从IDS到UDS

前言古语云：合久必分，分久必合。安全理念也呈现出两种不同的发展趋势，导致安全厂商出现如下的两种战略方向：
一是在安全运营管理框架下统一管理多个厂商的不同安全产品，而不同的安全产品继续向专业化方向不断发展，适应客户不断深入的细化需求。
二是将多种安全技术整合形成一体化安全设备，同时具备多样化的功能，以方便用户解决不同的安全问题。
在第一种趋势下，国内的主流的安全产品厂商纷纷扛起SOC大旗。虽然也有安氏、联想这样因为各种原因中途放弃的，但启明星辰、天融信等厂商依然加大投入，既保持传统产品的持续改进，同时也不断推进SOC体系建设，并取得成功应用。
而第二种趋势下最明显、最具热度的就是以UTM。早在2003年，在市场上销售UTM类型产品的厂商还只有不到十家，而截止至2005年底，仅推出UTM产品的知名厂商就已经达到了2003年的4-5倍以上。
头文字U“U”取自英文单词“unified”的第一个字母。“U”类产品的出现并非出自安全厂商的凭空想象，而是综合用户需求和技术发展发展起来，因此也具有了广泛的市场空间和发展前景。


以网关型“U”类产品为例，现在大多数的UTM具有如下几个大的功能组合：防火墙，病毒过滤、入侵防御、VPN、Anti-Spam、Anti-DOS等。用户从直观的层面就可以感受到综合的安全效果；从投资角度来看，用一套设备取代原来的多套安全设备也是一件非常划算的事情；从部署和管理角度来说，从管理多个厂家的“糖葫芦状”串行设备到管理单一的设备，工作复杂度在减少，串行故障的风险也相对较少。然而，这一切的前提是对UTM产品本身的更高要求，如：稳定性、易用性、有效性等。UTM面临的最大挑战是来自性能压力，对于电信等高端市场来说目前还不具备全面应用的可能；但是网络和安全技术还是在不断提高的，坚持在该方向上的产品发展还是值得期待的。
    主机型的安全产品也面临同样需求。大多数用户已经厌烦在一台主机上安装多种不同类型软件，即使这些软件是可以实现自动分发的方式安装、卸载也不能满足，因此也希望有一种“U”类产品可以同时进行完成所有防护、检测工作。但是，从发展趋势上看，以微软为代表的操作系统厂商会在这方面来统一进行，专业安全厂商的重点发展跨平台的日志采集和管理，属于SOC类的产品范畴。
相对于网关型和主机型的“U”类产品，旁路型的“U”类产品在满足用户需求和技术实现性更具发展前景。启明星辰在国内率先推出了“天清汉马”多功能安全网关，并把UTM作为三大战略其中之一。同时，将统一威胁管理的概念下延伸到传统的网络入侵检测领域，将入侵检测、安全审计、异常流量三大功能实现三位一体，形成旁路综合检测体系。对比UTM和IDS,我们可以将该产品形态定义为：UDS, 一体化网络安全检测系统。UDS具备如下的几个典型优势：
1、
部署优势
旁路产品的通常的接入方式是通过交换机配置镜像或利用串接TAP接入。在没有UDS这种产品形态以前，需要是在交换机上设置多个镜像端口或者串接多个TAP。
既有可能由于多重镜像造成交换机性能下降，也还有部分交换机不支持多重镜像的尴尬。而串接多个TAP，也容易造成单点故障。因此当将旁路检测功能统一到一个设备上来实现，对于产品安装实施和部署是非常有利的。
2、
检测优势
旁路检测的典型流程是将网络上的数据报文进行全面捕获，在保证不丢包的状态下对于数据报文进行分析，根据不同的预定义规则形成安全事件、告警或统计数据。因此在保持底层技术上统一性，而在上层实现多样化的UDS检测系统是有效的扩展了检测范围，可以实现多样化的综合检测需求。同时，在未来的产品架构上也具有很好的扩展性。
3、
管理优势
UDS的部署同时带来管理上的巨大优势，从传统的管理多种不同安全产品到管理的单一化，有效的降低管理的复杂度。
4、
性价比优势
毫无疑问，当用一种综合产品取代多种分离产品，在满足功能和性能要求的同时，其价格优势是非常明显的，可有效的提高用户的投资性价比。

有点意思~~支持一下,大家好好讨论一下，真不错