【IT168 专稿】为了对付混合威胁，满足中小企业对防火墙、IDS、VPN、反病毒等集中管理的需求，一些厂商将这些技术整合进一个盒子里，设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界，也就是位于局域网（LAN）和广域网（WAN）之间，子网与子网交界处， 或专用网与公有网交界处，同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体，VPN通常也集成在内。这种盒子就是UTM的雏形。

    解剖UTM

    UTM需要在不影响网络性能情况下检测有害的病毒、蠕虫及其它基于内容的安全威胁的产品，有的系统不仅集成了防火墙、VPN、入侵检测功能，还融入内容过滤和流量控制功能，提供了高性价比和强有力的解决方案。由于UTM系统需要强劲的处理能力和更大容量的内存来支持，消耗的资源必然是很大的，仅利用通用服务器和网络系统，要实现应用层处理，往往在性能上达不到要求。只有解决功能与性能的矛盾，UTM才能既实现常规的网络级安全（例如防火墙功能），又能在网络界面高速地处理应用级安全功能（例如病毒与蠕虫扫描）。虽然UTM实现的技术途径可以有多种，采用ASIC解决功能与性能矛盾，仍是公认的最有效主要方法。能够支撑一个优秀的UTM设备，最主要有三种优秀技术实现途径来保障。

图一

    其一、ASIC加速技术。在设计UTM系统的总体方案中，有着两类不同加速用途的ASIC，也就是说，它们朝着两个方向发展：一是应用层扫描加速，另一是防火墙线速包处理加速。

    其二、定制的操作系统（OS）。实时性是UTM系统的精髓。多功能集成的安全平台需要一套专用的强化安全的定制操作系统。这一OS提供精简的、高性能防火墙和内容安全检测平台。 通过基于内容处理的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户带来最好的实时性，有效地实现防病毒、防火墙、VPN和IPS等功能。

    其三、高级检测技术。贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全内容检测技术（CCI）能够扫描和检测整个OSI堆栈模型中最新的安全威胁，与其它单纯检查包头或“深度包检测”的安全技术不同，CCI技术重组文件和会话信息，可以提供强大的扫描和检测能力。只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟，UTM使用ASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。

    UTM适当的位置

    UTM 基本上是比较适合在企业的分支机构部署的，像保险公司、银行等具有很多业务的单位，就很适合部署 UTM 来协助企业满足简化管理的需求。保险业或证券业等营业模式，都具有营运单位经常搬迁移动，又常需要设置开放的网络环境来让客户使用的特色。利用 UTM 装置可部署不同的网络安全区域，并制定不同的Policy来区分各区域的安全等级。例如行政人员区可以允许其接入进入企业内部网络，而保护区便只能让其连出因特网。许多类似汽车产业经营模式的企业，大量的业务员带着与他们四处奔走的笔记本电脑回到公司内部，为了避免中毒与遭受入侵的可能性，传统都是通过IP- Sec加密以保护分支据点与分支据点间或与总公司之间通过因特网或是 VPN 传输数据时的安全性(见下图)。现在有了 UTM 装置，可以将其置于分公司与总公司之间，除了具有加密的效果，还具有防病毒、内容过滤等功能，让信息安全更有保障。

图二

    如果不是分支机构，单一据点的公司或企业是否适合使用 UTM 呢？关键点在于公司的信息环境与目标。如果老板很清楚自己公司与信息相关的业务需求仅限于上网找数据以及利用电子邮件与客户往来，此时使用UTM 就很合适，可以完全解决基本的信息需求，也不会让网络性能影响到公司的营运；不过若是像网吧或网络拍卖这类型的公司，营运行为深受网络带宽与性能影响，又得特别防范黑客入侵系统，一个可弹性定义 Policy、又具有备援性功能的防火墙，甚至是 IPS ，就是企业需要考虑的了。

    其实，UTM 解决方案应该是整体安全策略的一部分，而不是唯一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。

    功能测试

    基本功能测试。作为一款网关型产品，UTM对复杂网络的支持能力值得用户关注。在本项测试中，我们主要考察UTM部署模式是否支持桥、路由和混合模式，NAT功能实现的完善程度以及策略描述的能力，带宽管理能力和VPN的支持能力。

