【IT168 专稿】UTM是统一威胁管理（Unified Threat Management）的简称。这是一种新型的信息安全设备。该设备将企业防火墙、入侵检测以及防病毒等结合于一体。UTM 在未来几年内将成为市场的主流，并超过防火墙/VPN 的市场份额。为什么这样说？ UTM 又有哪些资本统领市场呢？

    UTM 设备提供综合的功能和安全的性能，降低了复杂度， 也降低了成本， 适合企业、服务提供商和中小办公用户的网络环境。UTM 设备能为用户定制安全策略，提供灵活性。用户既可以使用UTM 的全部功能，也可酌情使用最需要的某一特定功能。UTM设备能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。随着性能的提高，大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分。

    UTM显著特征 

    1．深度检测：用户需要基于深度数据包检测（DPI）的防火墙。基于状态数据包检测（SPI）的防火墙仅能够处理来自互联网威胁的2%（这一数据基于SPI防火墙所分析的数据包头流量和DPI防火墙所处理的数据包净荷流量之比）。

    2．个体差异：所有的UTM防火墙并非都是一样的，当然不同的深度数据包检测防火墙也有所不同，有些就不能高效地处理大流量和大尺寸文件。

    3．动态更新：为使所采用的安全技术能够满足未来要求，必须采用动态保护。可动态连续更新的安全设备正在成为事实上的行业标准。

    4．高度集成：高度集成的设备是关键。部署分离的设备和技术也可以获得某种形式的统一威胁管理（UTM），但在管理和维护方面的成本却翻了几翻，并且实施的成本也非常高昂。在当前的情况下，这种点式解决方案的成本高昂又难于管理。

    新型的网络安全威胁使UTM（统一威胁管理）在网络应用安全领域获得了高速增长的市场份额。根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。IDC的行业分析师们注意到，针对快速增长的混合型攻击（基于互联网的病毒已经开始在应用层发起攻击），需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。

    UTM应用技术

    实现UTM需要无缝集成多项安全技术，达到在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。以下为一些典型的技术：

    1．完全性内容保护（CCP）

    CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。

    它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象（如文件和文档）的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

    2．ASIC 加速技术

    ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务（如防病毒和内容过滤）的平台， 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力， 提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持，仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。

    3．定制的操作系统OS

    专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。

    4．紧密型模式识别语言 (CPRL)

    这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新的安全算法包括基于行为的启发式算法，利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。

    UTM应用情况

    UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更可贵的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好地协同。现在UTM在安全产品市场上一路高歌猛进，其成长速度已经达到了两位数。除了新增的市场份额之外，受到UTM侵蚀的安全产品主要是防火墙设备和实现VPN功能的产品。按照目前的情况来估计，UTM产品的发展在未来的几年中仍会保持较高的增长速度，并有望成为主流的信息安全产品。

    现在有很多针对中小企业信息安全的探讨，其中一个焦点问题就在于市场上缺乏适合中小企业需要的安全解决方案。UTM产品在中小企业市场的应用，至少可以在两个方面缓解这一问题。中小企业的资金流比较薄弱，这使得企业在信息安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投入，这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。而由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务，有利于中小企业用户建立更加合理和真实的解决方案。

    过多描绘UTM的美好未来有时并不总能产生正面的效果，应该恰当的面对UTM的问题。我们认为有些产品虽然也被划归为UTM类设备，但是从严格的意义上说，并不能将其做为完全的UTM产品来认识。广大用户在考察和选用UTM产品的时候，首先应该根据自身的情况清楚地界定对于UTM的要求。我们不但要更好的利用UTM的外在，还要充分发掘UTM的精髓。另外，至少在目前还有一个问题的答案没有被完全揭晓。目前的UTM产品大多是网关型的产品。我们知道，在面对当今复杂的安全威胁时，网关型的防御虽然有效，但仍无法独立构成完整的安全防御体系。我们期待着有更多的厂商跨越这条界限，更好地发挥UTM作为安全平台的优势，向用户提供更多具有创新性的解决方案。

    编者按

    UTM要成为新的市场热点离不开两方面原因，一是越来越多的中小企业出于成本与性价比的要求，对整合式安全产品的需求越来越大；二是硬件技术与安全软件的发展逐渐满足这类产品的集成化要求。UTM产品目前最典型的是“集成化安全网关”或者叫做“一体化安全网关”，它最核心的功能是防火墙，同时集成IDS 、VPN 、防病毒、防垃圾邮件等功能。

    UTM 产品尚处于发展阶段。相信随着企业应用的增加，UTM 产品会有良好的发展前途。另外一类是网络安全管理产品，涵盖网络安全产品管理、补丁管理、客户端安全管理、非法外联管理等，发展势头不错，将逐渐成为安全解决方案的核心。