Identity Management也加进UTM,增强内部监控。好像WatchGuard Firebox SSL产品,就已经提供身份确认(Authentication)及用户群存取控制(Access Control)的功能。”
WatchGuard Firebox X巧妙地将防火墙、VPN、IPS、防病毒、Anti-Spamming、Anti-Spyware及URL Filtering等多种保护功能集于一身,加强对客户网络的保护。Intelligent Layer Security(ILS)将各个UTM功能整合在Security Operating System及软件上。除了提供高性能以外,更能提供更佳的安全功能。因为有很多攻击并不针对某一项安全功能,ILS能在不同安全层面上互相通报,所以更能有效地捍卫受保护的网络。


展望未来,UTM足可应对新的
技术发展与威胁


在分析现有的UTM架构的时候,Stevens先生说道,“目前来说,NP、ASIC、FPGA(Field Programmable Gate Array)或者General-purpose CPU(譬如x86)都可以用来实现UTM的架构,不过从长远来看,通用型CPU将是大势所趋。”

“NP主要增加网络有关的性能。虽然FPGA已比ASIC灵活,可以比较灵活的处理IDS及Anti-virus需要更新signature的功能,但对于现今的Unified Threat Management(UTM)的需求,无论NP,ASIC或FPGA都不够灵活处理。对其他的UTM功能如Anti-Spamming、Anti-Spyware及URL Filtering来说,用General Purpose CPU架构才能提供足够的性能与灵活性来匹配,FPGA并不适合用来设计此等功能。未来UTM的架构将采取General-purpose CPU,这是我们几年以前便已经看到的趋势。譬如我们此次推出的Firebox X便是采用了通用型CPU的架构,”

网络威胁会随着网络技术的发展以及用户的使用习惯等而变化,攻击者往往都会选择新兴的技术或者应用群体比较大的应用来攻击,由于网络的快捷性,使得这种攻击往往在很短的时间之内便扩散开,而造成不可挽回的损失。因此只有未雨绸缪才能防范于未然。那么下一个网络威胁会以什么形式出现呢?

Stevens先生说到,“以今年的发展,无线电话、无线网络等的发展越来越成熟,P2P/IM被越来越多用户使用。我想,都会吸引攻击者针对这些技术和应用来设计攻击。”另外,Stevens先生还强调,今后的网络攻击已经不再局限于单一的攻击模式,就目前来说已经呈现出攻击的多途径的趋势。