什么是UTM?
统一威胁管理UTM(Unified Threat Management)是一种功能全面的安全产品,作为单个产品能提供多种安全功能,包括反病毒、反恶意软件、防火墙、入侵防御、URL过滤等功能。因此,可以通过单一管理平台监控所有威胁和安全相关活动,通过UTM,用户可以全面、简化地了解安全架构的所有要素。
为什么需要UTM?
除了传统的病毒、木马等威胁,以APT(Advanced Persistent Threat,高级持续性威胁)为代表的高级威胁不断演进,面对巨大的经济利益诱惑,勒索软件、M2M攻击等攻击行为越来越多样。混合威胁的出现,使统一威胁管理设备在行业内赢得了关注。这类威胁结合了不同类型的恶意软件和攻击,会将目标同时瞄准网络的不同独立部分。若分别为单个特定的安全功能使用单独的设备,则很难抵御这类攻击,因为要面对最新形式的恶意软件和网络犯罪保持有效,就必须单独对每一种设备进行管理和更新。
过去要为每个单独的安全功能分别配置不同的安全设备,现在通过UTM提供集中式管理,只需要一台设备就能有效的解决未知威胁攻击。
UTM的优势
UTM的主要优点是配置简单、网络的管理更加灵活和可视,并且能同时更新所有的安全功能或程序。虽然互联网威胁的性质和多样性变得越来越复杂,UTM产品能够提供多种技术在攻击链关键节点阻断攻击。这样就不需要管理员同时维护多种安全程序了,极大的降低了运维难度。
灵活性和适应性
借助UTM,用户可以根据自己的网络需求,使用灵活的解决方案,从一系列安全管理工具中挑选最合适的工具,来处理现代业务基础设施中各种复杂的网络设置。还可以选择使用包含用户所需的各种技术的模式,从而免去逐个购买解决方案的麻烦。
由于UTM非常灵活,管理员可以自由部署合适的多种安全技术。此外,UTM还提供自动更新,让系统时刻准备好应对网络环境中的最新威胁。
集中式集成和管理
混合型威胁和新兴威胁可能同时针对一个网络的不同部分,如果涉及多种安全设备会引发管理噩梦。在没有UTM的正常设置中,管理员可能需要同时协调多个安全组件,包括防火墙、应用控制、VPN等。这需要耗费团队的时间和资源。借助UTM提供集中式管理,管理员能够从单一控制台管理面向本地和远程环境的大量威胁。这样可以更轻松地监控系统,以及处理UTM中可能需要更新或检查的特定组件。因为只有一种或相对较少的设备需要修补、而不是多个不同设备,补丁管理工作也得以简化。
性价比高
由于采用集中式设置,中小企业管理员可以购买、部署及管理一种设备,或在较大规模的环境中管理员则管理少量设备,而不是多种设备。相较购买多台设备,UTM减少了组织保护网络所需的设备数量。这可能会大幅节省成本。此外,由于监控系统所需的人员减少,还可以节省人力成本。
提高对网络安全威胁的认识
UTM的集中化和更快的操作相结合,提高了管理员对网络安全威胁的认识,管理员能够实施高级持续性威胁 (APT)。这样,IT团队可以更好地管理高级持续性威胁 (APT) 以及网络环境中的其他新型风险。
更快的安全解决方案
借助UTM,管理员可以简化数据处理方式,并减少使用资源。相对于多个组件彼此独立运行,UTM所需的资源较少。UTM带来的更高效率可以让管理员腾出资源,更好地管理其他依赖于网络的关键流程。
UTM的必备功能
理想的UTM解决方案必须具备以下主要功能。
UTM包含反病毒软件,可以监控网络,检测并阻止病毒损害系统或与系统连接的设备。为此,需要利用签名数据库中的信息,检查系统中是否存在处于活动状态的病毒,或是否有病毒在试图获取访问权限。UTM中的反病毒软件可阻止的一些威胁,包括受感染的文件、特洛伊木马、蠕虫、间谍软件和其他恶意软件。
反恶意软件
UTM通过检测并处理恶意软件来保护网络免受恶意软件的攻击。UTM可以预先配置为检测已知恶意软件,将恶意软件从数据流中过滤掉,并阻止其渗透系统。UTM还可以配置为使用启发式分析来检测新型恶意软件威胁,这个过程需要使用规则来分析文件的行为和特征。例如,如果某个程序被设计成会阻止计算机的摄像头正常工作,则启发式方法可以将该程序标记为恶意软件。UTM还可以联动沙箱作为反恶意软件措施。沙箱是一个虚拟系统程序,允许用户在虚拟环境中运行浏览器或其他程序。即使恶意软件能够运行,沙箱也会阻止它与计算机中的其他程序交互。
防火墙
防火墙能够扫描传入和传出流量,以确定是否存在病毒、恶意软件、网络钓鱼攻击、垃圾邮件、网络入侵攻击以及其他网络安全威胁。由于UTM防火墙会同时检查进出网络的数据,因此还可防止某个网络中的设备被用于将恶意软件传播到与该网络连接的其他网络。
UTM系统可以为企业提供入侵防御功能,常见的入侵方式包括大众熟悉的木马、蠕虫、注入攻击、僵尸网络、DDoS攻击、跨站脚本攻击、暴力破解等。UTM系统检测并防御攻击,保护企业信息系统和网络架构免受侵害。此功能通常称为入侵防御系统(IPS)。为了识别威胁,IPS会分析数据包,查找已知的威胁模式。当识别出任何一种已知的威胁模式时,IPS会阻止攻击。
在某些情况下,IPS只会检测危险的数据包,由IT团队决定如何处理威胁。攻击制止措施可以自动执行,也可以手动执行。UTM还会记录恶意事件。然后,可以分析这些日志,并将其用于防御未来的其他攻击。
虚拟专用网络 (VPN)
UTM设备附带的虚拟专用网(VPN)功能类似于常规VPN基础设施。VPN会在公用网络上建立专用网络,使用户能够通过公用网络发送和接收数据,并避免自己的数据被别人看到。所有传输都是加密的,因此即使有人截获数据,也无法利用数据。
UTM的URL过滤功能可防止用户查看特定URL,具体做法是,阻止用户的浏览器访问某些网站。可以根据特定的需求,将URL过滤器配置为针对某些网站。
例如,如果管理员想防止员工被某些社交媒体网站分散注意力,可以在员工联网的情况下阻止他们的浏览器访问这些网站。
数据防泄露
UTM设备的数据丢失预防功能可以检测并防御数据泄露和数据窃取攻击。为此,数据防泄漏系统监控敏感数据,当发现有恶意攻击者试图窃取数据时,会阻止攻击,从而保护数据。
华为UTM防火墙的优势
华为推出的AI防火墙具备UTM功能,通过全新软硬件架构,有效应对网络威胁挑战。
- 使用智能技术赋能边界防御,精准阻断已知和未知威胁。
- 内置多个安全专用加速引擎有效提升转发、内容安全检测、IPSec等关键业务处理性能。
- 通过安全运维平台实现防火墙、入侵防御、抗DDoS等多类安全产品的统一管理和运维,降低安全运维OPEX。
更多产品介绍请参见:华为AI防火墙产品文档。
