安全管理無止境 統(tǒng)一威脅管理設(shè)備大放異彩

企業(yè)信息系統(tǒng)選型寶典首先，讓我們來想象一下通過機場安檢時的情景。你先走到安檢員面前，讓他仔細檢查你的登機牌和證件，通過后馬上又有機場警察拿著金屬探測器擋住你的去路，如果探測器沒有發(fā)出警報，你就可以繼續(xù)前行，但走不到幾步，又得在行李檢查線前停下來，等待警衛(wèi)搜查行李內(nèi)是否有易燃易爆物品。
    在IT世界里，當(dāng)數(shù)據(jù)包進入一個高度警戒的網(wǎng)絡(luò)時，也會遇到類似的情況。隨著越來越多用于檢查非法入侵、惡意程序、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏和垃圾郵件的安全軟件投入應(yīng)用，進入系統(tǒng)的數(shù)據(jù)必須經(jīng)過多重的檢查與核證。與此同時，企業(yè)的安全成本當(dāng)然也在日益增加。有人提出了用一種多功能的產(chǎn)品來替代以上所有的這些安全程序，統(tǒng)一威脅管理（unified threat management，下稱UIM）的理念就這樣誕生了。
    UTM產(chǎn)品適用于各種規(guī)模的網(wǎng)絡(luò)。盡管它們目前主要用于中小型企業(yè)，但在分布廣泛的大型企業(yè)中UIM仍然大有勇武之地。毫無疑問，分布式企業(yè)以后將會配置多種UTM產(chǎn)品，而這就會帶來管理問題。
    企業(yè)需要對UTM設(shè)備的廣布網(wǎng)絡(luò)進行管理，并將其整合到現(xiàn)有的安全體系當(dāng)中，幸運的是，大多數(shù)廠商都支持用于管理和整合的平臺。像Check Point軟件公司、思科系統(tǒng)公司（Cisco Systems）、國際商業(yè)機器公司（IBM）及Juniper網(wǎng)絡(luò)公司這類具有成熟安全套件的大型廠商，都將UTM設(shè)備集成到了公司現(xiàn)有的整體安全體系中，這是不足為奇的。令人欣喜的是，一些還沒有大型綜合安全套件的廠商，如Astaro公司、Cyberoam公司、飛塔公司（Fortinet）、信客公司（Secure Computing）、索尼克公司（SonicWall）和合勤公司（ZyXel），也明確表示要解決多重設(shè)備管理和安全技術(shù)整合的問題。
    至于成本方面，UTM市場有一個很有趣的現(xiàn)象，那就是許多設(shè)備的內(nèi)部都整合了開源組件，因此催生出了不少成本低廉的設(shè)備，促進了競爭，使用戶大大受益。不過，企業(yè)必須同時關(guān)注通用公共授權(quán)證（GPL）的變動，以免惹上侵權(quán)官司。
    優(yōu)劣分明
    將安全功能全部集成到一個設(shè)備上的做法具有很多顯而易見的優(yōu)點，如降低成本、整理安全報告、統(tǒng)一操作界面、簡化網(wǎng)絡(luò)結(jié)構(gòu)以及減輕管理負擔(dān)等。事實上，這些優(yōu)點也促進了終端安全套件市場的進一步整合。在桌面電腦市場上，殺毒產(chǎn)品已經(jīng)成為了安全體系的核心，圍繞這一核心正不斷地添加周邊功能；而在網(wǎng)絡(luò)市場，防火墻產(chǎn)品則占據(jù)了主導(dǎo)地位。
    另外，集成安全設(shè)備還有一些潛在的好處。首先，它不僅僅意味著虛擬化程度的提高，還能促進計算機向著節(jié)能的方向發(fā)展。通過UTM可以減少安全設(shè)備的數(shù)量，從而減少能源開支。此外，UTM還能增強更多成熟產(chǎn)品之間的協(xié)作，這可不是我們在說笑。比如說，防病毒模塊、反垃圾郵件模塊和內(nèi)容過濾模塊可以共享同一個惡意網(wǎng)址的數(shù)據(jù)庫。飛塔公司發(fā)揮了這種集成做法的功用，其整個網(wǎng)絡(luò)平臺的設(shè)計完全以UTM為中心，同時保留了自身的所有模塊和電子簽名數(shù)據(jù)庫，這在UTM廠商中是極為罕見的。
    當(dāng)然，把所有功能集成到一起還是有缺點的。單個UTM產(chǎn)品不可能發(fā)揮所有部件的功效。Check Point公司、IBM和Juniper公司的UTM設(shè)備集成了公司端的防入侵系統(tǒng)（intrusion-prevention systems） ，但除了它們之外，大多數(shù)UTM防入侵系統(tǒng)在入侵偵測和防御的功能和深度上還是不及獨立的系統(tǒng)。同樣，UTM的防病毒和反垃圾郵件功能也不如獨立的產(chǎn)品。