    安氏领信：LinkTrust UTM X5300

图三

    LinkTrust UTM X5300是北京安氏领信科技发展有限公司开发的，面向企业级百兆高端应用市场的一款国产UTM产品。LinkTrust UTM X5300以领信安全实验室“LinkTrust Security Lab”的网络安全软件平台LTOS为核心，在LTOS核心层融会设计了安全检测引擎，并高度集成了防火墙、VPN、入侵检测/防护、防病毒、防垃圾邮件、P2P防护、内容安全控制、高可用性、带宽管理、Anti-X服务、多媒体通信安全、即时消息过滤、认证授权、远程安全接入等众多安全功能。

    X5300采用标准的1U机身设计，具备4个10/10Mbps以太网接口，一个IDS、HA以及GSM接口。另外，X5300还提供了Console管理接口以及USB备用接口。X5300内置特征签名库可对各种端口扫描、信息探测、恶意攻击进行准确检测与有效阻断，使其对应用层攻击具备了全方位防护能力，特有的流量Mirror Port功能使网管对网络活动了如指掌。

    X5300支持基于SMTP、POP3、IMAP协议的垃圾邮件过滤，可智能识别多国语言，配合阈值过滤、RBL、路径检查、连接控制、转发控制、邮件控制、异常控制、流量控制和延时投递等综合安全控制手段对垃圾邮件进行控制。

    另外，X5300还支持HTTP、FTP协议的内容过滤，可实时检测出隐含在高层应用协议中的病毒、木马、蠕虫和恶意代码，除了实时响应、主动阻断之外还可动用多种手段通知管理员。

    在性能测试方面，X5300表现良好，在开启防火墙模块、NAT转换状态下，新建连接速率可达6435连接/秒，最大并发连接达到了80万，应用吞吐量可达94.0Mbps。

    在IPSec测试中，X5300与我们的Avalanche测试仪进行IPsec VPN隧道协商时出了一些小问题。所以，我们在测试中采用两台相同的X5300进行IPSec VPN对连。X5300在开启防火墙、VPN、防病毒和入侵检测功能等模块时，应用吞吐量达到了88.1 Mbps。

    在功能测试方面，X5300可以支持路由、透明模式，另外通过3个网络接口可以实现路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面，X5300只能对特定版本QQ、MSN、Shype等软件进行监控、识别，并可以进行相应的阻断或限流处理。

    在易用性方面，X5300支持中文图形化Web管理界面，便于管理员完成初始化系统配置。出于对系统安全性的考虑，X5300采用了符合GB/T 18336-2001安全设计要求的分级管理体系，AAA认证协议可保证对用户身份强制认证和安全审计。

    FortiNet：FortiGate 400A

图四

    FortiGate 400A是FortiNet公司设计的基于ASIC硬件UTM产品，可以在网络边界处为中小型企业提供实时的保护。FortiGate 400A通过采用FortiNet公司自主开发的FortiAsic内容处理器和强化安全的操作系统FortiOS，可以有效降低因检测有害的病毒、蠕虫及其他基于内容的安全威胁而对网络性能的影响。

    FortiGate 400A除了提供防火墙、VPN和入侵检测/防御功能外，同时具有防病毒/蠕虫和Web内容过滤等应用层功能，以及反垃圾邮件、反间谍件功能和流量控制功能，为日益增长的中小企业网络的安全需求，提供了其所需要的性能、灵活性和安全保证。

    FortiGate 400A有两个10/100/1000Mbps自适应以太网接口，可以升级到千兆网络。同时，它还具有4个用户定义的10/10Mbps接口，可以提供冗余的WAN连接，高可靠性和多区域的特性允许管理员在划分其网络的区域时有更高的灵活性，并可以在不同区域之间设置策略。另外，FortiGate 400A前面板具有LCD屏和简单的控制按键，可以在没有外部控制台的情况下为其提供简单的管理配置参数。

    在性能测试方面，FortiGate 400A表现出色，各项指标均为本次测试的成绩优异。在开启防火墙模块、NAT转换状态下，新建连接速率可达10017连接/秒，最大并发连接达到了84.8万，应用吞吐量可达94.0Mbps。

    在测试中，FortiGate 400A与我们的Avalanche测试仪进行IPsec VPN隧道协商时出了一些小问题，所以我们在测试时，采用两台相同的FortiGate 400A进行IPSec VPN对联。FortiGate 400A在开启防火墙、VPN、防病毒和入侵检测功能等模块时，应用吞吐量达到了94.0Mbps。这也是本次测试中，唯一一款在开启VPN、防病毒和入侵检测功能等功能后，应用吞吐量没有下降的产品。

    在功能测试方面，FortiGate 400A支持路由、透明模式，另外通过3个网络接口可以实现路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面，FortiGate 400A做得也很好，可以成功识别这些网络应用，并可以进行相应的阻断或限流处理。

