【IT168 专稿】经过三年多的发展，经历了初始的狂热和短期的沉寂，UTM进入了稳定快速的发展阶段。早在2006年3月，IDC在其年度报告中就预测当年UTM市场增长率为24.9%;2007年3月，IDC的年度报告中对UTM实际增长率的统计数据为84.3%，与此相应的防火墙市场的增长率则低于预期。对此，IDC进行了分析，认为用户对安全网关产品的需求并没有下降，整体仍然保持比较高的增长速度，防火墙市场空间下降的主要原因是“用户对UTM认可所致”，这也是UTM市场快速增长的原因。

    UTM究竟是什么？

    笔者理解UTM定义至少包括如下三个要素：

　　1.面对的威胁

　　UTM部署在网络边界的位置，针对2-7层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。

　　①对网络自身与应用系统进行破坏的威胁：此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

　　②利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马，通过这个工具，不法分子获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，毒害人民群众，追逐政治目的。

　　③网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响到正常业务的使用；又如，股票软件是正常行为，但上班时间使用，降低了工作效率，对公司或单位构成了间接损失。这些行为都属于网络资源滥用。

　　当然，由于是以结果进行分类，有些威胁可以同时归属于两类，例如SQL注入，有些注入是为了获取信息，达到政治或经济目的，属于第二类；有些注入后是为了修改网页，达到破坏正常网站访问业务的目的，属于第一类。这并不影响分类覆盖范围的全面性。

　　2.处理的方式

　　UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御（IPS）、防病毒（AV）、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。

　　当然，对于众多的功能，有必备功能和增值功能之分。一般而言，防火墙、VPN、入侵防御、防病毒是必备的功能模块，缺少任何一个不能称之为UTM。其余是增值功能，用户可以根据自身需求进行选择。

　　站在用户角度，面对的是整个网络、所有业务的安全，整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键，各自为战是不能实现整体安全策略的。因此在UTM处理方式中，需要特别考虑策略的协调性、一致性。

　　3.达成的目标

　　有了面对的威胁对象和处理方式之后，就要看UTM能达成的目标了，也就是价值。UTM设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速、或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，“精确识别和控制”是最为关键的。

　　同时，UTM整合多种安全能力后，仍然需要保持比较高的性能，因此性能不能有明显下降；安全网关设备的可靠性要求毋庸置疑的；此外，由于设备的功能多，对网管员的要求高，管理方便、配置简单当然也是UTM类设备要达成的目标。

    如何选择UTM

　　 一、你真正需要什么?

　　 在分析这个市场上的产品之前，确定企业的具体安全需求。

　　 尽管在购买许多类型的IT安全产品时也会提出这样的要求，但对于像UTM设备这样的技术尤其如此，因为UTM将许多安全功能集成到一个系统中。目前市场上有几十种UTM产品，它们在特性、功能和价格上存在着很大的差异。并不是所有的企业都需要某些可能会增加总成本和部署复杂性的安全特性与功能。

　　 Crotty说：“如果你打算评估UTM设备的话，从基本的问题入手：你需要什么?你的公司有多大?你公司规模将扩大吗?仅这些问题就有可能把产品清单减少三分之二。一些产品主要是针对大企业的，另一些是针对低端市场的。”

　　 二、了解其他用户对厂商产品的看法

　　 在从Fortinet购买UTM之前，加州Vista市全球医疗设备提供商DJO拜访了多家公司，他们使用过来自不同厂商的UTM设备。DJO企业基础设施副总裁John Iraci表示，公司希望了解运行这类产品所需要的管理水平、使用它们的难度、防火墙与VPN配合得如何以及其他问题。

　　 Iraci说，这种付出得到了回报。DJO成功地将Fortinet产品部署到它的全球环境中，并看到了增强的安全性的好处。该公司在总部以“高可用性模式”部署了两台UTM设备，它们被用于帮助提供防火墙、IPS、VPN和Web过滤安全性。DJO能够很容易地将IPS功能部署到它的网络中，无需添加额外的硬件，也不会超出它的安全预算。

　　三、调查与测试

　　 Crotty认为，许多机构，尤其是较小的机构，没有内部测试产品的时间和资源。但它们可以利用发表的产品测评和使用来自像ICSA Labs这类机构提供的测试服务。而拥有这类资源的大企业“应当选择3~4家厂商，在试验室中测试它们的产品。

　　 他建议企业进行两类测试。第一类是根据企业计划使用的配置和启用的那些特定功能来测试产品的性能。另一类测试是在启用UTM上所有特性的情况下测试产品。Crotty说：“如果你最后希望支持比你现在更多的应用，这将使你了解产品的性能。你需要发展空间，应当在第一次购买时分析这些功能。”

