UTM(Unified Threat Management ：統一威脅管理)產品的概念最早出現在2002年，當時由于混合網絡威脅的出現，為了滿足用戶對防火墻、IDS、VPN、反病毒等產品的集中部署與管理需求，一些安全廠商提出將多種安全技術整合在同一個產品當中，這便是UTM的雛形。通過多年探索，業界對UTM產品較為一致的定義如下：通過安全策略的統一部署，融合多種安全能力，針對對網絡自身與應用系統進行破壞、利用網絡進行非法活動、網絡資源濫用等威脅，實現精確防控的高可靠、高性能、易管理的網關安全設備。

作為一個部署在安全域邊界且具備多種安全功能(防火墻、入侵防御、網關防病毒、VPN等)的網關產品，用戶自然會對UTM產品的高可用性提出嚴格要求。同時，UTM廠商也按照各自思路提出了各種各樣的高可用性(HA：High Available)實現模式，這些模式可以分為以下兩類。

1. ByPass模式

通過內置的開關電路，在UTM設備出現異常情況時實現兩個特定網絡端口之間的全通，無條件放行所有流量。

Bypass模式優點：

l 功能實現簡單——現有的工控機，都已在以太網電口上實現了硬件Bypass功能，異常情況下(設備掉電/重啟/系統掛死等)，設備會通過繼電器開關自動將兩個以太網端口實現物理直連，實現報文全通。

Bypass模式缺點：

存在安全隱患——對于UTM設備而言，防火墻是一個基礎模塊，而防火墻模塊的功能特點就是除非用戶配置，否則默認阻斷。而Bypass模式下，最基礎的防火墻模塊實際上已經被繞過了，任何報文都能通過網關設備，這對于安全性要求較高的用戶來說，是絕對不能接受的。

應用范圍較窄——只能在UTM設備工作在雙端口透明模式下才能起作用，多端口透明橋模式、路由模式或混合模式下，即使啟用了Bypass功能也無法確保業務正常連通。

從以上的討論可以看出，ByPass模式更適合在專業的IPS產品上應用，因為專業IPS產品的部署方式已經嚴格限定為透明模式跨接在一條或多條鏈路上，每一路輸入嚴格對應到一路輸出。同時，部分剛剛進入UTM領域的廠商，在其UTM產品沒有完全穩定之前，也經常采用Bypass功能，來避免設備不穩定對用戶造成的影響，同時降低自身的售后服務壓力。

2. 會話同步模式

采用兩臺或多臺UTM設備通過心跳線來同步會話信息并監控對方的狀態來實現HA功能，在出現異常情況時通過主備切換或接管問題設備工作的方式保證業務可用性。

會話同步模式優點：

安全功能完整——會話同步模式在進行主備切換或主主切換時，用戶業務不受影響，同時用戶設定的安全策略仍然繼續執行。

網絡適應性好——對網絡拓撲沒有特別要求，可以滿足絕大部分用戶環境。

可提高網絡吞吐性能——主主HA組網下，可以將網絡流量分配到兩臺或多臺UTM設備上進行處理。

會話同步模式缺點：

實現相對較為復雜，特別是在主主模式、大流量環境以及全網狀組網情況下，如何確保UTM設備所有會話的及時同步對于廠商的研發實力有較高要求。

UTM設備的會話同步模式與傳統的狀態檢測防火墻還有所區別，UTM需要在保證網絡層同步會話的前提下實現入侵防御模塊及防病毒模塊相關檢測信息的完整性。例如，用戶通過網頁下載某個大文件，傳統防火墻要做的工作就是將本次下載的相關會話信息同步到另一臺防火墻上去，當進行HA切換時，另一臺防火墻無需重新建立會話，直接將相關報文放行，用戶感覺不到設備切換。而對于UTM設備而言，為了防止出現防病毒模塊的誤報和漏報，還必須將已下載文件的相關信息進行同步，這進一步提高了會話同步模式在UTM上的應用難度。

啟明星辰公司的UTM產品——天清漢馬USG一體化安全網關采用高性能的硬件架構和一體化的軟件設計，集高性能防火墻、VPN、入侵防御(IPS)、防病毒、外聯控制、抗拒絕服務攻擊(Anti- DoS)、內容過濾、反垃圾郵件、NetFlow等多種安全技術于一身，同時全面支持高可用性(HA)功能，為網絡邊界提供了全面實時的安全防護，幫助用戶抵御日益復雜的安全威脅。

例如，在青海電信IT系統安全改造項目中，青海電信采用天清漢馬UTM部署在全省辦公網統一出口，通過天清漢馬UTM的入侵防御、網關防病毒、網絡外聯控制等功能的協同配合，確保內部用戶得到更好的安全保護，并在工作時間封堵IM、P2P、網絡游戲等網絡濫用。同時，兩臺天清漢馬UTM與已有的思科核心交換機之間采用全連接方式進行部署，通過天清漢馬UTM的備份功能，確保電信相關業務的高可用性。

圖1

通過統一分析引擎技術和統一事件庫技術，天清漢馬UTM在開啟全部功能時，整機的轉發性能下降幅度最小，同時，天清漢馬UTM的HA功能保證了用戶業務的高可用性。