以UTM為標(biāo)志的整合式安全設(shè)備在短短的時間內(nèi)引起了所有人的注意，整合式安全成為了業(yè)內(nèi)人士口中的高頻詞匯，而UTM也被越來越多的中小企業(yè)認(rèn)為是未來的必然發(fā)展趨勢。然而UTM真的能夠解決中小企業(yè)所有的安全問題嗎?為了那些宣稱被解決的問題中小企業(yè)付出了哪些代價呢?

針對計算機系統(tǒng)的威脅出現(xiàn)已經(jīng)有25年多了，但黑客仍在繼續(xù)制造更為復(fù)雜的新威脅，并且不斷為網(wǎng)絡(luò)互連的企業(yè)帶來巨大的破壞。20多年來，防火墻技術(shù)，以及最近的病毒檢測和防護(hù)、加密和補丁管理等點狀解決方案，對于防止計算機犯罪和保護(hù)企業(yè)信息資產(chǎn)起到了重要作用。然而，新興的混合型攻擊通過組合多種威脅方法加大了危害的嚴(yán)重性。在這種形勢下，這些點式解決方案不能再提供充分的保護(hù)。事實上，隨著保護(hù)層的復(fù)雜性增加，黑客也在尋求組合利用現(xiàn)有保護(hù)層的各種弱點和漏洞，因此防御新的威脅這一任務(wù)變得越來越具挑戰(zhàn)性。

存在威脅 尋求解決之道

多年來，對于任何安全實施方案來說，最基本也最重要的組件就是防火墻。自從1980年代早期防火墻被發(fā)明以來，防火墻有效地限制了可能為網(wǎng)絡(luò)帶來計算機病毒等威脅的非期望的外部網(wǎng)絡(luò)互動。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻技術(shù)的防護(hù)能力也在不斷提高。

現(xiàn)代網(wǎng)絡(luò)的出現(xiàn)帶來了基于以太網(wǎng)技術(shù)的局域網(wǎng)(LAN)，而防火墻也暴露在新的安全性威脅-因特網(wǎng)蠕蟲的面前。為對付這一新威脅，防火墻采用基于數(shù)據(jù)包的過濾技術(shù)，在網(wǎng)絡(luò)的低層來分析網(wǎng)絡(luò)流量。預(yù)先定義一組規(guī)則，確定哪些數(shù)據(jù)流允許通過，將每個數(shù)據(jù)包與預(yù)先定義的規(guī)則相對比。當(dāng)?shù)谝粋€因特網(wǎng)瀏覽器出現(xiàn)時，企業(yè)可以實現(xiàn)全球范圍內(nèi)的連接。因此需要新一代防火墻技術(shù)來提供全面的防護(hù)，根據(jù)一個經(jīng)過驗證的網(wǎng)絡(luò)會話表來驗證每一個網(wǎng)絡(luò)數(shù)據(jù)包。不久，防火墻擴展到數(shù)據(jù)包檢測技術(shù)，同時允許驗證數(shù)據(jù)包數(shù)據(jù)部分中出現(xiàn)的其它安全性項目，如用戶口令和服務(wù)請求。

虛擬專用網(wǎng)絡(luò)(VPN)和無線網(wǎng)絡(luò)等技術(shù)允許用戶進(jìn)一步擴展企業(yè)網(wǎng)絡(luò)，同時還使得用戶不需要物理電纜連接即可訪問因特網(wǎng)，因此這也為網(wǎng)絡(luò)安全帶來更大的挑戰(zhàn)。盡管這些技術(shù)擴展了網(wǎng)絡(luò)的應(yīng)用，但同時也使得防火墻在攻擊面前更為脆弱，病毒可以從多個地方突破防火墻的防護(hù)并帶來嚴(yán)重的后果。盡管點狀布署的安全解決方案技術(shù)也在不斷發(fā)展，但由于防護(hù)不全面或者漏洞被利用而帶來的累計危害和生產(chǎn)力損失已經(jīng)高達(dá)數(shù)百萬人民幣。

UTM是誰?

