基本簡介
統一威脅管理(Unified Threat Management), 2004年9月,IDC首度提出“統一威脅管理”的概念,即將防病毒、入侵檢測和防火牆安全設備劃歸統一威脅管理(Unified Threat Management,簡稱UTM)新類別。IDC將防病毒、防火牆和入侵檢測等概念融合到被稱為統一威脅管理的新類別中,該概念引起了業界的廣泛重視,並推動了以整合式安全設備為代表的市場區隔的誕生。由IDC提出的UTM是指由硬體、軟體和網路技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成於一個硬設備里,構成一個標準的統一管理平台。從這個定義上來看,IDC既提出了UTM產品的具體形態,又涵蓋了更加深遠的邏輯範疇。從定義的前半部分來看,眾多安全廠商提出的多功能安全網關、綜合安全網關、一體化安全設備等產品都可被劃歸到UTM產品的範疇;而從後半部分來看,UTM的概念還體現出在信息產業經過多年發展之後,對安全體系的整體認識和深刻理解。 目前,UTM常定義為由硬體、軟體和網路技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,同時將多種安全特性集成於一個硬體設備里,形成標準的統一威脅管理平台。UTM設備應該具備的基本功能包括網路防火牆、網路入侵檢測/防禦和網關防病毒功能。
雖然UTM集成了多種功能,但卻不一定要同時開啟。根據不同用戶的不同需求以及不同的網路規模,UTM產品分為不同的級別。也就是說,如果用戶需要同時開啟多項功能,則需要配置性能比較高、功能比較豐富的產品。
基本特點
UTM重要特點:
1.建一個更高,更強,更可靠的牆,除了傳統的訪問控制之外,防火牆還應該對防垃圾郵件,拒絕服務,黑客攻擊等這樣的一些外部的威脅起到綜合檢測網路全協定層防禦。真正的安全不能只停留在底層,我們需要構成治理的效果,能實現七層協定保護,而不僅僅局限於二到四層。
2.要有高檢測技術來降低誤報。作為一個串聯接入的網關設備,一旦誤報過高,對用戶來說是一個災難性的後果,IPS就是一個典型例子。採用高技術門檻的分類檢測技術可以大幅度降低誤報率,因此,針對不同的攻擊,應採取不同的檢測技術有效整合可以顯著降低誤報率。
3.要有高可靠,高性能的硬體平台支撐。對於UTM時代的防火牆,在保障網路安全的同時,也不能成為網路套用的瓶頸,防火牆/UTM必須以高性能,高可靠性的專用晶片及專用硬體平台為支撐,以避免UTM設備在複雜的環境下其可靠性和性能不佳帶來的對用戶核心業務正常運行的威脅。
為什麼需要UTM
隨著時間的演進,信息安全威脅開始逐步呈現出網路化和複雜化的態勢。無論是從數量還是從形式方面,從前的安全威脅和惡意行為與現今都不可同日而語。僅僅在幾年之前,我們還可以如數家珍的講述各種流行的安全漏洞和攻擊手段,而現在這已經相當困難。現在每天都有數百種新病毒被釋放到網際網路上,而各種主流軟體平台的安全漏洞更是數以千計。我們遇到的麻煩更多的表現為通過系統漏洞自動化攻擊並繁殖的蠕蟲病毒、寄生在計算機內提供各種後門和跳板的特洛伊木馬、利用大量傀儡主機進行淹沒式破壞的分散式拒絕攻擊、利用各種手段向用戶傳輸垃圾信息及誘騙信息等等。這些攻擊手段在網際網路上肆意泛濫,沒有保護的計算機設備面臨的安全困境遠超從前。安全廠商在疲於奔命的升級產品的檢測資料庫,系統廠商在疲於奔命的修補產品漏洞,而用戶也在疲於奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟體只能用於防範計算機病毒,防火牆只能對非法訪問通信進行過濾,而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中,安全問題的炸彈隨時都有爆炸的可能用戶必須針對每種安全威脅部署相應的防禦手段,這樣使信息安全工作的複雜度和風險性都難以下降。而且,一個類型全面的防禦體系也已經無法保證能夠使用戶免受安全困擾,每種產品各司其職的方式已經無法應對當前更加智慧型的攻擊手段。我們面對的很多惡意軟體能夠自動判斷防禦設施的狀態,在一個通路受阻之後會自動的嘗試繞過該道防禦從其它位置突破,並逐個的對系統漏洞進行嘗試。一個防禦組件成功禁止了惡意行為之後,攻擊程式在調整自身的行為之後,已經發現該攻擊活動的組件無法通知其它類型的防禦組件,使得該攻擊仍有可能突破防禦體系。防禦更具智慧型化的攻擊行為,需要安全產品也具有更高的智慧型,從更多的渠道獲取信息並更好的使用這些信息,以更好的協同能力面對日益複雜的攻擊方法。這就是為什麼整合式安全設備日益受到用戶的歡迎,也是為什麼有大量行業人士認為UTM類型的產品將成為信息安全新的主流。
技術架構
UTM的技術架構
