统一威胁管理设备：等待成熟的青苹果

根据IDC最近发布的 2005年6月全球安全设备跟踪季度报告所提供的数据，2005年第一季度， UTM安全设备市场发展迅速，与2004年第一季度相比营收增长超过123%，销售数量增长近190%。IDC 预测UTM 市场在短期内仍将会有大幅度的增长，并以年均16.8%的速度递进，到 2008 年时达到 34.5 亿美元。其中防火墙/VPN部分增长势头将持续到 2006 年，然后开始下降，总的来说，到这个预测期间结束时， UTM将成为市场的主流。

另外需要注意的是 ，IDC 预测市场将以“波浪形”的模式发展，2004～2005 年的增长速度加快，然后到 2006～2007 年将会下降，到 2008 年重新开始上升。这个预测同时考虑了新购买和以往设备更新替代的因素。在厂商发布新型号产品之前，市场将会增长缓慢;而当厂商发布新产品时，市场增长率会提高。IDC 预计今后几年UTM市场将会按照这个模式趋势发展。

在这些乐观的市场分析背后，我们也会看到一些值得担心的问题，例如这些设备可能造成网络中的单故障点，而且其中的单个安全功能也许不是同类功能产品中最好的。

据一次对来自至少拥有1千名雇员企业的653位IT经理的调查发现，尽管厂商为克服这些缺点付出了努力，但最终用户仍持怀疑态度。Forrester Research未发表的研究报告显示，不足五分之一的人偏爱单台多功能安全设备，而大多数人喜欢多台单功能设备。

Forrester分析师Rob Whiteley说:“这并不代表需求的问题，而主要是由于一体化设备还不够成熟。目前出现在市场上的多功能设备，很多都没有处理一体化的足够能力。这种不成熟所带来的故障和宕机，反而会使安全风险比原来更大。”

实际上，已经有用户因为上述原因，放弃了已经购买的一体化安全设备，Summit Information Systems公司网络经理就弃用了一台这样的设备。他说:“有一次我们在同一个平台上运行多个功能，一下就耗完了处理能力，我不得不减少功能来保持性能。”该公司现在使用分离的防火墙、入侵检测和入侵防御平台。“这样做有点麻烦，但是是值得的。”

除了性能上的考虑，还有一部分企业的安全负责人认为，使用多个单独设备在安全上更可取，因为这些系统可以相互加强。比如路由器阻塞了某些端口，防火墙被配置为阻塞同样的端口。这样外部进入公司的数据流至少要经过两种采用不同方式和互补规则的安全系统。虽然两种系统阻塞或开放的是同样的端口，但它们是以不同的方式做这件工作的。

技术的脉络

当然，更多企业还是对于管理众多单独的安全系统倍感头痛，比如企业在同时部署防火墙、防毒、IDS就会发现，三种不同系统的控制接口难以操作，整体控制界面也因此难以掌握，企业往往需要设定三台安全设备上，三套以上不同管理界面的软件，一旦遇到病毒或入侵事件，还要把记录导出来做交叉比对。

很多安全专家也认为，拥有更多的设备，会增加误配置的可能性，很明显，“当使用多台单功能设备时，人类犯错误的概率呈几何级数增加。”

虽然UTM设备在管理上有很强的优势，但另一个矛盾也随之而来，那就是，越来越集成化的产品，也使得单点故障所导致的可用性问题越来越突出，在其他领域，这主要是设备更换的成本问题，但在安全领域却不同，集成化的多功能设备一旦瘫痪，整个网络都将毫无防备地暴露在危险之中，以目前蠕虫病毒、黑客攻击的泛滥猖獗，这样不设防的信息系统可能在几分钟甚至更短的时间内就会遭到毁灭性的破坏。

安全专家建议，企业如果采用UTM设备负责整个网络的安全，最好配置为两个平台以热故障切换模式运行，如果一个平台发生故障，另一平台立即接手承担处理任务。