【IT168 专稿】统一威胁管理设备（UTM）的本质就是设备一体化，这已经成为业界的共识。在同一硬件平台上融合多种安全功能，做到设备一体化是解决部署复杂的良药。在设备一体化的前提下，继而需要解决的是针对复杂威胁的防御能力，这体现在功能和性能两个方面。也就是说既要完全发挥每个功能模块的作用，相互实现配合，又要保障性能。这就要求在软件体系设计上进行创新，实现一体化设计，解决复杂的威胁和复杂的策略实施。

    UTM检测技术

    目前常用的深层检测方法有两种，一是通过定义报文特征来实现对已知攻击及网络滥用的检测，其优势是技术上实现简单、迅速。但仅能识别已知攻击和应用；另一种是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。

    目前来看，将动态检测与静态检测有机结合，消除各自刚性，可以形成一种“柔性检测”的机制。在这种机制下，可以有效发挥两种检测技术各自的优势，从而进一步提高检测的覆盖面。换句话说，无论是黑客攻击、P2P软件还是病毒变种，在柔性检测机制下都可以做到最大程度的覆盖。

    其实，各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下，通过VFPR（快速协议识别）、基于原理的SQL注入检测、基于行为的关联分析算法等，都可以进一步增强一体化安全网关的精确检测能力。

    另外，一些安全厂商专门建立了面向网络攻防研究的积极防御实验室（AD-LAB），这可以在第一时间内获得各种安全事件信息，并对各类安全事件进行深入研究，从而确保用户在最短时间内获得对最新攻击的精确防御能力。

    需要指出的是，在UTM领域预置行业安全配置模板，简化配置管理流程已经成为趋势。目前业界已经形成了“让安全变得简单”的安全设计理念，通过预置基于行业的应用层安全策略配置模板，可以大大降低终端用户的配置复杂度。这些模板，是众多安全厂商通过对大量行业用户网络威胁的调查、总结得到的适合该行业用户的安全策略配置模板。对于绝大多数用户，只需直接引用配置模板，即可获得适合本行业的有效的入侵防御及防病毒功能。而对于常见IM及P2P软件，业内的共识则是通过提供额外的快速配置界面，帮助用户直接针对常见的网络滥用行为进行策略配置。

    UTM的功能模块

    通常UTM设备包括防火墙、防病毒网关、IDP、反垃圾邮件、访问控制、VPN、内网监控等多种功能。并不是每一个功能都是我们所需要的，用户应当选择哪此功能模块是必须的。当然，在价钱相近的情况下功能越多越好，但也要顾及性能是否支持。目前有些厂商为了解决互联网滥用的问题，也是企业主最关心的问题，针对此有些UTM设备里集成了上网行为管理模块，包括访问控制、监控审计，我们在UTM设备选型时，最好选择集成上网行为管理内网安全模块的设备。

    对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。我们要考察管理员是否易于掌握和操作UTM网关，界面是否友好，设置选项应该通俗易懂，最好能支持中文操作界面。日志特别重要，好的日志系统应该有详细的记录，包括防火墙日志、流量日志、网络监控日志等，日志应该便于分类和排序，最好能以图表进行显示，方便统计和对数据的分析。
如何选购适用的UTM设备，一般而言，应做可接受的价格对多个不同品牌分析比较，找到更多的功能和更优的性能。并且该设备在目前或未来1~2年内能够得到使用。

    UTM安全网关是中小企业客户花“小”钱解决大网络安全问题的典型方案，不仅可以解决安全的问题，还可以同时解决网关问题。自从宽带接入互联网流行起来后，出现了宽带路由器，VPN防火墙等等接入设备，如今又添UTM做为接入设备的“统一安全+网关”联合方案，实在是中小企业之福。UTM解决了防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤，接入等一大堆问题，在单一盒子里实现了前所未有网络接入安全的全面解决方案，因此开创了中小企业网络安全防护的新纪元。

    UTM网络安全优势

    随着网络的庞大化和复杂化，网络威胁也呈日益严重化的趋势，象间谍软件，网络钓鱼，病毒和垃圾邮件的攻击在互联网络上盛行,促使网络用户不断提高安全意识，对安全产品的需求也更加广泛和深入，带动了网络安全产品市场需求的迅速增长。依靠单一防火墙防范各种攻击已成为历史，这需要一个全面的安全应对机制，而统一威胁管理（UTM）正是为应对这一网络安全状况出现了。

    UTM由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供多项安全功能，将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台，实现防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等等，一大堆的安全应用功能。

    据2004年IDC的一项调查显示，UTM的这一市场占有率从2003年的6.6%一直稳步增长，预计到2008年有将会超过传统防火墙产品所占的市场份额。IDC在报告中称：未来五年里，UTM产品的销售量将会超过标准防火墙/VPN网络安全产品。

    UTM分布在一个网络安全市场金字塔模型中部，最上头是大型企业采用的更高级和更复杂的安全机制，最下层是一般普通传统硬件防火墙或软件防火墙的防护，因此UTM是面向中小企业用户而提出来的新一代网络安全防护概念。

    原先大多数中小企业装备的防火墙主要基于网络层的防护，虽然部分厂商在防火墙中融合了对应用层防护机制，但这些产品在性能效率、功能协同方面，已经难以应对当今网络安全。因为防火墙无法对蠕虫木马、间谍程序、病毒、垃圾邮件等数据驱动式攻击而提供有效防御，也无法防止利用TCP/IP协议漏洞或缺陷发起的攻击。为了防范普通防火墙无法应对的网络安全威胁，除了防火墙，企业原先的方案可能还同时装备IDS/IPS、防病毒网关、防垃圾邮件设备等，这不仅增加了投资，还增加系统复杂性、管理复杂性，而且整体效率水平较低。

    UTM提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而解决了管理多个功能单一的网络安全产品的难题。这使员工无需再花费大量时间去学习新系统。UTM还能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等，提高了IT人员阻止攻击的效率。企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。

    UTM量体应用

    对于规模在50人以上，500人以下的企业，很多会申请专线，不过带宽一般不超过10M。此时，一台200M的UTM也是绰绰有余的。因为即便是功能全开后的性能下降，有效吞吐率也能维持在40M左右。

    从实际情况看，即便是规模更大的企业，其出口带宽一般也不超过10M，甚至很多企业内网流量也仅在100M左右。对此，蔡永生表示说，企业的应用有别于大学，其流量本身并不复杂。而相对于电信和金融用户的高速度、高独立、高冗余特点，企业用户并非一味求快，而是更注重安全，这恰好符合UTM的设计理念。

    用户需要明确一点：UTM的设计思路始终是把安全放在第一位，只有在安全特性之上，才能谈性能。而梁小东也建议企业用户在选购的时候，可以根据厂商提供的参照表进行选择。

    事实上，和其他的企业级IT产品一样，UTM的技术寿命一般就是三年，因此用户在使用过程中只要保证满足三年内的应用就可以了。另外，叶宜斌也提醒说，如果用户比较关注网关防病毒和入侵检测，那么必须考虑在用户满容量的情况下，把厂商的推荐配置作相应提高。

    最终的需求取决于用户本身。王景辉，用户如果要高速度，同时也要非常高的安全性，那么在选择UTM的时候，制定需求需要有一定余量。但是用户如果对于安全的要求高于对速度的要求，则可以选择性能普通的UTM产品。

    此外，用户最好在UTM性能达到饱和的时候把产品升级。叶建辉认为，即便是用尽所有UTM安全功能的用户，亦需要按UTM的性能饱和度，适时地把产品升级。