【网络安全设备系列】15、安全网关/统一威胁管理(UTM)
0x00 定义:
在单个硬件或软件上,提供多种安全功能。与以往传统的安全设备不同,传统的安全设备一般只解决一种问题
UTM常被定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。
0x01 常见功能:
UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。各厂商会在UTM产品中增加应用层防火墙和控制器、深度包检测、Web代理和内容过滤、数据丢失预防、安全信息和事件管理、虚拟专用网络、网络沼泽等功能,以迎合不同用户需求,保持市场优势。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
(author https://www.cnblogs.com/Shepherdzhao/)
0x02 优点:
降低成本
UTM将多个安全设备的功能集于一身,大大降低了硬件成本、人员成本、时间成本。
降低工作强度
UTM提供了以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,大大降低了安装、配置、运维的工作强度。
降低技术复杂度
UTM提供了一体化管理方式,降低了掌握和管理各种安全功能的难度以及用户误操作的可能,使安全管理人员可以通过单一设备集中进行安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
0x03 缺点:
抗风险能力降低
虽然UTM提供了通过单一设备管理,实现多种安全功能的能力,同时也引入了一个不可避免的问题——单点故障,一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
内部防御薄弱
由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。然而,造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备,目前尚不是解决安全问题的灵丹妙药。
单一防御功能较弱
UTM本质上是将防病毒、入侵检测和防火墙等N个网络安全产品功能集中于一个设备中,必然导致每一个安全功能只能获得N分之一的处理能力和N分之一的内存,因此每一个功能都较弱。
性能和稳定性
尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下,实现更高的性能输出,对系统稳定性造成的影响不可避免。目前,UTM安全设备的稳定程度与传统安全设备相比,仍需不断提高,且任重道远。