【IT168 专稿】UTM的优点在于整合化，它以较低的成本满足了企业对信息处理安全的大部分需求，避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作， 并提供简单易用的界面给非专业的用户进行常规的维护工作。因此， UTM在企业中能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。

    UTM现状“多而不专”

    但是，目前很多企业用户对于UTM产品存在一种“偏见”，即“多而不专”。由于 UTM是整合了防火墙、防病毒、入侵检测等多种安全功能，这样，UTM产品就能以一顶百得代替所有的安全产品，企业就不用去花费重金购买单独的安全产品， 从而有效地降低成本投入。殊不知，UTM把很多功能都集合在一起，好像“1+1+1=3”，但实际的应用情况并不只是简单地将多个“1”相加在一起。

    正如任何事情都有其两面性一样，UTM的缺点也同样来自于它的整合性，由于UTM在一个设备上整合了多个安全功能模 块，受处理能力及成本的限制，UTM设备所实现的反垃圾邮件、反病毒等功能离单一安全设备的水平尚有一定的差距，达不到单一安全设备的安全级别。此 外，UTM设备在启用基本防火墙功能的情况下，再开启反病毒、入侵检测等耗费系统资源的应用模块时，整体性能会有所下降，某些产品甚至会有70%多的性能 下降。
　　
    需要注意的是，这些缺陷更多出现在低端UTM上，并不等同于所有的UTM均会存在这样的缺陷。在高端UTM领域，一些特有的技术设计会在很大程度上弥 补“多而不专”的缺陷。比如机架板卡式的高端UTM。它利用硬件板卡技术，每一种安全应用均有独立的CPU、存储、总线等，各安全应用之间不存在资源的竞 争，因此能够保证“鱼与熊掌兼得”，即使是在多种安全功能同时打开时，仍然能够保证整个UTM设备的高性能。同时还能够实现所谓“数据量安全调度”的能 力，提高UTM设备的处理效率。

    UTM产品细分

    经过这些年的发展，无论从产品架构、功能配置、还是用户选择上，UTM产品逐渐进入一个成熟的应用时期，高中低档产品各有针对，大中小型企业各取所需。

    目前，低端UTM产品在一些中小企业，特别是一些小型企业或公司用户中的应用还是相对比较多的。对于这些的中小企业而言，他们的网络系统带宽较低，对安全的要求也不高。另外，他们的项目预算也通常有限，因此，这些中小企业对UTM产品的需求主要集中在：安全功能全、管理简单、价格便宜等方面，而对 UTM的性能、安全的专业性等方面并没有太多的要求。

    由于低端UTM产品在性能上的一些限制，在中大型企业的应用相对较少。事实上，在中大型企业用户，通常应用的是一些高端的UTM产品。这些产品通常为 机架板卡式结构，各安全功能通过独立的硬件板卡提供，每一块板卡均配置了独立的系统资源，包括独立的CPU、独立的存储、独立的总线等。板卡间不存在资源 的竞争，因此能够做到即使是多个安全功能全部打开的情况下，仍然保证系统的高性能。而在安全功能方面，高端UTM上的每一种安全功能均为所谓的 “best-of-breed”同类非常好的的安全应用，通常是在全球市场及技术均居前列的安全引擎，保证了系统的高安全性及足够的安全功能。一些中大型企业 应用了这些产品，效果良好，包括大型制造业、汽车、电力、学校、政府，以及金融类、运营商用户等。

    此外，大型企业和中小型企业对安全产品的需求存在较大区别。大型企业使用UTM产品注重产品的可用性、可靠性和可扩展性。为避免出现系统的单点故障导 致正常的应用受到影响，要求UTM产品具有双机热备、UTM群集等功能;高性能、多功能的合成安全产品来解决网络中主要的安全威胁，如防火墙、入侵检测与 防护、网关防病毒、内容过滤和VPN等功能;扩展功能模块或增加网络接口模块为将来的安全系统扩展留下空间。

