統(tǒng)一威脅管理（Unified Threat Management, 簡(jiǎn)稱UTM ）

源于在防火墻的基礎(chǔ)上，添加防病毒、入侵檢測(cè)功能而合成為一體化設(shè)備

人們經(jīng)常把UTM與多功能的防火墻混淆，青出于藍(lán)還是藍(lán)嗎？

UTM設(shè)備，正在成為安全舞臺(tái)上一顆冉冉升起的新星。

UTM安全設(shè)備的定義是指一體化安全設(shè)備， 它具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能，但這幾項(xiàng)功能并不一定要同時(shí)得到使用，不過(guò)它們應(yīng)該是UTM設(shè)備自身固有的功能。

然而，人們總是會(huì)用看防火墻的眼光來(lái)看UTM，有時(shí)候，甚至一些廠商在投標(biāo)過(guò)程中，為了迎合標(biāo)書，也將UTM作為防火墻去投標(biāo)。水，越攪越渾，面對(duì)事關(guān)信息系統(tǒng)安全的設(shè)備，我們需要有一雙清澈的眼睛。

統(tǒng)一威脅管理的基本功能示意圖

UTM族譜

為了對(duì)付混合威脅，滿足中小企業(yè)對(duì)防火墻、IDS、VPN、反病毒等集中管理的需求，一些廠商將這些技術(shù)整合進(jìn)一個(gè)盒子里，設(shè)計(jì)出高性能的統(tǒng)一威脅管理的設(shè)備。這樣的設(shè)備一般安裝在網(wǎng)絡(luò)邊界，也就是位于局域網(wǎng)（LAN）和廣域網(wǎng)（WAN）之間，子網(wǎng)與子網(wǎng)交界處, 或?qū)Ｓ镁W(wǎng)與公有網(wǎng)交界處，同時(shí)也可被設(shè)置于企業(yè)內(nèi)網(wǎng)和服務(wù)供應(yīng)商網(wǎng)絡(luò)之間。它的優(yōu)勢(shì)在于將企業(yè)防火墻、入侵檢測(cè)和防御以及防病毒結(jié)合于一體，VPN通常也集成在內(nèi)。這種盒子就是UTM的雛形。

在過(guò)去的五年中，這樣的“黑盒子”從不同側(cè)面有過(guò)五六種不同的叫法。例如， “網(wǎng)絡(luò)防御網(wǎng)關(guān)”（Network Prevention Gateway-NPG）是指定位在企業(yè)網(wǎng)絡(luò)系統(tǒng)邊界處進(jìn)行防御的專用硬件安全設(shè)備。它可以是基于硬件體系的，具有防病毒功能，兼有VPN、防火墻、入侵檢測(cè)功能的網(wǎng)絡(luò)防護(hù)網(wǎng)關(guān)。有一段時(shí)間，曾流行簡(jiǎn)稱之為“All in One”，即多種功能包含在一個(gè)盒子里，成為一體化集成安全設(shè)備。后來(lái)，又掀起“病毒防火墻AV Firewall”的稱呼，重點(diǎn)突出在防火墻中融入防病毒功能，或者叫“防毒墻”。“綜合網(wǎng)關(guān) Gateway”則強(qiáng)調(diào)其綜合性。而“網(wǎng)絡(luò)安全平臺(tái) Network Security Platform”的叫法較為廣義，仍沿用至今，因?yàn)榫W(wǎng)絡(luò)安全設(shè)備實(shí)際上是一個(gè)平臺(tái)，可將多個(gè)安全功能集成在內(nèi)。“七層防火墻 Seven Layer Firewall”迎合眾多用戶的心理要求，表示不僅要防護(hù)網(wǎng)絡(luò)層，而且深入到應(yīng)用層的防護(hù)。

PK傳統(tǒng)防火墻

UTM與傳統(tǒng)的防火墻有哪些本質(zhì)區(qū)別呢？主要體現(xiàn)在以下幾個(gè)方面。

其一，防火墻功能模塊工作在七層網(wǎng)絡(luò)協(xié)議的第三層。大多數(shù)傳統(tǒng)防火墻用一種狀態(tài)檢測(cè)技術(shù)檢查和轉(zhuǎn)發(fā)TCP/IP包。UTM中的防火墻在工作中不僅僅實(shí)現(xiàn)了傳統(tǒng)的狀態(tài)檢測(cè)包過(guò)濾功能，而且還決定了防病毒、入侵檢測(cè)、VPN等功能是否開啟以及它們的工作模式。通過(guò)防火墻的策略，各種功能可以實(shí)現(xiàn)更好的融合。

其二，從整個(gè)系統(tǒng)角度講，UTM防火墻要實(shí)現(xiàn)的不僅僅是網(wǎng)絡(luò)訪問(wèn)的控制，同時(shí)也要實(shí)現(xiàn)數(shù)據(jù)包的識(shí)別與轉(zhuǎn)發(fā)，例如HTTP、Mail等協(xié)議的識(shí)別與轉(zhuǎn)發(fā)，對(duì)相應(yīng)的模塊進(jìn)行處理， 從而減輕其他模塊對(duì)數(shù)據(jù)處理的工作量，提高系統(tǒng)性能和效率。

