以UTM為標志的整合式安全設備在短短的時間內引起了所有人的注意，整合式安全成為了業內人士口中的高頻詞匯，而UTM也被越來越多的中小企業認為是未來的必然發展趨勢。然而UTM真的能夠解決中小企業所有的安全問題嗎?為了那些宣稱被解決的問題中小企業付出了哪些代價呢?

針對計算機系統的威脅出現已經有25年多了，但黑客仍在繼續制造更為復雜的新威脅，并且不斷為網絡互連的企業帶來巨大的破壞。20多年來，防火墻技術，以及最近的病毒檢測和防護、加密和補丁管理等點狀解決方案，對于防止計算機犯罪和保護企業信息資產起到了重要作用。然而，新興的混合型攻擊通過組合多種威脅方法加大了危害的嚴重性。在這種形勢下，這些點式解決方案不能再提供充分的保護。事實上，隨著保護層的復雜性增加，黑客也在尋求組合利用現有保護層的各種弱點和漏洞，因此防御新的威脅這一任務變得越來越具挑戰性。

存在威脅 尋求解決之道

多年來，對于任何安全實施方案來說，最基本也最重要的組件就是防火墻。自從1980年代早期防火墻被發明以來，防火墻有效地限制了可能為網絡帶來計算機病毒等威脅的非期望的外部網絡互動。隨著網絡技術的發展，防火墻技術的防護能力也在不斷提高。

現代網絡的出現帶來了基于以太網技術的局域網(LAN)，而防火墻也暴露在新的安全性威脅-因特網蠕蟲的面前。為對付這一新威脅，防火墻采用基于數據包的過濾技術，在網絡的低層來分析網絡流量。預先定義一組規則，確定哪些數據流允許通過，將每個數據包與預先定義的規則相對比。當第一個因特網瀏覽器出現時，企業可以實現全球范圍內的連接。因此需要新一代防火墻技術來提供全面的防護，根據一個經過驗證的網絡會話表來驗證每一個網絡數據包。不久，防火墻擴展到數據包檢測技術，同時允許驗證數據包數據部分中出現的其它安全性項目，如用戶口令和服務請求。

虛擬專用網絡(VPN)和無線網絡等技術允許用戶進一步擴展企業網絡，同時還使得用戶不需要物理電纜連接即可訪問因特網，因此這也為網絡安全帶來更大的挑戰。盡管這些技術擴展了網絡的應用，但同時也使得防火墻在攻擊面前更為脆弱，病毒可以從多個地方突破防火墻的防護并帶來嚴重的后果。盡管點狀布署的安全解決方案技術也在不斷發展，但由于防護不全面或者漏洞被利用而帶來的累計危害和生產力損失已經高達數百萬人民幣。

UTM是誰?

UTM是統一威脅管理的縮寫，這是一種被廣泛看好的信息安全解決方案。目前被提及較多的定義是由IDC提出的：由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，它將多種安全特性集成于一個硬設備之中， 構成一個標準的統一管理平臺。

從概念的定義上，UTM既提出了具體產品的形態，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從后半部分來看，UTM的概念還體現了經過多年發展之后，信息安全行業對安全管理的深刻理解以及對安全產品性、可用性以及聯動能力的精研。

從技術層次來講，UTM結合了很多值得關注的先進技術。首先值得一提的是CCP，即完全性安全保護。這種技術對OSI模型中描述的所有層次的內容進行處理，其有效性將大大超過目前通用的狀態檢測技術以及深度包檢測技術。

為了實現網絡處理的強大能力，UTM通常需要應用ASIC技術來獲得性能保證。同時在軟件組件方面，UTM使用專用的經過定制的操作系統。精簡后的系統在安全功能上進行了特別處理，形成了適用于UTM的軟件平臺。另外基于防火墻等產品的經驗，UTM在規則算法、模式識別語言等方面也進行了特別的設計，這為UTM的平臺化目標提供了最有力的基石。

接受采訪的某安全廠商技術專家認為：防火墻保護中只要存在一條脆弱鏈路就會影響到整個安全實施方案。因此，企業需要一種更為統一的威脅管理方法來保護自己的網絡和商業用戶免受混合型攻擊的威脅?？焖僮兓陌踩酝{形勢促使統一威脅管理(UTM)成為安全設備市場中增長最快的領域。根據業內通行的定義，UTM是指在單個硬件平臺上整合了包括防火墻、防病毒以及入侵檢測和防御在內的多種安全性功能的安全設備。業界的分析也指出，近年來混合性威脅快速增長，推動了對UTM所提供的靈活且高度集成的功能的需求。只有統一威脅管理解決方案(UTM)提供了智能化程度最高的實時網絡保護，可以幫助當今地理上高度分散的企業防止高級的應用層攻擊以及基于內容的攻擊。

UTM不等于安全模塊的疊加

過多描繪UTM的美好未來有時并不總能產生正面的效果，我們應該恰當的面對UTM的問題。當前無論是從用戶對UTM的認知還是廠商推出的UTM產品來看，防火墻仍然是整個架構的核心。而且有一些產品并沒有很好的實現UTM架構，這些產品更多的是基于防火墻體系進行其它安全功能的整合。

我們認為這樣的產品雖然也被劃歸為UTM類設備，但是從嚴格的意義上說，并不能將其作為完全的UTM產品來認識。廣大用戶在考察和選用UTM產品的時候，首先應該根據自身的情況清楚的界定對于UTM的要求。

我們不但要更好的利用UTM的外在，還要充分發掘UTM的精髓。另外，至少在目前還有一個問題的答案沒有被完全揭曉。目前的UTM產品大多是網關型的產品。

我們知道，在面對當今復雜的安全威脅時，網關型的防御體系雖然有效，但仍無法獨立構成完整的安全防御體系。我們期待著有更多的廠商跨越這條界限，更好地發揮UTM作為統一安全平臺的優勢，向用戶提供更多具有創新性的安全解決方案。