    从行业角度而言，各行业对于网络安全的关注点也有所不同，比如教育行业：访问不合适的内容，造成潜在的责任问题;传播病毒、蠕虫和其他基于内容的攻 击;由于滥用校园网消耗宽带资源，降低网络效率。政府、金融行业：识别和防护从外部和内部进入的混合型安全攻击;阻挡病毒、蠕虫等通过Email、Web 和文件的传递进入网络。医疗行业：确保病人记录以加密格式存储和传输;确保医院的IT系统不会因网络入侵而受损。这些彼此不同的关注点对于UTM产品的应 用也存在不同侧重的影响。下面来看来具体案例。

    天清汉马UTM安全案例

    在奥运保电方案中，对现有的业务和网络进行整改，提高电力系统的安全水平是重要的一环。经过谨慎评估，上海市电力公司最终选择了启明星辰的天清汉马USG一体化安全网关（UTM）来为电力调度网提供安全保障。

    1.低延迟确保数据的实时传输

    上海市电力公司是从事电力输、配、售的特大型企业，肩负着为整个上海市行政区提供电力保障的重任。

    电力调度网是电力二次系统中最重要的部分，其主要业务包括调度自动化系统SCADA/EMS、电厂自动监控系统、变电站自动化系统、继电保护系统、故障录波信息管理系统、电能量计量系统等。这些业务需要采集电力设备运行的实时数据，对设备运行进行实时监控，因此对业务网络中数据传输的实时性有着严格的要求。

    启明星辰天清汉马UTM采用了高性能的硬件架构和一体化的软件设计，在提供多种安全防护特性的同时，还能够保证高性能、低延迟。在启用病毒检测和入侵防御的情况下，其小包延迟只有数us，完全满足电力调度网对实时性的要求。

    2.一体化引擎提供更高的安全保障

    在电力调度系统传统的解决方案中，防火墙可以提供网络层的访问控制，但对更高层的威胁无能为力。为了及时发现网络中的入侵和威胁，电力调度网络中通常都部署了入侵检测系统（IDS）设备。通过IDS的部署，系统管理员可以对整个网络的流量有比较清晰的把握，并从IDS给出的报警中识别出网络入侵行为。但是由于IDS是旁路部署的，主要作用是集中在风险管理上，并不主动防御所发现的攻击行为，因此需要在线式的实时防护产品实现防御功能。

    作为天清汉马UTM基本的功能模块，其防火墙功能可以提供完善的状态检测和访问控制功能。除此之外，天清汉马UTM还提供网关防病毒、入侵防御（IPS）、抗拒绝服务攻击等高级安全特性。以入侵防御为例，天清汉马UTM能够针对缓冲溢出攻击、木马后门、安全漏洞攻击、蠕虫病毒、数据库攻击等各种入侵提供有效的防范，并能够实时阻断，提高了安全性。

    3.集中管理中心保证规模部署中的可管理性

    在本项目中，启明星辰天清汉马UTM成功部署于上海市电力调度中心以及下属的地调、区调、超高压调度等20余个业务网点。在这样大规模的部署中，如何监控各业务网点设备的运行情况是一个难题。而通过天清汉马UTM集中管理中心，可以完美解决这一问题。

    天清汉马UTM集中管理中心提供基于设备组的集中配置、实时监控、统一升级功能。通过集中配置，管理员可以对组内的设备统一下发安全策略；通过实时监控，管理员在中心机房足不出户就可以掌握各个地、区调度中心天清汉马的运行状况，以及各设备上承载业务的具体情况；另外，通过集中管理中心，可以统一部署病毒库、入侵防御特征库的升级策略，这样各网点的设备可以定期、自动地从中心服务器下载升级包，使设备能够提供最新的安全防护能力。

    编者按：

    总之，需要明确的是，UTM的设计思路应始终是把安全放在第一位，只有在安全之上，才能谈性能。事实上，和其他企业级IT产品一样，UTM的技术寿命一般是三到五年，因此无论采用何种技术，只要能够达到企业的出口带宽，并能够满足企业五年的发展需求就够了。因此要计算五年总拥有成本，再评估适合自己的产品。相对单一网络安全设备，部署UTM更容易管理和维护。