　　 DJO在试验室中对UTM设备进行了很多的测试，以确保UTM设备可以与公司已经安装的不同硬件一起使用。Iraci说：“我们购买了很多设备，我们必须确保系统间的互操作性。在今天，企业往往拥有众多的设备并且基础设施变得十分复杂，测试就显得非常重要。”

　　 四、测试应当在发布升级时进行

　　 Mid-America Overseas公司是芝加哥的一家运输与后勤提供商，它使用Astaro的UTM产品。公司CIO Mike Mierwinski说：“虽然可能从发布升级的通知看好像他们没有进行重大变化，但对于UTM来说，会出现影响到‘好的’传输流的某种类型的流量模式或过滤器变化。如果不提前测试就盲目升级的话，你可能遇到一部分网络瘫痪的问题。”

　　 五、成本 Vs.可伸缩性

　　 在选择产品时，需要考虑多种因素，包括成本、可伸缩性、集中式管理和厂商支持。密歇根州Birmingham市IT研究机构IT-Harvest公司首席研究分析师Richard Stiennon认为，成本、可伸缩性和可管理性是评估UTM设备的关键标准。

　　 Stiennon说：“需要考虑购买价格和订购价格，因为URL过滤、IPS和AV(杀毒)都需要不断地更新。厂商是进行他们自己的研究还是使用来自第三方的数据库?管理界面应当与实际设备统一。”可伸缩性和性能是另一些关键因素。拥有很多分支机构的企业必须确保UTM设备能够支持远程用户。Crotty说：“可伸缩性和性能正是在拥有几百或几千名用户时才真正发挥作用。”

    UTM使用注意事项

　　由于UTM的独特功能组合，因此造就了其特殊应用的一面。对此，企业用户必须有一个全面的判断。

　　第一，对于传统上描述的根据“并发用户连接数”来判断UTM的性能并不科学。市场中一些不规范的小厂商经常用该数值误导用户。事实上，UTM不同于防火墙，后者建立Session后就不再干预了，可是UTM还要进行深度包检测。因此从目前网络趋势看，特别是P2P应用泛滥的情况下，很可能一个QQ直播或者Skype用户就可以产生几百个甚至一千个连接，因此仅靠标称支持多少并发用户对于UTM是没有保证的。

　　要评审一款UTM的性能，比较科学的方法是以一般用户对不同应用的比例来仿真加压测试（stresstest）。如按比例加大Email、HTTP、FTP的流量。但每个用户的应用比例都不一样，所以这种测试的结果也不代表对所有用户有用。

　　第二，UTM的单点故障问题。UTM部署在网关的时候，在一定程度上是存在单点故障隐患的。毕竟大量的功能模块集中在一台设备里，一旦出现问题，网络很可能瘫痪。通过对UTM系统参数的监控，一旦发现CPU、内存快到临界点的时候，马上关闭一些消耗较大的功能，可以在一定程度上避免单点故障的问题。

　　第三，内容过滤与内网控制。对国内用户的调查显示，很多企业对于内网的P2P和IM软件的应用心存余悸，特别是在学校里尤其明显。因此国产UTM厂商，都在自己的产品中加入了接入层多元素绑定技术，同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题，这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能，实现对所有内网监控、控制、审计、提供报表、流量管理，确实满足了国内用户特定的需求。

　　第四，VoIP冲突。随着VoIP的发展，在国外已经出现了由于大量VoIP小包对UTM造成的性能冲击问题。事实上，VoIP有其特点，比如它是UDP包，而不是TCP包。对此UTM可以进行专门优化。对于所有VoIP例行的UDP包，只进行简单扫描，可以放过。因为语音数据包里基本没有垃圾邮件和病毒，所以通过UTM引擎可以对VoIP进行优化。

　　而针对VoIP的两种主要协议：SIP和H.323都有自身的安全漏洞。通过UTM设备，可以在很大程度上给VoIP套上另一层保护。与国外的情况不同，很多国内用户习惯将VoIP通过IPSecVPN通道。目前很多一线UTM厂商的产品都可以穿越隧道进行扫描，有些还可以在加解密之前进行病毒检测，因此安全上没有问题。

    编者按：

　　如今随着UTM技术的快速发展，国内安全网关厂商不断突破阻碍，性能、技术以及检测算法的不断完善，标志着国产UTM设备已经具备了同国外高端UTM相抗衡的实力，也为国内自主UTM产品的研发注入了更多的期待。