统一威胁管理(UTM,Unified Threat Management)是指一个功能全面的安全产品,它能防范多种威胁。
基本功能
UTM产品通常包括
防火墙,
防病毒软件,
内容过滤和垃圾邮件过滤器。这个词最初是由
IDC创造的,IDC是市场数据﹑分析及相关服务的供应商。UTM厂商包括飞塔(Fortinet)公司﹑LokTek﹑Secure Computing公司和赛门铁克(Symantec)公司。
UTM的主要优点是简单﹑流线型安装和使用,并且能同时更新所有的安全功能或程序。虽然互联网威胁的性质和多样性变得越来越复杂,UTM产品能够通过调整来及时防范这些威胁。这样就不需要系统管理员一直来维护多种安全程序了。
功能特点
丢失防护
数据丢失防护(DLP)技术主要用于检测和阻止攻击者试图将敏感数据从企业内部渗出到外部位置的行为。DLP可以保护的敏感数据包括
社会安全号码、信用卡号码、医疗记录和知识产品。虽然很多人认为DLP是基于文本的技术,专注于电子邮件和文字处理文档,但事实上,它也能够分析音频、视频和其他非文本形式的文件。
因此,统一威胁管理很适合于部署DLP技术来分析出站流量的内容,并确保防止基于网络的渗出,无论是有意还是无意的。
要做到这一点,首先将DLP配置为测试模式,让它记录但不阻止可疑行为。这样一来,安全团队就有机会来完善DLP规则集,而不会在不经意间阻止良性流量。在DLP经过调整后,它可以被切换为正常模式,以阻止可疑流量。
云中沙盒
某些供应商的统一威胁管理产品可以配合基于云的沙盒服务。如果企业的统一威胁管理设备看到一个试图通过它的可执行文件,并且觉得该文件非常可疑,那么统一威胁管理可以暂停该可执行文件的传输,并转发副本到基于云的沙盒以进行进一步评估。这个沙盒提供了安全的隔离环境来运行这个可执行文件以及分析其行为,这样统一威胁管理就可以确定是否允许或拒绝这个文件。
基于云的沙盒服务可以非常好地发现高级和新兴恶意软件,特别是当统一威胁管理定位为“监控试图进入企业网络的流量”时。然而,有些企业的政策禁止通过电子邮件和其他机制来传输可执行文件,在这种未经授权可执行文件已经被阻止的环境中,使用基于云的沙盒技术将会浪费资源,而不会提供更高的安全性。
带宽管理
一些统一威胁管理产品还提供的另一个功能是服务质量(QoS)执行。这允许通过统一威胁管理的部分或全部的网络服务管理自己的带宽,这样就没有服务会使用太多统一威胁管理的带宽。QoS执行可以有效地限制一些
分布式拒绝服务攻击(DDoS)的影响,例如,当DDoS攻击瞄准受统一威胁管理保护的web服务器时,这不太可能影响统一威胁管理保护的其他服务器和系统的带宽。
企业应该认真考虑在激活QoS执行前监控网络使用情况。这可以帮助确保设置的QoS阈值是基于实际需求的。否则,由于带宽限制,企业关键的流量可能会在无意中被减慢或者完全停止。
安全功能
针对Web与电子邮件的反恶意软件
应用程序控制
防火墙
入侵防御
虚拟私有网络(VPN)
Web内容过滤
统一威胁管理系统还在不断地扩展并增加更多的安全功能,如负载均衡、防止数据丢包(DLP)和带宽管理。而且,预计将来统一威胁管理设备会继续增加新的安全功能。
优势
硬件整合:中小企业管理员可以购买、部署及管理一种设备,或在较大规模的环境中管理员则管理少量设备,而不是多种设备。
简化管理和修补流程:混合型威胁和新兴威胁可能同时针对一个网络的不同部分,如果涉及多种安全设备会引发管理噩梦。 UTM 提供
集中式管理,管理员能够从单一控制台管理面向本地和远程环境的大量威胁。因为只有一种或相对较少的设备需要修补、而不是多个不同设备,补丁管理工作也得以简化。
单一厂商,单一授权,单一维护支持联系人:管理员可以与单一厂商及其支持部门协同,从而形成一种稳固的合作关系,以促进业务连续性。单一设备的授权易于管理,即使企业需求会增长。
较低费用:相较购买多台设备,硬件整合方案提供了一个较低的价格点,而且管理员可以将他们的知识和培训聚焦于一种设备上。