    另外，廠商在推銷UTM產(chǎn)品時也會有意夸大其辭。君不見，哪款筆記本電腦的電池壽命能有廠商承諾的那么長，而又有哪種啤酒能像電視廣告上吹得那樣讓你周圍美女云集？因此，對于UTM銷售人員夸下的?？?，企業(yè)應(yīng)當(dāng)有充分的準(zhǔn)備。對安全產(chǎn)品進行單一性能評估時，就已經(jīng)很難量化網(wǎng)絡(luò)的帶寬請求了，而對于由6個或更多獨立模塊組成的設(shè)備來說，在真實的網(wǎng)絡(luò)環(huán)境下，如果所有模塊全部開啟，那實際性能肯定大大低于廠商的承諾。正因為此，許多產(chǎn)品都添加了硬件加速功能，但是，如果你沒有在網(wǎng)絡(luò)上實際試用過，你根本無法知道是否可行。
    集成安全系統(tǒng)的另一個潛在缺陷，在于把所有的雞蛋都放進了一個籃子里，也就是說，如果安全體系的某一個環(huán)節(jié)被突破，那很可能會對整個體系造成影響。現(xiàn)在安全軟件的發(fā)展趨勢是增強保護效果，而不是全面整合。
    開源之爭
    某些UTM產(chǎn)品一開始其實就是一堆開源技術(shù)的簡單組合。例如，把 Snort的入侵檢測和防御系統(tǒng)、ClamAV的防病毒技術(shù)以及IPTables和Netfilter的防火墻拼湊在一起，就基本上可以搭建出一個UTM了。通過簡單的整合，再加上一個接口和報告機制，這款UTM就可作為產(chǎn)品上市了。
    Smoothwall公司銷售的正是這樣的產(chǎn)品，并且對此毫不諱言。該公司的產(chǎn)品甚至連界面都是開源和免費的。SmoothGuard 1000能夠保護1，000個網(wǎng)絡(luò)節(jié)點，而售價僅為5，000美元，是其他同類產(chǎn)品的1/2到1/3.Check Point公司的同類產(chǎn)品就賣到了15，500美元。而Astaro公司也坦率地承認(rèn)，其UTM產(chǎn)品（起價1，200美元）的引導(dǎo)區(qū)使用了開源，不過它聲稱這是同類中的總體方案，還表示最近將開源的Squid HTTP代理換成了內(nèi)部開發(fā)的代理。
    有些UTM廠商瞧不起那些基于開源技術(shù)的產(chǎn)品，但事實上，開源軟件同商業(yè)軟件不分伯仲。對于內(nèi)部資源有限但又想采用UTM的公司而言，它們可以先對各個環(huán)節(jié)進行風(fēng)險評估，在風(fēng)險的環(huán)節(jié)投入資金使用商業(yè)軟件，而其他地方則可用開源軟件作為補充。
    盡管如此，在選擇開源還是商業(yè)UTM產(chǎn)品時，還是需要注意一些問題。首先，授權(quán)的變化可能會影響到新版軟件的開發(fā)。例如，在Nessus弱點掃描軟件由2.0升級到3.0時，Tenable Network SecurITy公司改變了它對這款軟件的授權(quán)，盡管主要原因可能是由于3.0版軟件的絕大部分開發(fā)工作都是由內(nèi)部程序員進行的。不過，此前版本的授權(quán)是不會被撤銷的。
    另外一個問題涉及到GPL的衍生作品條款。有關(guān)GPL的許多早期解釋都認(rèn)為，基于編譯版的應(yīng)用程序接口開發(fā)的程序不能算是衍生程序。舉例來說，把Snort軟件拿出來，在配置、管理和輸出數(shù)據(jù)模塊上封裝一個Web接口，這樣得到的產(chǎn)品不算是衍生品。只要原來的程序沒有被修改，那么整個軟件就不需要GPL授權(quán)。但是，現(xiàn)在有一些開源作者對此慣例提出了反對意見。Nmap和Snort公司現(xiàn)在已明確要求，任何利用其程序來制作的軟件，如果影響到了UTM廠商的利益，那就必須事先獲得授權(quán)，例如添加源文件及數(shù)據(jù)文件，或是用安裝程序來封裝等。
    在我們采訪過的UTM廠商中，Snort的應(yīng)用極為普遍，但只有在Sourcefire公司的網(wǎng)站上，Astaro公司才被列為了集成商。其他公司要么正計劃放棄使用3.0系列的產(chǎn)品，要么就是和Sourcefire公司私下達成了某種授權(quán)協(xié)定。Sourcefire公司拒絕透露其中的具體細節(jié)