【IT168 专稿】自2004年IDC首度提出统一威胁管理（UTM）的概念以来，UTM逐渐被众多厂商所追捧。据IDC预测，到2008年UTM市场将维持平均80%的年增长率并形成20亿美元的细分市场，信息安全市场的57.6%将是UTM的天下。

　　经过几年的市场培育，UTM作为域边界的主要防护设备也逐渐取得了用户的认同。但与此同时，众多用户对于如何选择和部署UTM产品仍然持有诸多疑惑。复杂的管理和维护令用户对UTM又爱又恨，安全究竟应该复杂还是简单成了当前用户和安全厂商关注的焦点所在。

　　网关安全日益复杂

　　随着网络的日益普及，网上的攻击手段和病毒也呈现出不断变化和泛滥之势，用户所面临的安全威胁越来越复杂多变。除了威胁程度日益增加的病毒和蠕虫，还必须面对更加复杂的攻击型态如木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼和网站嫁接等多种攻击。

　　随着对安全的要求程度越来越高，该运营商对于选择和部署安全网关也开始有了困惑。原来传统的状态检测包过滤防火墙已经不足以抵挡混合式攻击的威胁，而如果配置VPN服务器、防火墙、入侵检测系统等多个安全网关能够构建一个相对安全的网络环境，但随之而来的是初期设备购置投入高、整体性能下降、后期管理分散及人员培训成本提高等问题。

　　如果采用来自于不同厂商的多个安全网关，设备之间的相互配合也会存在较大问题。当存在多个网关实体时，需要分别实施安全策略，在此情况下想要保证安全策略实施的一致性是非常困难的。

　　此外，在安全网关日常维护过程中，安全管理粒度越来越细，一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单，但对于多台具备不同功能尤其当存在多级网关设备时，对安全网关进行相应维护则会非常复杂。对于网络流量与业务的实时监控是网管人员判断网络安全的重要依据，单一功能安全网关提供的信息不全面，多个安全网关提供的信息关联性差，需要较多的分析工作，这也加大了管理维护工作的复杂度。

　　防火墙和UTM各有不同

　　不可否认，UTM由于具备2-7层的检测和控制能力，能够起到比较全面的防御作用。然而目前UTM却面临两个问题：

　　一个问题是，对应用层检测的精度。“对症下药”医学领域的一个原则，只有准确定位病情，才能适当下药以治疗。映射到网络安全上也是同样道理，应用层威胁的检测识别是进行控制防护的基础，是关键点和难点。

　　另一个问题是多功能与高性能较难平衡。UTM起用多种高级安全能力时，对系统资源占用较高，会使得整体性能下降；有些采用ASIC平台提高性能，ASIC平台对于防火墙的基本功能可以实现，而对于AV和IPS等高级功能难以实现。

　　与此同时，防御技术的发展，一些和UTM有类似功能的集成式的防火墙出现了。有一点已经引起了一些用户的注意：在现有防火墙基础上增加功能，肯定会影响到运行效率。若要解决这个问题，有硬件和软件两种解决方式：采用高性能的ASIC硬件平台或采用优化的软件体系架构和技术。

　　考虑到ASIC芯片的功能是固化的，开发周期比较长，无法在芯片一级完成杀毒、入侵防御、垃圾邮件过滤等比较复杂的功能；防病毒、入侵防御等技术的发展日新月异，基于ASIC架构的UTM产品很难跟上威胁技术的发展速度。因此启明星辰选择了优化软件体系架构的方式来解决安全与效率之间的平衡问题。

　　优化软件体系具有三个主要步骤：
　　①检测与控制相分离，这是一体化设计的基础；
　　②特征库归一化，将病毒库、入侵特征库、内容过滤库等统一格式，成为统一特征库；
　　③对算法进行优化，使之做到与库大小、文件大小无关。
　　通过这三个步骤，可以确保USG产品的使用性能，有效保持安全和效率之间的平衡。

　　启明星辰认为，结成了某些功能的防火墙和真正的UTM不能完全等同。目前市场上的UTM，其安全防护功能大致有两种主要实现方式：

　　一种是在原有防火墙或IPS基础上叠加更多的安全功能，称为“叠加式UTM”。叠加式UTM各个功能模块之间是松藕合的关系，协同配合困难，分别占用系统资源，效果较差。这种简单的功能叠加并不能够真正满足用户需求。另一种是从用户安全需求本质出发，对UTM进行一体化的设计，称为“一体化UTM”。一体化UTM通过一体化的软件体系架构设计，真正将各功能模块融合到一起，协同工作，防御效果非常好的。天清汉马USG就是通过设计一体化，做到了部署一体化、防御一体化、管理一体化，对用户的安全防护起到了非常好的效果。

　　市场上，多数号称多功能防火墙接近于 “叠加式的UTM”，但功能的丰富程度和深入程度都还要弱一些，是目前一些防火墙厂商对原有市场进行保护的一种策略，随着UTM市场的迅速发展，“多功能防火墙”将会消失，要么进化为UTM产品，要么退为纯粹的防火墙。

　　UTM产品发展到这一个阶段，我们认为现在应该到了重新定义防火墙的阶段了，更准确的讲应该还防火墙本来面目。防火墙的定位是工作在2-4层，而UTM定位为2-7层，更加关注应用层安全，两者之间的定义从根本上不同。

　　很多用户的需求要求网关实现更多、更高级的安全功能，所以防火墙在传统定义的基础上开始增加协议检测、内容分析、关键字过滤等应用层的功能，但这些功能的完整性和有效性方面做得均不理想。而UTM的出现正好满足了这部分用户的需求，且市场表现使其成为非常好的的解决方式，在这种情况下，UTM作为2-7层全方位安全防护产品，防火墙作为2-4层精准防火墙产品是比较明确的，划清二者的界限也就显得非常重要了。

　　未来产品应用应该划分更为清晰，多数中小企业出于降低成本、提高防御水平、简化管理维护的目的，希望部署UTM设备。单一防火墙则在这类用户的作用无疑将逐渐减弱，但个人认为，在一些运营网络中，高性能防火墙的需求还会长期存在。

　　在一般的企业市场中，防火墙要继续生存，需要真正意义上往应用层防御发展，重点增加入侵防御、防病毒、P2P/IM防控等方面的功能，进化为UTM，而不是再继续以防火墙的身份生存。

　　化繁为简才是解决之道

　　复杂的威胁、复杂的部署、复杂的策略和复杂的维护，让很多用户对网络安全有“剪不断、理还乱”的感觉。启明星辰认为，将用户的网络安全系统“化繁为简”，将是网络安全设备发展的真谛。而欲成就“简单”，需要从“一体化”入手，做到设备一体化、设计一体化、管理一体化。

　　统一威胁管理设备（UTM）的本质就是设备一体化，这已经成为业界的共识。在同一硬件平台上融合多种安全功能，做到设备一体化是解决部署复杂的良药。

　　在设备一体化的前提下，继而需要解决的是针对复杂威胁的防御能力，这体现在功能和性能两个方面。也就是说既要完全发挥每个功能模块的作用，相互实现配合，又要保障性能。这就要求在软件体系设计上进行创新，实现一体化设计，解决复杂的威胁和复杂的策略实施。

　　管理一体化是站在用户角度对“简单”的有效诠释，当管理对象为单台设备时，“一体化”体现在多个功能之间；当管理对象为多台多级设备时，“一体化”更体现在统一部署的网关设备和安全策略间。当然，对于界面、逻辑方面的“易理解、易学习、易记忆”的维护要求也是“管理一体化”的重要组成部分。这将从根本上解决复杂的策略实施和复杂的管理两大难题。