    在易用性方面，FortiGate 400A做得同样不错。操作简便的中文图形化Web管理界面，便于引导管理员完成初始化系统配置。由于采用内存记录日志，所以FortiGate 400A并没有什么强大的日志统计，用户在不关机的前提下，可以对近一段时间的日志信息进行分析。当然，如果结合上其配套使用的FortiReporter组件，那么管理员也能够得到详细的分析报表。FortiGate 400A的Web管理界面并不具备网络故障检测工具，不过管理员可以通过基于Web的CLI控制台，以命令方式进行故障分析。

    SonicWALL：PRO 4060

图五

    SonicWALL PRO 4060有效地集成了防火墙、VPN、网关防病毒、IPS、反间谍软件、内容过滤等多种功能于一身，不仅可以防御来自Internet的安全威胁，而且还能防御公司内部各个部门之间的安全威胁。

    SonicWALL PRO 4060采用标准的1U机身设计，具备6个10/10Mbps以太网接口，一个Console管理接口。PRO 4060支持双链路的负载均衡，可以多种方式实现双WAN链路的出方向的负载均衡，确保关键服务的时时在线和业务的连续性。

    SonicWALL PRO 4060的核心是一个功能强大的深度包检测引擎，能实时扫描网络流量，并在恶意威胁入侵网络之前在网关处将其屏蔽。由于采用了专利技术的高速DPI引擎，SonicWALL PRO 4060不需要把待扫描的文件完整地缓存到内存的一个缓冲区，消除了传统的网关防病毒产品对能够扫描的单个文件大小和同时扫描的文件数目的限制，真正地对每一个数据包做扫描。同时，该产品还采用创新的SonicWALL Clean VPN技术，可在移动用户及分支机构连接威胁网络之前对其进行净化。

    SonicWALL PRO 4060可以紧密集成无线安全，自动检测发现和配置SonicWALL的SonicPoint无线接入AP，在无线信道上可以采用IPSec VPN 加密，并可实现全部的UTM功能，即在无线信道上实现病毒扫描、IPS、反间谍软件等。

    该产品还具备良好的VoIP防护能力，支持全部的H.323和SIP协议，可以对H.323和SIP呼叫信令做完善的语法校验，与IPS特征库匹配，拒绝恶意呼叫，保护内部的VoIP设备的可用性。

    在性能测试方面，SonicWALL PRO 4060表现良好。在开启防火墙模块、NAT转换状态下，新建连接速率可达2995连接/秒，最大并发连接达到了35.3万，应用吞吐量可达94.0Mbps。在开启防火墙、VPN、防病毒和入侵检测功能等模块时，SonicWALL PRO 4060应用吞吐量达到了92.7 Mbps，与开启防火墙模块时的应用吞吐量相比仅有小幅下降。

    在功能测试方面，SonicWALL PRO 4060支持路由、透明模式。另外通过3个网络接口可以实现路由和透明混杂的模式。对于IM和P2P类软件的支持能力方面，SonicWALL PRO 4060做得不错，可以成功识别这些网络应用，并可以进行相应的阻断，不过不能对它们进行限流处理，略显不足。

    在易用性方面，SonicWALL PRO 4060采用英文图形化的Web管理界面，具备初始化配置向导，管理员可以轻松地实现初始化配合。

    WatchGuard：Firebox X5000

图六

    Firebox X5000是WatchGuard Firebox X Peak产品系列中的一款经典产品，隶属于WatchGuard统一威胁管理（UTM）设备中性能最高的系列。Firebox X5000集成了强大的安全功能和高级网络特性，提供能满足最苛求网络环境要求的整体解决方案，适用于成长型企业或远程办公企业。

    Firebox X5000 将状态包防火墙、VPN、预防御、网关防病毒、入侵预防、防间谍软件、防垃圾邮件和URL过滤等功能集成于一台设备，提供全面的安全防护，同时降低了管理多点解决方案所需的时耗和成本。

    Firebox X5000 的智能分层安全（ILS）可实时提供真正预防御，在发现漏洞、漏洞攻击程序创建和运行之前对新出现的未知威胁进行防御。另外，每项WatchGuard安全服务均与Firebox X5000中内置的预防御配合工作，可以提供无懈可击的安全防护能力。而且，订购按设备数量而非用户数量计价，因此没有递增成本。所有安全服务均可持续升级，为用户提供最新的防护功能，并通过WSM集中管理，可实时观察所有安全功能的运行状态。