UTM是統(tǒng)一威脅管理的縮寫，這是一種被廣泛看好的信息安全解決方案。目前被提及較多的定義是由IDC提出的：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能，它將多種安全特性集成于一個硬設(shè)備之中， 構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。

從概念的定義上，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念;而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn)品性、可用性以及聯(lián)動能力的精研。

從技術(shù)層次來講，UTM結(jié)合了很多值得關(guān)注的先進(jìn)技術(shù)。首先值得一提的是CCP，即完全性安全保護(hù)。這種技術(shù)對OSI模型中描述的所有層次的內(nèi)容進(jìn)行處理，其有效性將大大超過目前通用的狀態(tài)檢測技術(shù)以及深度包檢測技術(shù)。

為了實現(xiàn)網(wǎng)絡(luò)處理的強大能力，UTM通常需要應(yīng)用ASIC技術(shù)來獲得性能保證。同時在軟件組件方面，UTM使用專用的經(jīng)過定制的操作系統(tǒng)。精簡后的系統(tǒng)在安全功能上進(jìn)行了特別處理，形成了適用于UTM的軟件平臺。另外基于防火墻等產(chǎn)品的經(jīng)驗，UTM在規(guī)則算法、模式識別語言等方面也進(jìn)行了特別的設(shè)計，這為UTM的平臺化目標(biāo)提供了最有力的基石。

接受采訪的某安全廠商技術(shù)專家認(rèn)為：防火墻保護(hù)中只要存在一條脆弱鏈路就會影響到整個安全實施方案。因此，企業(yè)需要一種更為統(tǒng)一的威脅管理方法來保護(hù)自己的網(wǎng)絡(luò)和商業(yè)用戶免受混合型攻擊的威脅。快速變化的安全性威脅形勢促使統(tǒng)一威脅管理(UTM)成為安全設(shè)備市場中增長最快的領(lǐng)域。根據(jù)業(yè)內(nèi)通行的定義，UTM是指在單個硬件平臺上整合了包括防火墻、防病毒以及入侵檢測和防御在內(nèi)的多種安全性功能的安全設(shè)備。業(yè)界的分析也指出，近年來混合性威脅快速增長，推動了對UTM所提供的靈活且高度集成的功能的需求。只有統(tǒng)一威脅管理解決方案(UTM)提供了智能化程度最高的實時網(wǎng)絡(luò)保護(hù)，可以幫助當(dāng)今地理上高度分散的企業(yè)防止高級的應(yīng)用層攻擊以及基于內(nèi)容的攻擊。

UTM不等于安全模塊的疊加

過多描繪UTM的美好未來有時并不總能產(chǎn)生正面的效果，我們應(yīng)該恰當(dāng)?shù)拿鎸TM的問題。當(dāng)前無論是從用戶對UTM的認(rèn)知還是廠商推出的UTM產(chǎn)品來看，防火墻仍然是整個架構(gòu)的核心。而且有一些產(chǎn)品并沒有很好的實現(xiàn)UTM架構(gòu)，這些產(chǎn)品更多的是基于防火墻體系進(jìn)行其它安全功能的整合。

我們認(rèn)為這樣的產(chǎn)品雖然也被劃歸為UTM類設(shè)備，但是從嚴(yán)格的意義上說，并不能將其作為完全的UTM產(chǎn)品來認(rèn)識。廣大用戶在考察和選用UTM產(chǎn)品的時候，首先應(yīng)該根據(jù)自身的情況清楚的界定對于UTM的要求。

我們不但要更好的利用UTM的外在，還要充分發(fā)掘UTM的精髓。另外，至少在目前還有一個問題的答案沒有被完全揭曉。目前的UTM產(chǎn)品大多是網(wǎng)關(guān)型的產(chǎn)品。

我們知道，在面對當(dāng)今復(fù)雜的安全威脅時，網(wǎng)關(guān)型的防御體系雖然有效，但仍無法獨立構(gòu)成完整的安全防御體系。我們期待著有更多的廠商跨越這條界限，更好地發(fā)揮UTM作為統(tǒng)一安全平臺的優(yōu)勢，向用戶提供更多具有創(chuàng)新性的安全解決方案。

安全挑戰(zhàn)不容小覷

當(dāng)前，企業(yè)和組織面對越來越復(fù)雜的病毒和惡意攻擊，他們也采用了多種方法來應(yīng)對，以期獲得所希望的安全保護(hù)。新出現(xiàn)的混合威脅將數(shù)種獨立的病毒結(jié)合起來，通過極度難以防犯的攻擊渠道進(jìn)行傳播和實施攻擊。最近最有名的混合威脅之一myDoom利用電子郵件做為其傳播渠道，利用全球數(shù)以百萬計的被感染計算機來實施針對特定企業(yè)的拒絕服務(wù)(DOS)攻擊。據(jù)估計，僅僅在myDoom發(fā)作的最被五天時間里就帶來600億美元的損失。

