【IT168 专稿】UTM设备集成包括防火墙、VPN、IDS/IPS、内容过滤等多种技术于一体。目前来看，UTM设备主要有三种出身：一种是从防火墙技术衍生出来的，一种是从防病毒技术衍生出来的，还有一种是从入侵检测/保护技术衍生出来的。

    UTM实现高可用性

    作为一个部署在安全域边界且具备多种安全功能（防火墙、入侵防御、网关防病毒、VPN等）的网关产品，用户自然会对UTM产品的高可用性提出严格要求。同时，UTM厂商也按照各自思路提出了各种各样的高可用性（HA：High Available）实现模式，这些模式可以分为以下两类。

    1.ByPass模式

    通过内置的开关电路，在UTM设备出现异常情况时实现两个特定网络端口之间的全通，无条件放行所有流量。

    Bypass模式优点：

    ·功能实现简单——现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理直连，实现报文全通。

    Bypass模式缺点：

    ·存在安全隐患——对于UTM设备而言，防火墙是一个基础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来说，是绝对不能接受的。

    ·应用范围较窄——只能在UTM设备工作在双端口透明模式下才能起作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常连通。

    从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的部署方式已经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。

    2.会话同步模式

    采用两台或多台UTM设备通过心跳线来同步会话信息并监控对方的状态来实现HA功能，在出现异常情况时通过主备切换或接管问题设备工作的方式保证业务可用性。

    会话同步模式优点：

    ·安全功能完整——会话同步模式在进行主备切换或主主切换时，用户业务不受影响，同时用户设定的安全策略仍然继续执行。

    ·网络适应性好——对网络拓扑没有特别要求，可以满足绝大部分用户环境。

    ·可提高网络吞吐性能——主主HA组网下，可以将网络流量分配到两台或多台UTM设备上进行处理。

    会话同步模式缺点：

    ·实现相对较为复杂，特别是在主主模式、大流量环境以及全网状组网情况下，如何确保UTM设备所有会话的及时同步对于厂商的研发实力有较高要求。

    UTM设备的会话同步模式与传统的状态检测防火墙还有所区别，UTM需要在保证网络层同步会话的前提下实现入侵防御模块及防病毒模块相关检测信息的完整性。例如，用户通过网页下载某个大文件，传统防火墙要做的工作就是将本次下载的相关会话信息同步到另一台防火墙上去，当进行HA切换时，另一台防火墙无需重新建立会话，直接将相关报文放行，用户感觉不到设备切换。而对于UTM设备而言，为了防止出现防病毒模块的误报和漏报，还必须将已下载文件的相关信息进行同步，这进一步提高了会话同步模式在UTM上的应用难度。

    管理问题困扰用户

    随着网络安全威胁的日趋多样化、复杂化，只部署单一功能的安全网关产品已经不能够完全满足用户的安全需求了，用户对网络安全威胁所采取的防范措施也呈现出复杂化的趋势，出现了“防火墙＋IPS＋AV网关＋VPN＋内容过滤网关”等一连串“糖葫芦”式的网关安全解决方案。这样的网关安全解决方案看似能够给用户构建一个完整的安全防范体系，而实际上带来了非常严重问题——管理使用的困难。

    不同的安全设备具有不同的管理界面，从架构上分有B/S架构和C/S架构；从管理方式上分有GUI和CLI。而且不同安全产品的设计思路完全不一样，自然管理的方式也大相径庭，这会耗费网络管理员大量的精力和时间来学习、理解不同产品的管理系统。

    理解不同产品之间的关联关系困难。网络管理员费了很大力气熟悉了一些网络安全产品之后，却很难弄清楚不同的安全产品之间是怎样协同工作的，因此在安全策略实施的时候仍旧是按照部署单一设备的方式来配置，导致各个安全设备之间是各自为战，缺乏整体的协同，最终只能实现1+1<2的效果。

    问题排查困难。由于这一整套解决方案是用多个厂家的多种安全设备组合而成，一旦网络出现了故障，需要对所有在线产品进行逐一的排查。通常网络问题的情况都比较复杂，有可能是单一产品的软件或者硬件出现的故障，也有可能是不同产品之间协同工作出现的问题，因此“糖葫芦”解决方案会给网络问题的排查带来非常大的困难。

