【IT168 专稿】UTM的创新地方就在于在一个通用的平台上提供了组合多种安全功能的可能，用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能，并且无论如何组合这些安全功能都可以很好的进行协同。随着技术的进步，如今UTM已经不局限在中小企业的使用上了，越来越多的大型企业开始考虑部署UTM来进行统一威胁管理。

    UTM的选择上，用户可能存在更多的疑惑：哪些功能是必须的？哪些功能是可选的？哪些性能指标是决定性的？如何选择性能合适的设备？如何才能实现更快捷高效的部署管理……

    上述问题可以归纳为：如何判断一款安全设备是合格的UTM设备，以及如何根据实际需求来选择合适的UTM。要回答这个问题，一般来说需要从功能、性能和管理性三个方面进行考量。

    1.功能的要求

    在UTM的所有功能中，并不是所有的功能都是必要的，用户需要根据自己的需求来确定采购目标。但一般来说，UTM设备应该包括如下基本功能，才具备基本的可用性：

    ·基础防火墙功能：包括状态过滤、访问控制、NAT转换等，这些是防火墙的基本功能，也是UTM中必不可缺的功能。

    ·入侵防御（IPS）功能：入侵防御功能是UTM区别于防火墙的最基本特征。传统防火墙具有的是2-4层的防御能力，对更高层的协议不具备检测能力，而UTM正是通过入侵检测和防御技术的实现，具有了2-7层的全面防御能力。从这一个角度来说，入侵检测能力的高低，是衡量一款UTM是否专业的重要标准。

    ·防病毒功能：UTM所采用的网络防病毒引擎同桌面防病毒产品在实现上有一定的差异，病毒的实际检测率也是选择UTM设备的重要参考。

    ·VPN功能：UTM应支持最基本的VPN功能，即端到端的IPSec VPN。

    ·高可用性（HA）：由于UTM整合了众多的安全特性，使得其对稳定性的要求较一般安全设备要更加苛刻，因为一旦发生故障，可能会导致所有安全防御功能失效，造成无法挽回的损失。UTM应具备高可用性，能够采用主备模式，在检测到链路和设备故障时由备份设备取代主设备，提供不间断的安全防护。

    上述功能可认为是UTM的标准功能，如果一款设备不具备上述所有功能，则不能被称为合格的UTM设备。譬如有的厂家推出的产品虽然号称UTM，但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能，或者仅仅能够抵御网络层的DOS攻击而不具备入侵防御功能，在本质上仍然是防火墙的有限增强，其所能满足的用户价值也是有限的。

    除了上述功能，视不同用户的需求，UTM可能还需要实现以下功能：

    ·动态路由功能：实现RIP、OSPF等路由功能，对于小型客户，将路由器部分功能整合到UTM中，可以节省投资，并使得网络接入更加扁平、易管理。

    ·扩展的VPN功能：通过SSL VPN和L2TP VPN，可以提供更灵活的VPN组网能力，包括无客户端或瘦客户端的VPN部署，对动态用户的支持等。

    ·内容过滤：狭义的内容过滤是对网页内容、URL、网页控件等的过滤，广义的内容过滤还包括对各种互联网应用比如IM/P2P、网络游戏、股票软件、流媒体应用等的检测和控制；在业务互联网化的今天，这部分功能对用户特别是对企业用户，价值日益凸显。

    ·反垃圾邮件：对于UTM中是否实现反垃圾邮件，存在一定的争议，但不可否认的是在UTM中实现反垃圾邮件有一定的先天优势，借助入侵防御引擎的深度扫描能力，对通过邮件的入侵可以达到良好的防御效果。而对垃圾邮件的处理性能上，UTM较专业的反垃圾邮件网关仍然有一定的差距。

    ·负载分担功能：在双机热备的基础之上，通过HA双主或集群的方式，实现UTM的负载分担。在对流量要求较高的场景下，通过负载分担可以提高安全网关整体的数据处理能力。

    2.性能的要求

    对UTM产品来说，对其性能的考量较传统网络设备或防火墙来说要复杂的多。UTM的性能取决于其使用的具体功能：使用不同的安全特性，甚至对同一安全特性的不同配置方式，对UTM性能的影响都是不一样的。举例来说，如果在UTM中同时使用防病毒和内容过滤功能，性能肯定比只使用防病毒功能要低；而在只使用防病毒功能的情况下，对所有业务流量进行病毒扫描肯定比只对Web业务流量进行扫描的性能要低。

    为了简化起见，在评测UTM的性能时一般只考虑两种场景：一是针对防火墙的性能，也就是UTM只启用基础防火墙功能，而不启用防病毒、入侵防御等高级安全特性；另外是针对UTM全特性的性能，也就是开启防病毒、入侵防御、内容过滤甚至反垃圾邮件等所有高级安全特性。在第一种场景下，其性能的评估跟防火墙的性能评估方法是一致的。在对UTM全特性的性能评估中，主要考虑以下关键指标：