其三，UTM防火墻能植入很多更高的新功能，例如虛擬域、動(dòng)態(tài)路由和多播路由，它支持各種新技術(shù)，例如VoIP、H.323、SIP、IM和P2P等，起點(diǎn)高，應(yīng)用前景更廣，適應(yīng)性更強(qiáng)。

其四，從UTM的操作界面上，用戶就可以清楚地看出，UTM防火墻策略有很多種選擇，宛如在一個(gè)網(wǎng)絡(luò)門戶大平臺(tái)上，植入內(nèi)容豐富的機(jī)制，層次分明、操作簡(jiǎn)單、同時(shí)又靈活實(shí)用。隨著策略的設(shè)置，網(wǎng)絡(luò)的防護(hù)也隨之展開星羅密布的安全哨卡。

同時(shí)，UTM的網(wǎng)關(guān)型防病毒與主機(jī)型防病毒不同。網(wǎng)關(guān)型防病毒作為安全網(wǎng)關(guān)，必須關(guān)閉脆弱窗口，在網(wǎng)絡(luò)的邊界處阻擋病毒蠕蟲入侵網(wǎng)絡(luò)，保護(hù)內(nèi)部的網(wǎng)絡(luò)安全。要做到這點(diǎn)，網(wǎng)關(guān)必須能夠掃描郵件和Web內(nèi)容，在病毒到達(dá)內(nèi)部網(wǎng)絡(luò)時(shí)進(jìn)行清除。病毒和蠕蟲防御功能要求能夠百分之百檢測(cè)、消除感染現(xiàn)有網(wǎng)絡(luò)的病毒和蠕蟲，實(shí)時(shí)地掃描輸入和輸出郵件及其附件，支持HTTP、SMTP、POP3、IMAP和FTP協(xié)議，實(shí)現(xiàn)高速度掃描技術(shù)。安全網(wǎng)關(guān)還要包括反間諜插件，對(duì)流行的灰色軟件予以識(shí)別和阻斷，同時(shí)，能夠消除VPN隧道的病毒和蠕蟲，阻止遠(yuǎn)程用戶及合作伙伴的病毒傳播，病毒特征庫(kù)則可以在網(wǎng)上在線自動(dòng)更新。

解剖UTM

UTM需要在不影響網(wǎng)絡(luò)性能情況下檢測(cè)有害的病毒、蠕蟲及其它基于內(nèi)容的安全威脅的產(chǎn)品，有的系統(tǒng)不僅集成了防火墻、VPN、入侵檢測(cè)功能，還融入內(nèi)容過(guò)濾和流量控制功能，提供了高性價(jià)比和強(qiáng)有力的解決方案。由于UTM系統(tǒng)需要強(qiáng)勁的處理能力和更大容量的內(nèi)存來(lái)支持，消耗的資源必然是很大的，僅利用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)，要實(shí)現(xiàn)應(yīng)用層處理，往往在性能上達(dá)不到要求。只有解決功能與性能的矛盾，UTM才能既實(shí)現(xiàn)常規(guī)的網(wǎng)絡(luò)級(jí)安全（例如防火墻功能），又能在網(wǎng)絡(luò)界面高速地處理應(yīng)用級(jí)安全功能（例如病毒與蠕蟲掃描）。雖然UTM實(shí)現(xiàn)的技術(shù)途徑可以有多種，采用ASIC解決功能與性能矛盾，仍是公認(rèn)的最有效主要方法。能夠支撐一個(gè)優(yōu)秀的UTM設(shè)備，最主要有三種優(yōu)秀技術(shù)實(shí)現(xiàn)途徑來(lái)保障。

其一，ASIC加速技術(shù)。在設(shè)計(jì)UTM系統(tǒng)的總體方案中，有著兩類不同加速用途的ASIC，也就是說(shuō)，它們朝著兩個(gè)方向發(fā)展：一是應(yīng)用層掃描加速，另一是防火墻線速包處理加速。

其二，定制的操作系統(tǒng)（OS）。實(shí)時(shí)性是UTM系統(tǒng)的精髓。多功能集成的安全平臺(tái)需要一套專用的強(qiáng)化安全的定制操作系統(tǒng)。這一OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)。 通過(guò)基于內(nèi)容處理的硬件加速，加上智能排隊(duì)和管道管理，OS使各種類型流量的處理時(shí)間達(dá)到最小，從而給用戶帶來(lái)最好的實(shí)時(shí)性，有效地實(shí)現(xiàn)防病毒、防火墻、VPN和IPS等功能。

其三，高級(jí)檢測(cè)技術(shù)。貫穿于UTM整體的一條主線實(shí)際是高級(jí)檢測(cè)技術(shù)。先進(jìn)的完全內(nèi)容檢測(cè)技術(shù)（CCI）能夠掃描和檢測(cè)整個(gè)OSI堆棧模型中最新的安全威脅，與其它單純檢查包頭或“深度包檢測(cè)”的安全技術(shù)不同，CCI技術(shù)重組文件和會(huì)話信息，可以提供強(qiáng)大的掃描和檢測(cè)能力。只有通過(guò)重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。為了補(bǔ)償先進(jìn)檢測(cè)技術(shù)帶來(lái)的性能延遲，UTM使用ASIC芯片來(lái)為特征掃描、加密/解密和SSL等功能提供硬件加速。