解析utm与传统网关安全设备差异

《解析utm与传统网关安全设备差异》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、解析UTM与传统网关安全设备差异～教育资源库　　UTM(UnifiedThreatManagement)市场成长迅速，已经成为安全网关的主流，对于UTM定义，很多人在问：UTM究竟是什么?　　作为一个安全网关设备，笔者认为UTM的定义至少包括如下三个要素：面对的威胁(对象)、处理的方式(方法)、达成的目标(价值)。　　1.面对的威胁　　UTM部署在网络边界的位置，针对2-7层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。　　①对网络自身与应用系统进行破坏的威胁：此类威胁的特点就是以网络自

2、身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。　　②利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马，通过这个工具，不法分子获得用户的个人账户信息，进而获得经济收益;又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，

3、毒害人民群众，追逐政治目的。　　③网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响到正常业务的使用;又如，股票软件是正常行为，但上班时间使用，降低了工作效率，对公司或单位构成了间接损失。这些行为都属于网络资源滥用。　　当然，由于是以结果进行分类，有些威胁可以同时归属于两类，例如SQL注入，有些注入是为了获取信息，达到政治或经济目的，属于第二类;有些注入后是为了修改网页，达到破坏正常网站访问业务的目的，

4、属于第一类。这并不影响分类覆盖范围的全面性。　　2.处理的方式　　UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。　　当然，对于众多的功能，有必备功能和增值功能之分。一般而言，防火墙、VPN、入侵防御、防病毒是必备的功能模块，缺少任何一个不能称之为UTM。其余是增值功能，用户可以根据自身需求进行选择。　　站在用户角度，面对的是整个网络、所有业务的安全，整体的安全策略实施是非常重要

5、的。统一的策略实施是使多种安全功能形成合力的关键，各自为战是不能实现整体安全策略的。因此在UTM处理方式中，需要特别考虑策略的协调性、一致性。　　3.达成的目标　　有了面对的威胁对象和处理方式之后，就要看UTM能达成的目标了，也就是价值。UTM设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速、或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，精确识别和控制是最为关键的。　　同时，UTM整合多种安全能力后，仍然需要保持比较高的性能，因此性能不能有明显下降;安全网关设备的可靠性要求毋庸置疑的;此外，由于设备的功能多，对网管员的要求高，管理方便、配置简单当然也是UTM类设备

6、要达成的目标。　　综上，笔者认为，UTM可以定义为：通过安全策略的统一部署，融合多种安全能力，针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。友情提醒：，特别！