【IT168 专稿】统一威胁管理设备（UTM）的本质就是设备一体化，这已经成为业界的共识。在同一硬件平台上融合多种安全功能，做到设备一体化是解决部署复杂的良药。在设备一体化的前提下，继而需要解决的是针对复杂威胁的防御能力，这体现在功能和性能两个方面。也就是说既要完全发挥每个功能模块的作用，相互实现配合，又要保障性能。这就要求在软件体系设计上进行创新，实现一体化设计，解决复杂的威胁和复杂的策略实施。

    UTM检测技术

    目前常用的深层检测方法有两种，一是通过定义报文特征来实现对已知攻击及网络滥用的检测，其优势是技术上实现简单、迅速。但仅能识别已知攻击和应用；另一种是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。

    目前来看，将动态检测与静态检测有机结合，消除各自刚性，可以形成一种“柔性检测”的机制。在这种机制下，可以有效发挥两种检测技术各自的优势，从而进一步提高检测的覆盖面。换句话说，无论是黑客攻击、P2P软件还是病毒变种，在柔性检测机制下都可以做到最大程度的覆盖。

    其实，各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下，通过VFPR（快速协议识别）、基于原理的SQL注入检测、基于行为的关联分析算法等，都可以进一步增强一体化安全网关的精确检测能力。

    另外，一些安全厂商专门建立了面向网络攻防研究的积极防御实验室（AD-LAB），这可以在第一时间内获得各种安全事件信息，并对各类安全事件进行深入研究，从而确保用户在最短时间内获得对最新攻击的精确防御能力。

    需要指出的是，在UTM领域预置行业安全配置模板，简化配置管理流程已经成为趋势。目前业界已经形成了“让安全变得简单”的安全设计理念，通过预置基于行业的应用层安全策略配置模板，可以大大降低终端用户的配置复杂度。这些模板，是众多安全厂商通过对大量行业用户网络威胁的调查、总结得到的适合该行业用户的安全策略配置模板。对于绝大多数用户，只需直接引用配置模板，即可获得适合本行业的有效的入侵防御及防病毒功能。而对于常见IM及P2P软件，业内的共识则是通过提供额外的快速配置界面，帮助用户直接针对常见的网络滥用行为进行策略配置。