除來來自混合型攻擊的安全威脅以外，網(wǎng)絡(luò)管理人員還面臨網(wǎng)絡(luò)帶寬不夠?qū)е滤俣认陆?，缺乏業(yè)務(wù)流優(yōu)先級而導(dǎo)致網(wǎng)絡(luò)效率下降。許多情況下，網(wǎng)絡(luò)速度下降都是由于網(wǎng)絡(luò)中有太多的用戶在從事非生產(chǎn)性的活動，如使用Napster、P2P應(yīng)用、多媒體應(yīng)用以及利用IM軟件進(jìn)行VOIP通信。運行此類應(yīng)用即帶來生產(chǎn)力損失，同時還為針對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊打開了方便之門。

為跟上網(wǎng)絡(luò)發(fā)展步伐并解決網(wǎng)絡(luò)威脅和生產(chǎn)力問題，企業(yè)購買并部署最好的點狀解決方案，希望能夠覆蓋并對付所有潛在的威脅。IT經(jīng)理利用點狀解決方案來解決的問題之一就是保護(hù)網(wǎng)絡(luò)免受內(nèi)部攻擊的威脅。根據(jù)相關(guān)的研究，多數(shù)攻擊是通過內(nèi)部傳播和發(fā)起的而不是通過外部發(fā)起的。企業(yè)部署內(nèi)部入侵檢測系統(tǒng)，在多個部門網(wǎng)段布署監(jiān)控器，并采用電子郵件防病毒系統(tǒng)，以期防止病毒的傳播。IT管理員還必須關(guān)心來自遠(yuǎn)程或分布式環(huán)境的威脅，例如當(dāng)員工在酒店或國外旅行時，如果他們啟動VPN客戶端，那么網(wǎng)絡(luò)威脅就有可能通過這些點進(jìn)入企業(yè)網(wǎng)絡(luò)。為消除這一威脅，企業(yè)為遠(yuǎn)程客戶部署獨立的VPN解決方案，將這些流量與企業(yè)網(wǎng)絡(luò)相對隔離開。

為了應(yīng)對無線網(wǎng)絡(luò)安全性問題，企業(yè)采用獨立無線網(wǎng)絡(luò)的方法將內(nèi)部網(wǎng)絡(luò)與無線網(wǎng)相對隔離開來，同時通過實施內(nèi)容過濾解決方案來降低對生產(chǎn)力的影響，同時避免間諜軟件的騷擾。為了減少網(wǎng)絡(luò)垃圾(如垃圾郵件)的騷擾，企業(yè)采用防垃圾解決方案，同時采用防火墻解決方案通過關(guān)閉端口的方式來減少病毒的入侵。最后，IT經(jīng)理還要不斷為服務(wù)器、工作站、路由器、交換機以及防火墻本身打補丁。盡管補丁可以解決現(xiàn)有軟件的問題，補丁會為計算機帶來負(fù)面的影響或者會引入舊的程序，因此有時帶來的問題會比解決的問題還要多。

盡管點狀解決方案在過去是有效的，但越來越多的證據(jù)表明，這些解決方案無法針對目前的威脅提供充分、及時和統(tǒng)一的保護(hù)。這些廣泛傳播的病毒不僅會消耗現(xiàn)代企業(yè)大量(并且不確定)的資金，同時還會導(dǎo)致生產(chǎn)力下降，需要IT管理人員花費大量時間進(jìn)行管理。點狀安全性解決方案確實無法針對這些復(fù)雜的威脅提供充分的保護(hù)，也無法解決生產(chǎn)力降低問題。

統(tǒng)一威脅管理 為網(wǎng)絡(luò)安全性埋單

現(xiàn)在，企業(yè)和組織尋求的是一種統(tǒng)一的集成式網(wǎng)絡(luò)安全性解決方法?在單個單元內(nèi)實現(xiàn)所有這些分立安全技術(shù)和生產(chǎn)力保證技術(shù)。這也就是統(tǒng)一威脅管理(UTM)。UTM是防火墻安全設(shè)備市場的新興發(fā)展趨勢。傳統(tǒng)防火墻產(chǎn)品演化為這樣一種產(chǎn)品：不僅能夠防止入侵，還可以完成過去需要多個系統(tǒng)才能夠完成的內(nèi)容過濾、垃圾過濾、入侵檢測和防病毒功能。

