UTM 上网行为管理该如何选择？

2022-07-15

大企业的选择――偏重于安全

在应用安全网关产品的投标中，往往可以看到UTM，上网行为管理，防病毒网关，Web安全网关这几类的产品。一个企业的公开招标，可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑，究竟什么样的产品才是较符合需求呢?在下面的内容里，将从网络安全的发展角度、用户的需求偏重点、功能、性能等几个方面做具体的探讨。

下面，将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。

如果说路由器实现了企业内部网与Internet的互联互通，那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨，它根据数据包的性质(数据包的性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤，主要发挥在网络层的访问控制保障作用。

网络层防火墙在20世纪90年代推向市场，设计策略遵循安全防范的基本原则是“除非明确允许，否则就禁止”。为了实现企业内部网与Internet的互联互通，以满足企业基本Internet应用的需求，通常网络层防火墙对外开放了80、443、25、110和21等http、https、smtp、pop3和FTP这几种协议常用的标准端口。

然而，如今随着网络技术的发展，80、443、25、110和21端口不再仅仅是常用的http、https、smtp、pop3和FTP等应用协议使用的专利，越来越多的应用可以自动扫描防火墙的开放端口进行通信，例如IM、P2P、流媒体、网络游戏、网络炒股等Internet应用，同时网络威胁的散布与攻击技术也不再限于网络层，而上升到基于http、https、smtp、pop3和FTP等应用协议的数据包中。这样一来传统网络层防火墙基于数据包性质的过滤规则，就没法检测数据包的内容，也就无法分析检测过滤出其中的网络应用威胁。

于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁，像木马、病毒、间谍软件等，出现了防病毒网关(这是国内的叫法，国外叫Anti-malware网关)。同时出现的还有上网行为管理产品，对IM，P2P，流媒体，网络游戏，网络炒股、web2.0站点等加以管控，他的强项在于对于网络应用的管理，而并非防御网络应用威胁。Web安全网关较早出现是在防病毒网关的基础上增加了对URL的分类过滤，主要实现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容的过滤管控。

随着Internet应用技术的发展变化，为了实现全面的Internet应用安全与管理，web安全网关在防病毒的基础上又集成了应用控制、带宽管理等上网行为管理类产品的大部分功能。除了上面应用层的网关厂商，传统的防火墙厂商也在拓展其功能。在传统的网络层访问控制的基础上增加了网络应用的识别与管控，具有了应用控制、带宽管理甚至URL过滤等功能，叫法也变成了应用防火墙。功能较全面的应用网关是UTM，它包括网络层防火墙、垃圾邮件过滤、IPS、防病毒，URL过滤、应用控制和带宽管理等一系列的功能。

但是，面对以上众多功能有相互融合和渗透的产品，用户该如何选购?

大企业的选择――偏重于安全

金融，运营商等大型企业的办公与业务系统对安全非常重视，因为木马，间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损失，所以他们通常都有较完整的网络安全防护架构，防火墙中启用的访问控制策略也比较多，在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用，邮件有专门的邮件安全网关，web需要web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件，但是防护效果不一定满足这类用户的需求。

例如对于防病毒的功能，大企业用户首要关心的是性能，其次是查杀防护效果，即识别率，较后还关心增强的功能，是否支持多种协议，是否具有多种部署方式等，当然功能上至少支持http，https，pop3，smtp，ftp这5种应用协议的扫描过滤。性能是否满足，一上线就能体现，同样对这类用户性能满足的同时，过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个，设备中内置的特征库应该可以找到至少500万个样本，这样才能保证识别1年内的所有威胁。

牺牲特征数量，可以大幅提升性能，但却不能做到有效的防护。通常UTM设备会放2万个左右的特征，较多找到100万左右的样本。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全网关。　Web安全网关与防病毒网关实现的安全部分功能非常类似，但是web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制，这些都可以辅助加强企业的网络安全。例如对IM进行控制，同样可以阻断病毒的一部分传播渠道。