【IT168 专稿】随着时间的演进，信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面，从前的安全威胁和恶意行为与现今都不可同日而语。现在每天都有数百种新病毒被释放到互联网上，而各种主流软件平台的安全漏洞更是数以千计。攻击手段在互联网上肆意泛滥，没有保护的计算机设备面临的安全困境远超从前。防御更具智能化的攻击行为，需要安全产品也具有更高的智能，因此整合式安全设备越来越受到企业用户的关注，UTM类型的产品也逐渐被广泛使用，在未来UTM的网络设备将会是信息安全的主流产品。

图一

    UTM选购问题注意事项：

    1．UTM的性能及稳定性：由于UTM将所有的安全功能置于一台设备之内，无形中也带给了我们更高的风险。一旦UTM设备出现问题，所有的安全防御措施将陷入停顿；而一旦UTM设备被成功侵入或突破，整个网络也将被赤裸裸地暴露在打击之下。所以考察UTM设备的性能及稳定性是我们在选购UTM时的重中之重。性能和稳定性不好的防火墙，其他功能再好也是空谈。

    2．UTM的易用性：易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外，很重要的需要考察是否有详细的日志乃至数据中心。对UTM日常的管理主要是看日志、修订策略、添加和删除用户等。管理方面用户应该注意界面的友好性，设置选项应该通俗易懂，最好能支持中文操作界面。日志特别重要，好的日志系统应该有详细的记录，包括防火墙日志、流量日志、网络监控日志等，日志应该便于分类和排序，最好能以饼图、柱状图等进行显示，方便统计和对数据的分析。

    3．UTM的功能模块：通常UTM设备包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。并不是每一个功能都是需要的，用户不必要为了一些不需要的功能花冤枉钱。当然，价钱相等的情况下功能越多越好。

    4．UTM的性价比：为较低需求而采用高端的UTM设备将造成用户投资的浪费，同样为较高的应用需求而采用低端设备将无法达到预计的性能指标。一般而言，同等价格获得越多的功能和性能，则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1~2年内能够使用得到的，否则就无法体现其价值。

    UTM设备推荐

    启明星辰天清汉马系列

    启明星辰公司推出新一代的UTM产品——天清汉马USG一体化安全网关。天清汉马USG一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御（IPS）、防病毒、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

图二

    FORTINET FortiGate企业级的统一威胁安全管理（UTM）平台

    FortiGate企业级系列产品包括 FortiGate-620B、310B、110C、200A、224B、300A、400A、500A和800，能够满足普通企业的对性能、可用性和可靠性的需求。它们和其他型号产品一样具有所有主要功能，比如集成的防病毒、防火墙、VPN、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps，具有高可用性(会话级别切换)，多个安全区等功能。

图三

    天融信 TopGate 网络卫士安全网关(UTM)

    天融信 TopGate 网络卫士安全网关 (UTM) 是北京天融信公司基于多年网络安全产品研发经验推出的包括防火墙、虚拟专用网（ VPN ）、入侵检测和防御（ IPS ）、网关防病毒、 WEB 内容过滤等安全防护特性的 UTM 产品。 TopGate 不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量 (QoS) 保证、负载均衡、高可用性 (HA) 以及网络带宽管理等功能。

图四

    联想网御UTM安全网关

    联想网御金刚安全网关以多核多线程平台为硬件基础，通过Windrunner矩阵式并行计算系统，网络处理能力可达40Gbps，可同时为2个万兆核心骨干网络做集中的安全防护，有效解决了目前10G网络无法得到安全防护的问题，使网络管理员能够及时排查核心骨干网络安全问题，大大降低管理员的使用和维护成本。金刚安全网关的推出再次证明联想网御的技术研发实力，并进一步扩大了联想网御在高性能安全网关产品上的优势。

图五

    UTM使用问题注意事项

    由于UTM的独特功能组合，因此造就了其特殊应用的一面。对此，企业用户必须有一个全面的判断。

图六

    第一，对于传统上描述的根据“并发用户连接数”来判断UTM的性能并不科学。市场中一些不规范的小厂商经常用该数值误导用户。事实上，UTM不同于防火墙，后者建立Session后就不再干预了，可是UTM还要进行深度包检测。因此从目前网络趋势看，特别是P2P应用泛滥的情况下，很可能一个QQ直播或者Skype用户就可以产生几百个甚至一千个连接，因此仅靠标称支持多少并发用户对于UTM是没有保证的。

    要评审一款UTM的性能，比较科学的方法是以一般用户对不同应用的比例来仿真加压测试（stress test）。如按比例加大Email、HTTP、FTP的流量。但每个用户的应用比例都不一样，所以这种测试的结果也不代表对所有用户有用。

    第二，UTM的单点故障问题。UTM部署在网关的时候，在一定程度上是存在单点故障隐患的。毕竟大量的功能模块集中在一台设备里，一旦出现问题，网络很可能瘫痪。通过对UTM系统参数的监控，一旦发现CPU、内存快到临界点的时候，马上关闭一些消耗较大的功能，可以在一定程度上避免单点故障的问题。

    第三，内容过滤与内网控制。对国内用户的调查显示，很多企业对于内网的P2P和IM软件的应用心存余悸，特别是在学校里尤其明显。因此国产UTM厂商，都在自己的产品中加入了接入层多元素绑定技术，同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题，这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能，实现对所有内网监控、控制、审计、提供报表、流量管理，确实满足了国内用户特定的需求。

    第四，VoIP冲突。随着VoIP的发展，在国外已经出现了由于大量VoIP小包对UTM造成的性能冲击问题。事实上，VoIP有其特点，比如它是UDP包，而不是TCP包。对此UTM可以进行专门优化。对于所有VoIP例行的UDP包，只进行简单扫描，可以放过。因为语音数据包里基本没有垃圾邮件和病毒，所以通过UTM引擎可以对VoIP进行优化。

    而针对VoIP的两种主要协议：SIP和H.323都有自身的安全漏洞。通过UTM设备，可以在很大程度上给VoIP套上另一层保护。与国外的情况不同，很多国内用户习惯将VoIP通过IPSec VPN通道。目前很多一线UTM厂商的产品都可以穿越隧道进行扫描，有些还可以在加解密之前进行病毒检测，因此安全上没有问题。

    后记：

    网络安全的威胁的发展经历了从物理攻击，协议攻击，数据包攻击到文件型攻击的转变，单一的网络检测技术越来越显示出其薄弱的一面。威胁的多样化发展淡化了防御技术的分类界限。新型的UTM产品将会以网络行为威胁为防御基础，病毒，蠕虫，黑客攻击，木马的威胁分类逐渐消失，行为特征分析会成为安全防御的基础。而相应的安全内容级管理会成为越来越重要的部分。