UTM安全网关不是你想的那么简单

　　UTM（Unified Threat Management，统一威胁管理）是指一体化安全设备， IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，但这几项功能并不一定要同时得到使用，不过它们应该是UTM设备自身固有的功能。该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。

　　由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。从这个定义上来看，IDC既提出了UTM产品的具体形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看，UTM的概念还体现出在信息产业经过多年发展之后，对安全体系的整体认识和深刻理解。

　　目前，UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
　　虽然UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，UTM产品分为不同的级别。也就是说，如果用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。

　　基本特点
　　1）建一个更高，更强，更可靠的墙，除了传统的访问控制之外，防火墙还应该对防垃圾邮件，拒绝服务，黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。真正的安全不能只停留在底层，我们需要构成治理的效果，能实现七层协议保护，而不仅仅局限与二到四层。

　　2）要有高检测技术来降低误报。作为一个串联接入的网关设备，一旦误报过高，对用户来说是一个灾难性的后果，IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，应采取不同的检测技术有效整合可以显著降低误报率。
　　3）要有高可靠，高性能的硬件平台支撑。对于UTM时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/UTM必须以高性能，高可靠性的专用芯片及专用硬件平台为支撑，以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。
　　UTM与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面。
　　1）防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不 仅仅实现了传统的状态检测包过滤功能，而且还决定了防病毒、入侵检测、VPN等功能是否开启以及它们的工作模式。通过防火墙的策略，各种功能可以实现更好 的融合。
　　2）从整个系统角度讲，UTM防火墙要实现的不仅仅是网络访问的控制，同时也要实现数据包的识别与转发，例如HTTP、Mail等协议的识别与转发，对相应的模块进行处理， 从而减轻其他模块对数据处理的工作量，提高系统性能和效率。
　　3）UTM防火墙能植入很多更高的新功能，例如虚拟域、动态路由和多播路由，它支持各种新技术，例如VoIP、H.323、SIP、IM和P2P等，起点高，应用前景更广，适应性更强。
　　4）从UTM的操作界面上，用户就可以清楚地看出，UTM防火墙策略有很多种选择，宛如在一个网络门户大平台上，植入内容丰富的机制，层次分明、操作简单、同时又灵活实用。随着策略的设置，网络的防护也随之展开星罗密布的安全哨卡。
　　同时，UTM的网关型防病毒与主机型防病毒不同。网关型防病毒作为安全网关，必须关闭脆弱窗口，在网络的边界处阻挡病毒蠕虫入侵网络，保护内部 的网络安全。要做到这点，网关必须能够扫描邮件和web内容，在病毒到达内部网络时进行清除。病毒和蠕虫防御功能要求能够百分之百检测、消除感染现有网络 的病毒和蠕虫，实时地扫描输入和输出邮件及其附件，支持HTTP、SMTP、POP3、IMAP和FTP协议，实现高速度扫描技术。安全网关还要包括反间 谍插件，对流行的灰色软件予以识别和阻断，同时，能够消除VPN隧道的病毒和蠕虫，阻止远程用户及合作伙伴的病毒传播，病毒特征库则可以在网上在线自动更新。
　　虽然UTM实现的技术途径可以有多种，采用ASIC解决功能与性能矛盾，仍是公认 的最有效主要方法。能够支撑一个优秀的UTM设备，最主要有三种优秀技术实现途径来保障。
　　1）ASIC加速技术。在设计UTM系统的总体方案中，有着两类不同加速用途的ASIC，也就是说，它们朝着两个方向发展：一是应用层扫描加速，另一是防火墙线速包处理加速。
　　2）定制的操作系统(OS)。实时性是UTM系统的精髓。多功能集成的安全平台需要一套专用的强化安全的定制操作系统。这一OS提供精简的、 高性能防火墙和内容安全检测平台。 通过基于内容处理的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户带来最好的实时性，有效地实现防病毒、防火墙、 VPN和IPS等功能。
　　3）高级检测技术。贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全内容检测技术(CCI)能够扫描和检测整个OSI堆栈模型中最 新的安全威胁，与其它单纯检查包头或"深度包检测"的安全技术不同，CCI技术重组文件和会话信息，可以提供强大的扫描和检测能力。只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟，UTM使用ASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。
　　如果您喜欢本文的话，请分享。如果您想浏览更多内容，请登录课课家教育或关注公众号【课课家IT精品课程】。