【IT168 专稿】面对安全威胁的发展趋势，传统的防火墙已经显得无能为力。它无法检测出利用正常业务端口展开的恶意威胁与攻击，也无法检测和控制占用用户大量网络资源的IM、P2P软件。在这种情况下，融合多种安全能力，能够针对应用层进行深层检测、实现立体防御的UTM设备应运而生。下面来看下UTM具体技术！

    UTM状态检测技术

    UTM仅检查独立的信息包是不够的，因为状态信息（以前的通信和其他应用信息）是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。因此为了保证高层的安全，UTM必须能够访问、分析和利用以下几种信息：

    ·通信信息：所有应用层的数据包的信息；
    ·通信状态：以前的通信状态信息；
    ·来自应用的状态：其他应用的状态信息； 
    ·信息处理：基于以上所有元素的灵活的表达式的估算。

    状态检测技术能在网络层实现所有需要的UTM访问控制能力。

    UTM上的状态检测模块能访问和分析从各层次得到的数据，并存储和更新状态数据及上下文信息，为跟踪无连接的协议（比如RPC和基于UDP的应用）提供虚拟的会话信息。UTM根据从传输过程和应用状态所获得的数据，以及网络设置和安全规则产生一个合适的操作，或者拒绝、或者允许、或者加密传输。但任何安全规则都没有明确允许的数据包将被丢弃或者产生一个安全警告，并向系统管理员提供整个网络的状态。

    检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其他安全方案不同，当用户访问到达网关的操作系统时，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并做记录，向系统管理器报告网络状态。这种UTM无疑是非常坚固的，但它的配置非常复杂，而且会降低网络的速度。