UTM的架構中包含了很多具有創新價值的技術內容,IDC將Fortinet公司的產品視為UTM的典型代表,我們就結合Fortinet公司採用的一些技術來分析一下UTM產品相比傳統安全產品到底有哪些不同。
完全性內容保護(Complete Content Protection)簡稱CPP,對OSI模型中描述的所有層次的內容進行處理。這種內容處理方法比目前主流的狀態檢測技術以及深度包檢測技術更加先進,目前使用該技術的產品已經可以在千兆網路環境中對數據負載進行全面的檢測。這意味著套用了完全性內容保護的安全設備不但可以識別預先定義的各種非法連線和非法行為,而且可以識別各種組合式的攻擊行為以及相當隱秘的欺騙行為。
ASIC是被廣泛套用於性能敏感平台的一種處理器技術,在UTM安全產品中ASIC的套用是足夠處理效能的關鍵。由於套用了完全性內容保護,需要處理的內容量相比於傳統的安全設備大大增加,而且這些內容需要被防病毒、防火牆等多種引擎所處理,UTM產品具有非常高的性能要求。將各種常用的加密、解密、規則匹配、數據分析等功能集成於ASIC處理器之內,才能夠提供足夠的處理能力使UTM設備正常運作。Fortinet不但成功的在自己的產品內套用了ASIC這一具有高度尖端性的晶片技術,而且還進行了很多開創性的工作,推出了FortiASIC技術,令老牌的ASIC廠商也不得不刮目相看。
除了硬體方面有獨特的設計之外,UTM產品在軟體平台上也專門針對安全功能進行了定製。專用的作業系統軟體提供了精簡而高效的底層支持,可以最大限度的發揮硬體平台的能力。UTM產品的作業系統及周邊軟體模組可以對目標數據進行智慧型化的管理,並具有專門的實時性設計,提供實時內容重組和分析能力,可以有效地發揮防病毒、防火牆、VPN等子系統功能。
緊湊型模式識別語言(Compact Pattern Recognition Language)簡稱CPRL,是為了快速執行完全內容檢測而設計的。這種語言可以在同樣的軟硬體平台下提供高得多的執行效能,並且可以使防病毒、防火牆、入侵檢測等多種安全功能的安全威脅辨識工作獲得更好的協同能力。另外,這種實現方式還有利於集成更先進的啟發式算法以應對未知的安全威脅。
動態威脅防護系統(Dynamic Threat Prevention System),是在傳統的模式檢測技術上結合了未知威脅處理的防禦體系。動態威脅防護系統可以將信息在防病毒、防火牆和入侵檢測等子模組之間共享使用,以達到檢測準確率和有效性的提升。這種技術是業界領先的一種處理技術,也是對傳統安全威脅檢測技術的一種顛覆。
優點缺點
優點
整合所帶來的成本降低
將多種安全功能整合在同一產品當中能夠讓這些功能組成統一的整體發揮作用,相比於單個功能的累加功效更強,頗有一加一大於二的意味。現在很多組織特別是中小企業用戶受到成本限制而無法獲得令人滿意的安全解決方案,UTM產品有望解決這一困境。包含多個功能的UTM安全設備價格較之單獨購買這些功能為低,這使得用戶可以用較低的成本獲得相比以往更加全面的安全防禦設施。
降低信息安全工作強度
由於UTM安全產品可以一次性的獲得以往多種產品的功能,並且只要插接在網路上就可以完成基本的安全防禦功能,所以無論在部署過程中可以大大降低強度。另外,UTM安全產品的各個功能模組遵循同樣的管理接口,並具有內建的聯動能力,所以在使用上也遠較傳統的安全產品簡單。同等安全需求條件下,UTM安全設備的數量要低於傳統安全設備,無論是廠商還是網路管理員都可以減少服務和維護工作量。
降低技術複雜度
由於UTM安全設備中裝入了很多的功能模組,所以為提高易用性進行了很多考慮。另外,這些功能的協同運作無形中降低了掌握和管理各種安全功能的難度以及用戶誤操作的可能。對於沒有專業信息安全人員及技術力量相對薄弱的組織來說,使用UTM產品可以提高這些組織套用信息安全設施的質量。
缺點
處理能力的分散
從原理上說,將防病毒、入侵檢測和防火牆等N個網路安全產品功能集中於一個設備中,必然導致每一個安全功能只能獲得N分之一的處理能力和N分之一的記憶體,因此每一個功能都較弱。
網關防禦的弊端
網關防禦在防範外部威脅的時候非常有效,但是在面對內部威脅的時候就無法發揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自於組織內部,所以以網關型防禦為主的UTM設備目前尚不是解決安全問題的萬靈藥。
過度集成帶來的風險
將所有功能集成在UTM設備當中使得抗風險能力有所降低。一旦該UTM設備出現問題,將導致所有的安全防禦措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。
性能和穩定性
儘管使用了很多專門的軟硬體技術用於提供足夠的性能,但是在同樣的空間下實現更高的性能輸出還是會對系統的穩定性造成影響。目前UTM安全設備的穩定程度相比傳統安全設備來說仍有不少可改進之處。