    ·UTM应用层转发性能：传统防火墙采用吞吐量来评估转发性能，而UTM由于工作在2到7层，单纯使用IP或UDP的吞吐量测试不具有实际意义，因此使用应用层转发性能来进行评估更加准确。通常可采用HTTP并进行文件传输，来评估UTM所支持的应用层转发性能。

    ·并发连接数：并发连接数是UTM可以同时维护的用户连接数，一般来说同一用户会存在多个连接。并发连接数越高，UTM所能支持的连接用户就越多。

    ·新建连接速率：新建连接速率是UTM每秒钟能够处理用户的应用层请求的速率，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度。如果新建连接速率，会导致用户的网络访问速度慢等问题。

    对于UTM来说，自然是性能越高，所能提供的数据处理能力更高，但高性能的处理设备必然费用昂贵，用户在选择时需要根据预算选择具有合适处理能力的产品即可。对于中小企业，可能选择具有二三十兆转发性能的UTM产品就已足够，而对于大型企业或运营级用户，则需要几百兆甚至G比特的处理能力。

    3.管理性要求

    由于支持众多的安全特性，UTM的系统管理面临很大的挑战。如何将防火墙、VPN、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来，使其既能方便配置，又能更好地协同工作，是UTM的系统管理要解决的首要问题。易用性是UTM系统管理最基本的要求，除此之外，还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。

    ·易用性：由于UTM包含了众多的安全特性，因此能否方便快捷地部署，成为了用户的首要诉求。曾有用户调查显示，用户对UTM易用性的关注超越了入侵防御和防病毒，成为用户在选购UTM时最关注的问题。

    ·集中管理能力：UTM应该具有基于组的集群管理功能，当在一个网络中部署多台UTM设备时，可以通过集中管理中心来对设备组进行配置，这样经过一次配置，组内所有的UTM设备可以整体生效。另外通过集群管理，可以把分散在不同地方的UTM设备的日志进行统一分析处理，形成全网的网络安全风险分析报告。

    ·病毒库和入侵防御特征库的在线升级：跟防火墙不同，UTM的病毒库、入侵特征库、反垃圾邮件库必须及时进行更新，这样才能具有最新的安全防护能力，因此需要对UTM定期进行升级。尤其是通过在线升级的方式，能够保证设备在最短的时间内获得更新。能否提供在线升级，以及在线升级的频度，是考虑厂家实力和技术水平的重要指标。

    ·日志和流量处理能力：UTM应能够对病毒、入侵等高威胁性事件进行日志记录，并通过邮件等方式进行告警；应能通过NetFlow等技术对网络流量进行分析，可以查询实时流量和历史流量，这不仅可以帮助管理者更好地评估网络状况，还能够通过异常流量分析，发现潜伏的网络威胁。

    根据对功能、性能和管理性三个方面的评估，用户基本上能够选择合格、合适的UTM设备。目前可供选择的UTM品牌众多，国外的包括Juniper、Fortinet、Sonicwall、Checkpoint等主流信息安全厂商都推出了自己的UTM产品。在国内，启明星辰公司于2005年率先发布天清汉马系列UTM产品，宣告国内安全厂商正式进军UTM领域，随后安氏领信、联想网御、天融信等公司也纷纷通过自研或合作的方式，推出了自己的UTM产品。在国内外厂商的大力投入下，中国的UTM市场正进入群雄逐鹿、精彩纷呈的阶段。

    值得一提的是，启明星辰公司的天清汉马USG一体化安全网关日前通过了广东电信研究院的测试，成为目前唯一一款通过电信权威机构全面评测的国产UTM产品，这标志着国产UTM设备已经具备了同国外高端UTM相抗衡的实力，也为国内自主UTM产品的研发注入了更多的期待。

    随着近年来，网络安全威胁的日趋多样化、复杂化，只部署单一功能的安全网关产品已经不能够完全满足用户的安全需求了，用户对网络安全威胁所采取的防范措施也呈现出复杂化的趋势，出现了“防火墙＋IPS＋AV网关＋VPN＋内容过滤网关”等一连串“糖葫芦”式的网关安全解决方案。这样的网关安全解决方案看似能够给用户构建一个完整的安全防范体系，而实际上带来了非常严重问题——管理使用的困难。

    4.管理困难困扰用户

    熟悉产品管理界面困难。不同的安全设备具有不同的管理界面，从架构上分有B/S架构和C/S架构；从管理方式上分有GUI和CLI。而且不同安全产品的设计思路完全不一样，自然管理的方式也大相径庭，这会耗费网络管理员大量的精力和时间来学习、理解不同产品的管理系统。

