【IT168 专稿】UTM设备集成包括防火墙、VPN、IDS/IPS、内容过滤等多种技术于一体。目前来看，UTM设备主要有三种出身：一种是从防火墙技术衍生出来的，一种是从防病毒技术衍生出来的，还有一种是从入侵检测/保护技术衍生出来的。

    UTM实现高可用性

    作为一个部署在安全域边界且具备多种安全功能（防火墙、入侵防御、网关防病毒、VPN等）的网关产品，用户自然会对UTM产品的高可用性提出严格要求。同时，UTM厂商也按照各自思路提出了各种各样的高可用性（HA：High Available）实现模式，这些模式可以分为以下两类。

    1.ByPass模式

    通过内置的开关电路，在UTM设备出现异常情况时实现两个特定网络端口之间的全通，无条件放行所有流量。

    Bypass模式优点：

    ·功能实现简单——现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理直连，实现报文全通。

    Bypass模式缺点：

    ·存在安全隐患——对于UTM设备而言，防火墙是一个基础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来说，是绝对不能接受的。

    ·应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常连通。

    从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的部署方式已经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。

    2.会话同步模式

    采用两台或多台UTM设备通过心跳线来同步会话信息并监控对方的状态来实现HA功能，在出现异常情况时通过主备切换或接管问题设备工作的方式保证业务可用性。

    会话同步模式优点：

    ·安全功能完整——会话同步模式在进行主备切换或主主切换时，用户业务不受影响，同时用户设定的安全策略仍然继续执行。

    ·网络适应性好——对网络拓扑没有特别要求，可以满足绝大部分用户环境。

    ·可提高网络吞吐性能——主主HA组网下，可以将网络流量分配到两台或多台UTM设备上进行处理。

    会话同步模式缺点：

    ·实现相对较为复杂，特别是在主主模式、大流量环境以及全网状组网情况下，如何确保UTM设备所有会话的及时同步对于厂商的研发实力有较高要求。

    UTM设备的会话同步模式与传统的状态检测防火墙还有所区别，UTM需要在保证网络层同步会话的前提下实现入侵防御模块及防病毒模块相关检测信息的完整性。例如，用户通过网页下载某个大文件，传统防火墙要做的工作就是将本次下载的相关会话信息同步到另一台防火墙上去，当进行HA切换时，另一台防火墙无需重新建立会话，直接将相关报文放行，用户感觉不到设备切换。而对于UTM设备而言，为了防止出现防病毒模块的误报和漏报，还必须将已下载文件的相关信息进行同步，这进一步提高了会话同步模式在UTM上的应用难度。