企业信息系统选型宝典首先,让我们来想象一下通过机场安检时的情景。你先走到安检员面前,让他仔细检查你的登机牌和证件,通过后马上又有机场警察拿着金属探测器挡住你的去路,如果探测器没有发出警报,你就可以继续前行,但走不到几步,又得在行李检查线前停下来,等待警卫搜查行李内是否有易燃易爆物品。
在IT世界里,当数据包进入一个高度警戒的网络时,也会遇到类似的情况。随着越来越多用于检查非法入侵、恶意程序、网络攻击、数据泄漏和垃圾邮件的安全软件投入应用,进入系统的数据必须经过多重的检查与核证。与此同时,企业的安全成本当然也在日益增加。有人提出了用一种多功能的产品来替代以上所有的这些安全程序,统一威胁管理(unified threat management,下称UIM)的理念就这样诞生了。
UTM产品适用于各种规模的网络。尽管它们目前主要用于中小型企业,但在分布广泛的大型企业中UIM仍然大有勇武之地。毫无疑问,分布式企业以后将会配置多种UTM产品,而这就会带来管理问题。
企业需要对UTM设备的广布网络进行管理,并将其整合到现有的安全体系当中,幸运的是,大多数厂商都支持用于管理和整合的平台。像Check Point软件公司、思科系统公司(Cisco Systems)、国际商业机器公司(IBM)及Juniper网络公司这类具有成熟安全套件的大型厂商,都将UTM设备集成到了公司现有的整体安全体系中,这是不足为奇的。令人欣喜的是,一些还没有大型综合安全套件的厂商,如Astaro公司、Cyberoam公司、飞塔公司(Fortinet)、信客公司(Secure Computing)、索尼克公司(SonicWall)和合勤公司(ZyXel),也明确表示要解决多重设备管理和安全技术整合的问题。
至于成本方面,UTM市场有一个很有趣的现象,那就是许多设备的内部都整合了开源组件,因此催生出了不少成本低廉的设备,促进了竞争,使用户大大受益。不过,企业必须同时关注通用公共授权证(GPL)的变动,以免惹上侵权官司。
优劣分明
将安全功能全部集成到一个设备上的做法具有很多显而易见的优点,如降低成本、整理安全报告、统一操作界面、简化网络结构以及减轻管理负担等。事实上,这些优点也促进了终端安全套件市场的进一步整合。在桌面电脑市场上,杀毒产品已经成为了安全体系的核心,围绕这一核心正不断地添加周边功能;而在网络市场,防火墙产品则占据了主导地位。
另外,集成安全设备还有一些潜在的好处。首先,它不仅仅意味着虚拟化程度的提高,还能促进计算机向着节能的方向发展。通过UTM可以减少安全设备的数量,从而减少能源开支。此外,UTM还能增强成熟产品之间的协作,这可不是我们在说笑。比如说,防病毒模块、反垃圾邮件模块和内容过滤模块可以共享同一个恶意网址的数据库。飞塔公司发挥了这种集成做法的最大功用,其整个网络平台的设计完全以UTM为中心,同时保留了自身的所有模块和电子签名数据库,这在UTM厂商中是极为罕见的。
当然,把所有功能集成到一起还是有缺点的。单个UTM产品不可能发挥所有部件的最佳功效。Check Point公司、IBM和Juniper公司的UTM设备集成了公司最高端的防入侵系统(intrusion-prevention systems) ,但除了它们之外,大多数UTM防入侵系统在入侵侦测和防御的功能和深度上还是不及独立的系统。同样,UTM的防病毒和反垃圾邮件功能也不如独立的产品。
另外,厂商在推销UTM产品时也会有意夸大其辞。君不见,哪款笔记本电脑的电池寿命能有厂商承诺的那么长,而又有哪种啤酒能像电视广告上吹得那样让你周围美女云集?因此,对于UTM销售人员夸下的海口,企业应当有充分的准备。对安全产品进行单一性能评估时,就已经很难量化网络的带宽请求了,而对于由6个或独立模块组成的设备来说,在真实的网络环境下,如果所有模块全部开启,那实际性能肯定大大低于厂商的承诺。正因为此,许多产品都添加了硬件加速功能,但是,如果你没有在网络上实际试用过,你根本无法知道是否可行。
集成安全系统的另一个潜在缺陷,在于把所有的鸡蛋都放进了一个篮子里,也就是说,如果安全体系的某一个环节被突破,那很可能会对整个体系造成影响。现在安全软件的发展趋势是增强保护效果,而不是全面整合。
开源之争
某些UTM产品一开始其实就是一堆开源技术的简单组合。例如,把 Snort的入侵检测和防御系统、ClamAV的防病毒技术以及IPTables和Netfilter的防火墙拼凑在一起,就基本上可以搭建出一个UTM了。通过简单的整合,再加上一个接口和报告机制,这款UTM就可作为产品上市了。
Smoothwall公司销售的正是这样的产品,并且对此毫不讳言。该公司的产品甚至连界面都是开源和免费的。SmoothGuard 1000能够保护1,000个网络节点,而售价仅为5,000美元,是其他同类产品的1/2到1/3.Check Point公司的同类产品就卖到了15,500美元。而Astaro公司也坦率地承认,其UTM产品(起价1,200美元)的引导区使用了开源,不过它声称这是同类中最佳的总体方案,还表示最近将开源的Squid HTTP代理换成了内部开发的代理。
有些UTM厂商瞧不起那些基于开源技术的产品,但事实上,开源软件同商业软件不分伯仲。对于内部资源有限但又想采用UTM的公司而言,它们可以先对各个环节进行风险评估,在风险最高的环节投入资金使用商业软件,而其他地方则可用开源软件作为补充。
尽管如此,在选择开源还是商业UTM产品时,还是需要注意一些问题。首先,授权的变化可能会影响到新版软件的开发。例如,在Nessus弱点扫描软件由2.0升级到3.0时,Tenable Network SecurITy公司改变了它对这款软件的授权,尽管主要原因可能是由于3.0版软件的绝大部分开发工作都是由内部程序员进行的。不过,此前版本的授权是不会被撤销的。
另外一个问题涉及到GPL的衍生作品条款。有关GPL的许多早期解释都认为,基于编译版的应用程序接口开发的程序不能算是衍生程序。举例来说,把Snort软件拿出来,在配置、管理和输出数据模块上封装一个Web接口,这样得到的产品不算是衍生品。只要原来的程序没有被修改,那么整个软件就不需要GPL授权。但是,现在有一些开源对此惯例提出了反对意见。Nmap和Snort公司现在已明确要求,任何利用其程序来制作的软件,如果影响到了UTM厂商的利益,那就必须事先获得授权,例如添加源文件及数据文件,或是用安装程序来封装等。
在我们采访过的UTM厂商中,Snort的应用极为普遍,但只有在Sourcefire公司的网站上,Astaro公司才被列为了集成商。其他公司要么正计划放弃使用3.0系列的产品,要么就是和Sourcefire公司私下达成了某种授权协定。Sourcefire公司拒绝透露其中的具体细节。(www.babaimi.com设备监理师整理)