投影角度
UTM(UNIVERSAL TRANSVERSE MERCARTOR GRID SYSTEM,通用橫墨卡托格網系統)坐標是一種平面直角坐標,這種坐標格網系統及其所依據的投影已經廣泛用於地形圖,作為衛星影像和自然資源資料庫的參考格網以及要求精確定位的其他套用。在UTM系統中,北緯84度和南緯80度之間的地球表面積按經度6度劃分為南北縱帶(投影帶)。從180度經線開始向東將這些投影帶編號,從1編至60(北京處於第50帶)。每個帶再劃分為緯差8度的四邊形。四邊
形的橫行從南緯80度開始。用字母C至X(不含I和O)依次標記(第X行包括北半球從北緯72度至84度全部陸地面積,共12度)每個四邊形用數字和字母組合標記。參考格網向右向上讀取。
每一四邊形劃分為很多邊長為1000 000米的小區,用字母組合系統標記。在每個投影帶中,位於帶中心的經線,賦予橫坐標值為500 000米。對於北半球赤道的標記坐標值為0,對於南半球為10000000米,往南遞減。大比例尺地圖UTM方格主線間距離一般為1KM,因此UTM系統有時候也被稱作方里格。因為UTM系統採用的是橫墨卡托投影,沿每一條南北格網線(帶中心的一條格網線為經線)比例係數為常數,在東西方向則為變數。沿每一UTM格網的中心格網線的比例係數應為0.99960(比例尺較小),在南北縱行最寬部分(赤道)的邊緣上,包括帶的重疊部分,距離中心點大約363公里,比例係數為 1.00158。
1、橢球面
地圖坐標系由大地基準面和地圖投影確定,大地基準面是利用特定橢球體對特定地區地球表面的逼近,因此每個國家或地區均有各自的大地基準面,我們通常稱謂的北京54坐標系、西安80坐標系實際上指的是我國的兩個大地基準面。我國參照前蘇聯從1953年起採用克拉索夫斯基(Krassovsky)橢球體建立了我國的北京54坐標系,1978年採用國際大地測量協會推薦的IAG 75地球橢球體建立了我國新的大地坐標系--西安80坐標系, 目前GPS定位所得出的結果都屬於WGS84坐標系統,WGS84基準面採用WGS84橢球體,它是一地心坐標系,即以地心作為橢球體中心的坐標系。因此相對同一地理位置,不同的大地基準面,它們的經緯度坐標是有差異的。
採用的3個橢球體參數如下(源自“全球定位系統測量規範 GB/T 18314-2001”):
橢球體 長半軸 短半軸
Krassovsky 6378245 6356863.0188
IAG 75 6378140 6356755.2882
WGS 84 6378137 6356752.3142
理解:橢球面是用來逼近地球的,應該是一個立的橢圓旋轉而成的。
2、大地基準面
橢球體與大地基準面之間的關係是一對多的關係,也就是基準面是在橢球體基礎上建立的,但橢球體不能代表基準面,同樣的橢球體能定義不同的基準面,如前蘇聯的Pulkovo 1942、非洲索馬里的Afgooye基準面都採用了Krassovsky橢球體,但它們的大地基準面顯然是不同的。在目前的GIS商用軟體中,大地基準面都通過當地基準面向WGS84的轉換7參數來定義,即三個平移參數ΔX、ΔY、ΔZ表示兩坐標原點的平移值;三個旋轉參數εx、εy、εz表示當地坐標系旋轉至與地心坐標系平行時,分別繞Xt、Yt、Zt的旋轉角;最後是比例校正因子,用於調整橢球大小。北京54、西安80相對WGS84的轉換參數至今沒有公開,實際工作中可利用工作區內已知的北京54或西安80坐標控制點進行與WGS84坐標值的轉換,在只有一個已知控制點的情況下(往往如此),用已知點的北京54與WGS84坐標之差作為平移參數,當工作區範圍不大時,如青島市,精度也足夠了。
以(32°,121°)的高斯-克呂格投影結果為例,北京54及WGS84基準面,兩者投影結果在南北方向差距約63米(見下表),對於幾十或幾百萬的地圖來說,這一誤差無足輕重,但在工程地圖中還是應該加以考慮的。
輸入坐標(度) 北京54 高斯投影(米)
WGS84 高斯投影(米)
緯度值(X) 32 3543664 3543601
經度值(Y) 121 21310994 21310997
理解:橢球面和地球肯定不是完全貼合的,因而,即使用同一個橢球面,不同的地區由於關心的位置不同,需要最大限度的貼合自己的那一部分,因而大地基準面就會不同。
UTM投影為了全球戰爭而建,美國於1948年完成這種通用投影系統的計算。與高斯克呂格投影相似,該投影角度沒有發生變形,中央經線為直線,且為投影的對稱軸,中央經線的比例因子取0.9996是為了保證中央經線左右約330km處兩條不失真的標準經線,UTM投影的分帶方法與高斯克呂格投影相似,都是自西經180°每隔經差6度自西向東分帶,將地球劃分為60個投影帶。我國的衛星影像資料常採用UTM投影。