    在性能测试方面，Firebox X5000表现尚可。在开启防火墙模块、NAT转换状态下，新建连接速率可达7550连接/秒，最大并发连接达到了25万，应用吞吐量可达94.0Mbps。在开启防火墙、VPN、防病毒和入侵检测功能等模块时，Firebox X5000应用吞吐量为9.8 Mbps。

    在功能测试方面，Firebox X5000支持路由、透明模式，并可以在两个端口上实现路由和透明的混杂模式。对于IM和P2P类软件的支持方面，Firebox X5000表现一般，主要是目前并没有对部分IM应用程序进行特征化处理。不过，Firebox X5000还是可以通过采用IP、域名等方式进行阻挡的。

    在易用性方面，虽说Firebox X5000并不支持基于Web的管理方式，但是其附带的WatchGuard System Manager (WSM)并没有想像中的那么复杂，相反从最初的设备发现、配置向导到应用策略的定制都非常人性化，可以简化管理员的管理工作。另外，WSM为管理员提供了非常直观的设备运行监控，而且支持多种网络检测工具，并可以临时对某些可疑流量进行处理，非常适合管理员发现网络的瓶颈以及故障问题。WSM还包括全面的日志和报告、交互式实时监控以及拖放式VPN创建功能，无需增加成本。

    ZyXEL：ZyWALL 70 UTM

图七

    ZyWALL 70 UTM是合勤科技专门为解决中小企业安全问题而设计的网络安全网关。ZyWALL 70 UTM采用合勤科技先进的SecuASIC硬件加速解决方案，在合勤科技独有ZyNOSv4操作系统之上，有效地整合了包括防病毒、防垃圾邮件、入侵检测与保护、内容过滤、防火墙、VPN、负载均衡、带宽管理等8种中小企业常用的安全功能。

    虽说ZyWALL 70 UTM是本次参考产品中体积最小的一款，但是其具备的网络接口数目一点也不少。ZyWALL 70 UTM具备1个百兆LAN接口、2个百兆WAN接口、4个百兆DMZ接口、1个Dial Backup接口和一个Console管理接口。由于采用了双WAN接口设计，ZyWALL 70 UTM可以提供灵活的负载均衡能力，非常适合于那些需要多条线路上网的企业应用环境。

    ZyWALL 70 UTM的防火墙检测模块可以在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，提取状态信息并动态地保存起来，作为以后制定安全策略时参考。

    在网关杀毒方面，借助于卡斯巴斯基防病毒技术的支持，ZyWALL 70 UTM 具有强大的病毒侦测和清除功能。在垃圾邮件过滤方面，ZyWALL 70 UTM携手业界知名的MailShell，提供了强劲的防垃圾邮件功能，可以减少那些不请自来的邮件，防止钓鱼邮件，提高用户的工作效率，阻挡信息诱骗。值得一提的是，ZyWALL 70 UTM还可以通过添加一块无线网卡，以实现无线路由器功能。

    在性能测试方面，ZyWALL 70 UTM由于硬件配置较低的原因，因此表现一般。在开启防火墙模块、NAT转换状态下，新建连接速率可达330连接/秒，最大并发连接为1万，应用吞吐量为50.7 Mbps。另外，在开启防火墙、VPN、防病毒和入侵检测功能等模块时，ZyWALL 70 UTM应用吞吐量达到了24.4Mbps。

    在功能测试方面，ZyWALL 70 UTM支持路由、透明模式，但是不能支持基于路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面，ZyWALL 70 UTM做得很好，可以成功识别这些网络应用，并可以进行相应的阻断或限流处理。

    在易用性方面，ZyWALL 70 UTM采用Web管理界面，便于引导管理员完成初始化系统配置。另外，为了方便管理员同时管理多台UTM产品，合勤科技具备一款基于Web的Vantage 集中网管系统（CNM）。同时，通过ZyXEL Vantage Report网页式集中报告系统，管理员可以为分布式网络快速方便地搜集和分析通信数据。

    束语

    尽管所有的 UTM 供应商都宣称其 UTM 解决方案确实有效，但是能否及时有效地更新防护码， 应该是UTM能否成为安全金刚，拥有不坏之身的关键。自行开发防病毒、防垃圾邮件和防网络钓鱼的系统，然后放到既有的防火墙产品上，其产品成熟度与稳定性是另外一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险，因为这些产品给使用者带来虚假的安全感，实际上却不能防御真实的攻击。