解读UTM技术

　　随着各行各业信息化进程的深入，网络边界安全正在进入一个全新的发展阶段。各种威胁逐步呈现出网络化和复杂的态势，威胁对象由主机资源转变为网络资源、数量呈现爆炸式增长、形式多种多样，混合型攻击层出不穷。尤其在网络边界，遇到了很多的麻烦，例如：通过系统漏洞自动攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等。在网络边界位置，传统的防护设备--防火墙主要工作在网络层，实现基于端口和IP地址的访问控制，而面对越来越多的蠕虫、木马等应用层的威胁便日益显得无能为力。威胁的不断智能化也需要防护设备加强智能化，而且为了在网络边界构筑起强有力的安全防线，实现对各层面威胁的有效防御，UTM（UnifiedThreatenManagement）（统一威胁管理）的设备便应运而生。
　　UTM是统一威胁管理的缩写，这是一种被广泛看好的信息安全解决方案。目前被提及较多的定义是由IDC提出的:由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备之中, 构成一个标准的统一管理平台。
　　从概念的定义上，UTM既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看，UTM的概念还体现了经过多年发展之后，信息安全行业对安全管理的深刻理解以及对安全产品性、可用性以及联动能力的精研。
　　从技术层次来讲，UTM结合了很多值得关注的先进技术。首先值得一提的是CCP，即完全性安全保护。这种技术对OSI模型中描述的所有层次的内容进行处理，其有效性将大大超过目前通用的状态检测技术以及深度包检测技术。
　　为了实现网络处理的强大能力，UTM通常需要应用ASIC技术来获得性能保证。同时在软件组件方面，UTM使用专用的经过定制的操作系统。精简后的系统在安全功能上进行了特别处理，形成了适用于UTM的软件平台。另外基于防火墙等产品的经验，UTM在规则算法、模式识别语言等方面也进行了特别的设计，这为UTM的平台化目标提供了最有力的基石。
　　作为安全的多面手，UTM设备必须有一个整合功能的基础平台，目前在技术上，主要分为两大分支。
　　一类是以高性能防火墙为基础的UTM设备。这是目前多数UTM厂家的做法。对这种设备来说，一般都集成了全功能的防火墙，并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示，这种设备主要是为了取代防火墙。
　　另一类是以高端IPS为基础，不断演化出UTM设备。这种做法比较新，包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高，但是带来的好处也是显而易见，由于IPS的优势，可以对日益增多的系统渗透与复合攻击进行阻断与控制。
　　不过要强调的是，对于以IPS为基础的UTM产品，所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙，对于有意延伸到高端应用的UTM显然不合适。另外，这类产品的吞吐量与误报率也不能忽视，毕竟这将对用户的网络运行带来影响。
　　
　　总之，无论采用哪种方式，UTM在一定时期内，都会重点强调某一方面的功能强大，而这也正是UTM的“特色”--不管是防火墙，还是IPS，甚至是防病毒，附加的功能都是一个强有力的补充，是业余选手或半职业选手。但即使这样，对于普通用户也是足够了。
　　UTM是一个大概念--既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。因此业内很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念。
　　毕竟，多合一的安全网关简化了用户的安全设备部署，也方便了用户的安全管理，也是网络安全发展的一个方向，这样的设备集成到哪里或者叫什么名字并不重要，关键是否可以提供足够的安全功能和性能实现。