【IT168 专稿】企业对UTM的担忧主要体现在，如何解决单点故障、引擎单体性能以管理性和扩展性。专家表示，随着越来越多的安全厂商成功解决了万兆级的防火墙瓶颈，无疑对UTM厂商是一种信号。在对如今常见CPU、NP、ASIC、以及多核平台的测试过程中，厂商发现通过多核可以很好的解决UTM产品所面临的困境。但多核平台可以高效的解决UTM困境的同时，厂商不得不面对多核带来的技术挑战。

    UTM将成为主流

    UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。

    一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好的协同。

图一

    现在UTM在安全产品市场上一路高歌猛进，其成长速度已经达到了两位数。除了新增的市场份额之外，受到UTM侵蚀的安全产品主要是防火墙设备和实现VPN功能的产品。按照目前的情况来估计，UTM产品的发展在未来的几年中仍会保持较高的增长速度，并有望成为主流的信息安全产品。

    现在有很多针对中小企业信息安全的探讨，其中一个焦点问题就在于市场上缺乏中小企业情况的安全解决方案。UTM产品在中小企业市场的应用，至少可以在两个方面缓解这一问题。中小企业的资金流比较薄弱，这使得企业在信息安全方面的投入总显得底气不足。

    而整合式的UTM产品相对于单独购置各种功能，可以有效的降低成本投入，这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。而由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度的降低对安全供应商的技术服务，有利于中小企业用户建立更加合理和真实的解决方案。

    面对危胁UTM力挺

    北京启明星辰信息技术股份有限公司作为国内信息安全行业的领头企业，也积极投入到对未知威胁的防范和研究中来。借助十年的技术积累和实验验证，启明星辰经过不懈的努力最终拿出了一种用于防范未知威胁的切实有效的方法——“基于行为分析的合法性检查技术”，并将此技术成功应用于天清汉马USG一体化安全网关产品中。

图二

    威胁是一只披着羊皮的狼，但无论它披上什么样的羊皮都无法掩盖其“狼”的秉性。每一种威胁都是由一系列的行为组成，如终止系统进程、删除文件、修改注册表、探测漏洞、强行关闭系统等等。如果能有效的截获这些动作，那么也就揭开了威胁的神秘面纱。“基于行为分析的合法性检查技术”通过强大的反编译引擎对途经的数据包进行重组和反编译处理，将已编译好的二进制威胁病原体重新反编译为一系列行为动作的组合，从而让隐藏在数据流深处的各类威胁的“秉性”一览无余，这就为有效截获未知威胁创造了条件。

    对于成千上万种不同类型的行为，什么样的组合属于正常应用，什么样的组合才构成威胁呢？“基于行为分析的合法性检查技术”引入了行为权重和威胁阀值的概念，即将目前各类已知的行为根据它们的风险性初始化一个行为权重，同时拟定一个威胁阀值，如果某类事件所包含行为的行为权重的组合超过了阀值，那么可以认定这类事件为一个威胁。

    用行为权重作为判断威胁的标准对权重的精确性提出了非常高的要求，“基于行为分析的合法性检查技术”选择了五万多条含有丰富行为特征的样本库，即包括正常样本也包括威胁样本，经过百万次的循环验证和权重微调，最终形成了一套准确的行为权重知识库。准确的行为权重知识库是检测未知威胁的基础。

    天清汉马USG一体化安全网关本着把复杂留给自己，把简单留给用户的超然态度，借助十年深厚的技术积累和百万次的人工智能训练，最终将“基于行为分析的合法性检查技术”奉献给用户。采用天清汉马USG一体化安全网关作为网络安全的第一道防线，对于隐藏在Internet中的任何未知威胁，通过行为分析和合法性检查，可快速判断威胁等级并通过阻断、告警等多种手段有效控制，将未知威胁消灭于萌芽状态，让未知威胁无处藏身。

    启明星辰UTM点评

    这里用3个指标来衡量UTM产品的应用层安全处理能力：防病毒处理能力、防垃圾邮件处理能力、全部防护功能开启情况下应用层吞吐量。除了应用层测试，此次还对UTM产品的纯防火墙性能进行测试。测试时只打开UTM防火墙功能，并为防火墙添加100条安全策略，采用RFC2544规定的7种测试包长分别对产品进行吞吐量、延时性能测试。

    在防病毒性能测试中，天清汉马USG-2000C成功建立了模拟文件传输的并发连接数47900个，在最大并发连接压力下的平均处理速率为2099.01HTTP连接/秒。以每个网络使用者正常网络连接需保持20~50条网络连接计算，USG-2000C产品的防病毒能力可以满足2000个左右用户同时上网的需求。在反垃圾邮件性能测试中，USG-2000C可同时接受85769个用户的邮件发送请求，并且每秒可平均对493.5封邮件进行处理，可以满足企业用户海量邮件处理的需求。

图三

    启明星辰的天清汉马USG-2000C型“统一威胁管理”（UTM）产品，在网络性能测试过程中，无论是网络层的数据包吞吐量测试，还是在应用层连接用户数及连接处理速率测试中，其性能均远远超过其它品牌的产品。

    启明星辰天清汉马UTM系列产品采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、网关防病毒、入侵防御(IPS)、抗拒绝服务攻击(Anti-DOS)、WEB 内容过滤和反垃圾邮件等多种安全技术于一身，同时全面支持QoS、负载均衡、高可用性(HA)、日志审计等功能，为网络边界提供了全面实时的安全防护。

    启明星辰UTM的IPS入侵防御功能融入了启明星辰积累10年的检测技术，能够对各类攻击实现精确检测与阻断。其防毒技术可以对100000种以上的文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件进行检查。此外，实用的流量监控系统NetFlow可以提供历史带宽使用趋势分析等实用工具。

    编者按

    网络安全威胁的发展经历了从物理攻击，协议攻击，数据包攻击到文件型攻击的转变，单一的网络检测技术越来越显示出其薄弱的一面，新型的UTM产品将会以网络行为威胁为防御基础。

图四

    由此可见，启明星辰的UTM之路还很长！