    理解不同产品之间的关联关系困难。网络管理员费了很大力气熟悉了一些网络安全产品之后，却很难弄清楚不同的安全产品之间是怎样协同工作的，因此在安全策略实施的时候仍旧是按照部署单一设备的方式来配置，导致各个安全设备之间是各自为战，缺乏整体的协同，最终只能实现1+1<2的效果。

    问题排查困难。由于这一整套解决方案是用多个厂家的多种安全设备组合而成，一旦网络出现了故障，需要对所有在线产品进行逐一的排查。通常网络问题的情况都比较复杂，有可能是单一产品的软件或者硬件出现的故障，也有可能是不同产品之间协同工作出现的问题，因此“糖葫芦”解决方案会给网络问题的排查带来非常大的困难。

    一个工具如果用起来很复杂，给用户带来的价值自然是要大打折扣的，因此“糖葫芦”式的网关安全解决方案并不是非常好的的选择。

    5.UTM如何实现简单管理

    很显然，大多数的安全厂商已经注意到网关安全拒绝复杂的这一趋势，当下推出的UTM产品都在设计上更为人性化，更为贴近用户和网管员的实际需求。据启明星辰公司安全网关产品部经理陈胜权介绍，启明星辰新一代的UTM产品——天清汉马USG一体化安全网关，在设计之初就采用了一体化的理念，力求做到“设计一体化、部署一体化、防御一体化、管理一体化”。

    “这样的设计让用户可以不必考虑产品部署、兼容性等问题，也不必再因为多个产品难于管理维护而苦恼了”，陈胜权说。

    据介绍，UTM的“简单”，至少要包含四个层面的内涵：防御威胁简单、选择部署简单、策略实施简单和管理维护简单。这四个“简单”是天清汉马USG在整个设计、研发过程一直坚持的核心理念。这里我们着重看一下天清汉马USG是如何实现“管理维护简单”的。

    界面定位快捷化——天清汉马USG对不同的安全策略之间的逻辑关系划分非常清晰，让用户能够迅速找到所需要配置的界面，并且用户在配置安全策略的时候，最多只需要点击三次鼠标按键就可以到达任何配置界面。

    配置操作简单化——天清汉马USG的任一安全策略配置在两个界面内就能完成，很大程度上减轻了配置策略的工作量。

    安全策略模板化——天清汉马USG提供了统一的安全策略配置模板，全部的安全配置可以在一个模版上完成。模板采用的是“可见即可得”的设计方式，网络管理员只要根据制定的安全策略在模板上勾选相应的功能选项即可，非常直观、容易理解。

    关键业务自动化——天清汉马USG所提供的多个安全功能模块一旦在安全策略模板上配置之后，模块间策略的配置就会自动关联，不再需要通过控制台的切换和页面的频繁跳转来手工配置，只需一个页面轻松搞定。天清汉马USG同时提供了关键业务的自动定时升级、针对网络异常行为的多种方式的自动报警、自动生成日志及告警报表等功能，让管理变得更加简单。

    安全监控方便化——天清汉马USG可以根据用户的需要来定制化报表的内容，并且能够把纷繁芜杂的网络告警日志通过简单、易理解的图形化界面来展示，大大提高了网络告警日志的可读性，让用户能够更加清楚地掌握网络中的实时状况和出现的问题。另外，天清汉马USG在硬件面板上配置了LCD液晶屏，让用户不用登录操作系统，就可以直接通过LCD来观察设备的运行状态，简单易用。

    集群管理统一化——天清汉马USG提供了基于组的集群管理功能，如果在一个网络内部署了多台天清汉马USG设备，可以通过对中心点的一次配置，全网的天清汉马USG整体生效，并且可以把分散在不同地方的天清汉马USG设备的日志收集到中心点进行统一分析处理，形成全网的网络安全风险分析报告。USG集中管理中心可提供多达200台设备的集中管理，非常适合于政府、金融、企业等用户的大规模部署的管理和维护。

    UTM让安全管理简单化成为了可能，而天清汉马USG让安全管理的简单化成为了现实。通过实现简单管理的“六化”，天清汉马USG解决了管理使用困难给用户带来的困扰，把用户带入怡然自得、安全无忧的“简单”境界。

    束语

    UTM的出现都顺应了时代的潮流，它的诞生就可以作为好的佐证。俗话说："天下大势，分久必合，合久必分。"安全市场也是这样的道理，而目前就正趋于统一。UTM给用户了管理安全的更大灵活性，如果可以更好地满足用户的需求，UTM的未来将是前途无量。IDC预计，2009年中国UTM市场规模将超过10亿元，未来5年，年复合增长率将超过50%。带着这美好的预期，让我们继续关注UTM的发展。