UTM是信息資產(chǎn)保護(hù)解決方案自然的融合和最新發(fā)展。結(jié)合技術(shù)的整合和封裝的進(jìn)展，UTM及時響應(yīng)了二十一世紀(jì)保護(hù)信息資產(chǎn)所面臨的巨大挑戰(zhàn)。有效的統(tǒng)一威脅管理應(yīng)當(dāng)。通過集成所有關(guān)鍵信息和安全性功能，并且提供簡化的管理，UTM解決了所有這些問題。高效整合的UTM解決方案可以大大降低企業(yè)安全計劃的成本并提高其可靠性。

市面上一些通行的UTM解決方案針對復(fù)雜的應(yīng)用層和基于內(nèi)容的攻擊提供了智能化程度最高的實時網(wǎng)絡(luò)保護(hù)。結(jié)合網(wǎng)關(guān)防病毒、防間諜軟件和入侵防御服務(wù)(IPS)，這一解決方案處理多種威脅進(jìn)入點并對所有網(wǎng)絡(luò)層進(jìn)行徹底掃描，從而可以同時防御并清除內(nèi)部和外部威脅。利用高性能深度數(shù)據(jù)包檢測引擎掃描多種應(yīng)用類型和協(xié)議并利用全面的簽名數(shù)據(jù)庫對文件進(jìn)行匹配，達(dá)到直接在安全網(wǎng)關(guān)上實現(xiàn)了威脅保護(hù)。

許多點狀解決方案企業(yè)采用了一種稱為狀態(tài)數(shù)據(jù)包檢測的防火墻架構(gòu)。這種架構(gòu)主要在網(wǎng)絡(luò)層判斷數(shù)據(jù)包是否是真正用戶所請求的以及是否應(yīng)當(dāng)被允許進(jìn)入網(wǎng)絡(luò)。這種方法可以靈活地有選擇地控制源于外部網(wǎng)絡(luò)的訪問，但相對來說，對于內(nèi)部傳輸則沒有限制。考慮到許多病毒實際上經(jīng)常通過組織內(nèi)的電子郵件服務(wù)傳播，因此很明顯許多威脅將會繞過狀態(tài)數(shù)據(jù)包檢測這一級的保護(hù)。

而記者也從安全廠商SonicWALL了解到，由于采用了稱為深度數(shù)據(jù)包檢測(DPI)的全面方法。這種方法將下載、電子郵件傳輸以及壓縮的文檔與全面且連續(xù)更新的簽名數(shù)據(jù)庫進(jìn)行比較和匹配。可以實時掃描檢測并阻止偽裝可執(zhí)行代碼和宏病毒文件。

利用DPI技術(shù)，一些UTM解決方案可以在應(yīng)用層對信息進(jìn)行檢查，從而防止針對應(yīng)用漏洞的攻擊。這一DPI引擎可以掃描多種應(yīng)用類型和協(xié)議，包括SMTP、POP3、IMAP、 FTP、 HTTP、NetBIOS、數(shù)十種其它流式協(xié)議以及50多種IDP應(yīng)用。引擎可以掃描所有網(wǎng)絡(luò)層，包括鏈路層、IP層、TCP/UDP、靜態(tài)端口(Static Port)、動態(tài)端口(Dynamic Port)及應(yīng)用層。因此企業(yè)遠(yuǎn)程站點網(wǎng)關(guān)、內(nèi)部網(wǎng)絡(luò)、文件下載、服務(wù)器以及桌面都受到全面的保護(hù)。做為更多一層安全性，還從應(yīng)用層來防止內(nèi)部和外部威脅。

進(jìn)化中的UTM

顯然，企業(yè)無法利用現(xiàn)有的狀態(tài)數(shù)據(jù)包解決方案有效地保護(hù)網(wǎng)絡(luò)免受混合威脅的侵害。事實上，狀態(tài)數(shù)據(jù)包檢測防火墻僅能夠檢測通過防火墻的總流量的約2%，而UTM解決方案則對流經(jīng)防火墻的流量進(jìn)行100%的深度數(shù)據(jù)包檢測。然而，即使是支持DPI的UTM解決方案也并非全都一樣有效。例如，同樣聲稱是UTM，還要區(qū)分“有限”DPI還是“全面”DPI。就其全面性來說。