    一个工具如果用起来很复杂，给用户带来的价值自然是要大打折扣的，因此“糖葫芦”式的网关安全解决方案并不是非常好的的选择。

    UTM如何实现简单管理

    很显然，大多数的安全厂商已经注意到网关安全拒绝复杂的这一趋势，当下推出的UTM产品都在设计上更为人性化，更为贴近用户和网管员的实际需求。据启明星辰公司安全网关产品部经理陈胜权介绍，启明星辰新一代的UTM产品——天清汉马USG一体化安全网关，在设计之初就采用了一体化的理念，力求做到“设计一体化、部署一体化、防御一体化、管理一体化”。

    “这样的设计让用户可以不必考虑产品部署、兼容性等问题，也不必再因为多个产品难于管理维护而苦恼了”，陈胜权说。

    据介绍，UTM的“简单”，至少要包含四个层面的内涵：防御威胁简单、选择部署简单、策略实施简单和管理维护简单。这四个“简单”是天清汉马USG在整个设计、研发过程一直坚持的核心理念。这里我们着重看一下天清汉马USG是如何实现“管理维护简单”的。

    界面定位快捷化——天清汉马USG对不同的安全策略之间的逻辑关系划分非常清晰，让用户能够迅速找到所需要配置的界面，并且用户在配置安全策略的时候，最多只需要点击三次鼠标按键就可以到达任何配置界面。

    配置操作简单化——天清汉马USG的任一安全策略配置在两个界面内就能完成，很大程度上减轻了配置策略的工作量。

    安全策略模板化——天清汉马USG提供了统一的安全策略配置模板，全部的安全配置可以在一个模版上完成。模板采用的是“可见即可得”的设计方式，网络管理员只要根据制定的安全策略在模板上勾选相应的功能选项即可，非常直观、容易理解。

    关键业务自动化——天清汉马USG所提供的多个安全功能模块一旦在安全策略模板上配置之后，模块间策略的配置就会自动关联，不再需要通过控制台的切换和页面的频繁跳转来手工配置，只需一个页面轻松搞定。天清汉马USG同时提供了关键业务的自动定时升级、针对网络异常行为的多种方式的自动报警、自动生成日志及告警报表等功能，让管理变得更加简单。

    安全监控方便化——天清汉马USG可以根据用户的需要来定制化报表的内容，并且能够把纷繁芜杂的网络告警日志通过简单、易理解的图形化界面来展示，大大提高了网络告警日志的可读性，让用户能够更加清楚地掌握网络中的实时状况和出现的问题。另外，天清汉马USG在硬件面板上配置了LCD液晶屏，让用户不用登录操作系统，就可以直接通过LCD来观察设备的运行状态，简单易用。

    集群管理统一化——天清汉马USG提供了基于组的集群管理功能，如果在一个网络内部署了多台天清汉马USG设备，可以通过对中心点的一次配置，全网的天清汉马USG整体生效，并且可以把分散在不同地方的天清汉马USG设备的日志收集到中心点进行统一分析处理，形成全网的网络安全风险分析报告。USG集中管理中心可提供多达200台设备的集中管理，非常适合于政府、金融、企业等用户的大规模部署的管理和维护。

    UTM让安全管理简单化成为了可能，而天清汉马USG让安全管理的简单化成为了现实。通过实现简单管理的“六化”，天清汉马USG解决了管理使用困难给用户带来的困扰，把用户带入怡然自得、安全无忧的“简单”境界。

    编者按：

    目前UTM产品多多少少还存在“单边产品”现象，所谓单边产品就是其中某一项功能强，而其他功能相对较弱。这是由UTM厂家技术背景决定的。用户在选择产品时，要注意了解UTM产品每个功能的技术实现程度，不要简单地以功能多少评判UTM产品优劣。例如一些UTM厂家总会拿产品中装有IPS模块来说明自己系统的完善，实际上主流IPS厂商在IPS技术方面都有较强的实力和长期的技术积淀，这是UTM厂家做不到的，孰优孰劣只要进行产品测试就可见分晓。

    除了设备采购价格之外，客户仍需关注UTM各功能模块的服务费用。不必说UTM厂家自己提供的防火墙等产品升级服务，单说第三方厂商的软件升级如病毒库、URL库、攻击规则库等每年都需要一笔不少的费用。因此用户考虑UTM的价格时，一定要全面分析。

    目前国际、国内都没有统一的标准对UTM设备的功能、性能等指标做统一的规定，加之各家实现方法不同、包含功能也不尽相同，对UTM产品的评测对比产生很大的影响。在国内，很多项目投标时，UTM设备的标书还是按照防火墙类别制定的。所以UTM规范性还需进一步统一和加强，以推动UTM市场的进一步发展。