【IT168 专稿】随着网络的庞大化和复杂化，网络威胁也呈日益严重化的趋势，象间谍软件，网络钓鱼，病毒和垃圾邮件的攻击在互联网络上盛行，促使网络用户不断提高安全意识，对安全产品的需求也更加广泛和深入，带动了网络安全产品市场需求的迅速增长。依靠单一防火墙防范各种攻击已成为历史，这需要一个全面的安全应对机制，而统一威胁管理（UTM）正是为应对这一网络安全状况出现了。

    企业原状论述

    原先大多数中小企业装备的防火墙主要基于网络层的防护，虽然部分厂商在防火墙中融合了对应用层防护机制，但这些产品在性能效率、功能协同方面，已经难以应对当今网络安全。因为防火墙无法对蠕虫木马、间谍程序、病毒、垃圾邮件等数据驱动式攻击而提供有效防御，也无法防止利用TCP/IP协议漏洞或缺陷发起的攻击。

图一

    为了防范普通防火墙无法应对的网络安全威胁，除了防火墙，企业原先的方案可能还同时装备IDS/IPS、防病毒网关、防垃圾邮件设备等，这不仅增加了投资，还增加系统复杂性、管理复杂性，而且整体效率水平较低。

    UTM提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而解决了管理多个功能单一的网络安全产品的难题。这使员工无需再花费大量时间去学习新系统。UTM还能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等，提高了IT人员阻止攻击的效率。企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。

    进阶安全策略部署

    1.面对的威胁

    UTM部署在网络边界的位置，针对2-7层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。

    ①对网络自身与应用系统进行破坏的威胁：此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

    ②利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马，通过这个工具，不法分子获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传“法 轮 功”的邮件，毒害人民群众，追逐政治目的。

     ③网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响到正常业务的使用；又如，股票软件是正常行为，但上班时间使用，降低了工作效率，对公司或单位构成了间接损失。这些行为都属于网络资源滥用。

    当然，由于是以结果进行分类，有些威胁可以同时归属于两类，例如SQL注入，有些注入是为了获取信息，达到政治或经济目的，属于第二类；有些注入后是为了修改网页，达到破坏正常网站访问业务的目的，属于第一类。这并不影响分类覆盖范围的全面性。

图二

    2.处理的方式

    UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御（IPS）、防病毒（AV）、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。

    当然，对于众多的功能，有必备功能和增值功能之分。一般而言，防火墙、VPN、入侵防御、防病毒是必备的功能模块，缺少任何一个不能称之为UTM。其余是增值功能，用户可以根据自身需求进行选择。

    站在用户角度，面对的是整个网络、所有业务的安全，整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键，各自为战是不能实现整体安全策略的。因此在UTM处理方式中，需要特别考虑策略的协调性、一致性。

    3.达成的目标

    有了面对的威胁对象和处理方式之后，就要看UTM能达成的目标了，也就是价值。UTM设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速、或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，“精确识别和控制”是最为关键的。

    同时，UTM整合多种安全能力后，仍然需要保持比较高的性能，因此性能不能有明显下降；安全网关设备的可靠性要求毋庸置疑的；此外，由于设备的功能多，对网管员的要求高，管理方便、配置简单当然也是UTM类设备要达成的目标。

图四

    后记：

    网络安全的威胁的发展经历了从物理攻击，协议攻击，数据包攻击到文件型攻击的转变，单一的网络检测技术越来越显示出其薄弱的一面。威胁的多样化发展淡化了防御技术的分类界限。

    新型的UTM产品将会以网络行为威胁为防御基础，病毒，蠕虫，黑客攻击，木马的威胁分类逐渐消失，行为特征分析会成为安全防御的基础。通过安全策略的统一部署，融合多种安全能力，针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。