此外，許多UTM解決方案在文件掃描時需要文件緩存，在更新過程中需要重新啟動，這些都降低了防火墻的總體性能。實事上，一些UTM解決方案獨特技術(shù)使其能夠處理的文件大小無限制，并且能夠處理成千上萬的并發(fā)下載，從而為不斷發(fā)展的網(wǎng)絡(luò)提供終極可擴展能力和性能。避免了在簽名更新后進(jìn)行重新啟動，因此可以提供連續(xù)的保護(hù)，不會影響生產(chǎn)力。

全球范圍內(nèi)，每天都有新的病毒和間諜軟件感染企業(yè)計算環(huán)境。有些還可以在數(shù)小時內(nèi)迅速傳輸，并感染不同規(guī)模的網(wǎng)絡(luò)和所有計算機。隨著這些攻擊變化更快并且更為充滿惡意，企業(yè)被迫尋求能夠保護(hù)自己的統(tǒng)一威脅管理解決方案，并且要求統(tǒng)一威脅解決方案不僅能夠抵御目前的威脅，并且還可以防范新興的以及未來的威脅。

UTM將成為主流安全產(chǎn)品

UTM產(chǎn)品為網(wǎng)絡(luò)安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品聯(lián)動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設(shè)備，UTM在一個通用的平臺上提供多種安全功能。

一個典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設(shè)備，也可以根據(jù)自己的需要選擇某幾個方面的功能。更加可貴的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能，而任何時候這些安全功能都可以很好的協(xié)同。

現(xiàn)在UTM在安全產(chǎn)品市場上一路高歌猛進(jìn)，其成長速度已經(jīng)達(dá)到了兩位數(shù)。除了新增的市場份額之外，受到UTM侵蝕的安全產(chǎn)品主要是防火墻設(shè)備和實現(xiàn)VPN功能的產(chǎn)品。按照目前的情況來估計，UTM產(chǎn)品的發(fā)展在未來的幾年中仍會保持較高的增長速度，并有望成為主流的信息安全產(chǎn)品。

現(xiàn)在有很多針對中小企業(yè)信息安全的探討，其中一個焦點問題就在于市場上缺乏中小企業(yè)情況的安全解決方案。UTM產(chǎn)品在中小企業(yè)市場的應(yīng)用，至少可以在兩個方面緩解這一問題。中小企業(yè)的資金流比較薄弱，這使得企業(yè)在信息安全方面的投入總顯得底氣不足。

而整合式的UTM產(chǎn)品相對于單獨購置各種功能，可以有效的降低成本投入，這無疑為中小企業(yè)實施信息安全提供了一個非常具有吸引力的選擇。而由于UTM的管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的要求，彌補中小企業(yè)在技術(shù)力量上的不足。這使得中小企業(yè)可以最大限度的降低對安全供應(yīng)商的技術(shù)服務(wù)，有利于中小企業(yè)用戶建立更加合理和真實的解決方案。

后記

從上世紀(jì)80年代初防火墻發(fā)明以來，計算機網(wǎng)絡(luò)安全性解決方案的發(fā)展已經(jīng)有很長時間了。但是，面對企業(yè)信息資產(chǎn)所面臨的大量攻擊和威脅，安全性變得前所未有地重要?，F(xiàn)有點狀解決方案在保護(hù)企業(yè)網(wǎng)絡(luò)方面一度相當(dāng)有效，但現(xiàn)在做為獨立的保護(hù)層卻已經(jīng)不能滿足需要。今天，企業(yè)需要高效的分布式保護(hù)解決方案，以應(yīng)對信息網(wǎng)絡(luò)所面臨的大量復(fù)雜威脅，也就是說，他們需要統(tǒng)一威脅管理。

UTM采用了高度可擴展的不需重新組裝的深度數(shù)據(jù)包檢測架構(gòu)，這一深度數(shù)據(jù)包檢測和統(tǒng)一威脅管理架構(gòu)可以高效檢測和防止病毒、蠕蟲、木馬、間諜軟件和新興的VoIP業(yè)務(wù)威脅，并直接在安全網(wǎng)關(guān)上提供威脅保護(hù)。

UTM的現(xiàn)實意義

成本經(jīng)濟 - 總體系統(tǒng)成本必須比缺乏安全性控制時所帶來的潛在損失低得多。

協(xié)調(diào)性 - 總體安全性必須考慮到組織之間和技術(shù)之間的協(xié)調(diào)。

簡便高效的管理 - 由于工作量大、壓力也大，因此手工過程很容易出錯，因此為了保證安全性，簡便高效的管理操作是必需的。

互操作性 - 不同技術(shù)單元之間必須完美配合，否則事件檢測(或決策)將會非常困難。