安全挑戰不容小覷

當前，企業和組織面對越來越復雜的病毒和惡意攻擊，他們也采用了多種方法來應對，以期獲得所希望的安全保護。新出現的混合威脅將數種獨立的病毒結合起來，通過極度難以防犯的攻擊渠道進行傳播和實施攻擊。最近最有名的混合威脅之一myDoom利用電子郵件做為其傳播渠道，利用全球數以百萬計的被感染計算機來實施針對特定企業的拒絕服務(DOS)攻擊。據估計，僅僅在myDoom發作的最被五天時間里就帶來600億美元的損失。

除來來自混合型攻擊的安全威脅以外，網絡管理人員還面臨網絡帶寬不夠導致速度下降，缺乏業務流優先級而導致網絡效率下降。許多情況下，網絡速度下降都是由于網絡中有太多的用戶在從事非生產性的活動，如使用Napster、P2P應用、多媒體應用以及利用IM軟件進行VOIP通信。運行此類應用即帶來生產力損失，同時還為針對內部網絡的網絡攻擊打開了方便之門。

為跟上網絡發展步伐并解決網絡威脅和生產力問題，企業購買并部署最好的點狀解決方案，希望能夠覆蓋并對付所有潛在的威脅。IT經理利用點狀解決方案來解決的問題之一就是保護網絡免受內部攻擊的威脅。根據相關的研究，多數攻擊是通過內部傳播和發起的而不是通過外部發起的。企業部署內部入侵檢測系統，在多個部門網段布署監控器，并采用電子郵件防病毒系統，以期防止病毒的傳播。IT管理員還必須關心來自遠程或分布式環境的威脅，例如當員工在酒店或國外旅行時，如果他們啟動VPN客戶端，那么網絡威脅就有可能通過這些點進入企業網絡。為消除這一威脅，企業為遠程客戶部署獨立的VPN解決方案，將這些流量與企業網絡相對隔離開。

為了應對無線網絡安全性問題，企業采用獨立無線網絡的方法將內部網絡與無線網相對隔離開來，同時通過實施內容過濾解決方案來降低對生產力的影響，同時避免間諜軟件的騷擾。為了減少網絡垃圾(如垃圾郵件)的騷擾，企業采用防垃圾解決方案，同時采用防火墻解決方案通過關閉端口的方式來減少病毒的入侵。最后，IT經理還要不斷為服務器、工作站、路由器、交換機以及防火墻本身打補丁。盡管補丁可以解決現有軟件的問題，補丁會為計算機帶來負面的影響或者會引入舊的程序，因此有時帶來的問題會比解決的問題還要多。

盡管點狀解決方案在過去是有效的，但越來越多的證據表明，這些解決方案無法針對目前的威脅提供充分、及時和統一的保護。這些廣泛傳播的病毒不僅會消耗現代企業大量(并且不確定)的資金，同時還會導致生產力下降，需要IT管理人員花費大量時間進行管理。點狀安全性解決方案確實無法針對這些復雜的威脅提供充分的保護，也無法解決生產力降低問題。

統一威脅管理 為網絡安全性埋單

現在，企業和組織尋求的是一種統一的集成式網絡安全性解決方法?在單個單元內實現所有這些分立安全技術和生產力保證技術。這也就是統一威脅管理(UTM)。UTM是防火墻安全設備市場的新興發展趨勢。傳統防火墻產品演化為這樣一種產品：不僅能夠防止入侵，還可以完成過去需要多個系統才能夠完成的內容過濾、垃圾過濾、入侵檢測和防病毒功能。

UTM是信息資產保護解決方案自然的融合和最新發展。結合技術的整合和封裝的進展，UTM及時響應了二十一世紀保護信息資產所面臨的巨大挑戰。有效的統一威脅管理應當。通過集成所有關鍵信息和安全性功能，并且提供簡化的管理，UTM解決了所有這些問題。高效整合的UTM解決方案可以大大降低企業安全計劃的成本并提高其可靠性。

市面上一些通行的UTM解決方案針對復雜的應用層和基于內容的攻擊提供了智能化程度最高的實時網絡保護。結合網關防病毒、防間諜軟件和入侵防御服務(IPS)，這一解決方案處理多種威脅進入點并對所有網絡層進行徹底掃描，從而可以同時防御并清除內部和外部威脅。利用高性能深度數據包檢測引擎掃描多種應用類型和協議并利用全面的簽名數據庫對文件進行匹配，達到直接在安全網關上實現了威脅保護。

許多點狀解決方案企業采用了一種稱為狀態數據包檢測的防火墻架構。這種架構主要在網絡層判斷數據包是否是真正用戶所請求的以及是否應當被允許進入網絡。這種方法可以靈活地有選擇地控制源于外部網絡的訪問，但相對來說，對于內部傳輸則沒有限制。考慮到許多病毒實際上經常通過組織內的電子郵件服務傳播，因此很明顯許多威脅將會繞過狀態數據包檢測這一級的保護。

而記者也從安全廠商SonicWALL了解到，由于采用了稱為深度數據包檢測(DPI)的全面方法。這種方法將下載、電子郵件傳輸以及壓縮的文檔與全面且連續更新的簽名數據庫進行比較和匹配?？梢詫崟r掃描檢測并阻止偽裝可執行代碼和宏病毒文件。

利用DPI技術，一些UTM解決方案可以在應用層對信息進行檢查，從而防止針對應用漏洞的攻擊。這一DPI引擎可以掃描多種應用類型和協議，包括SMTP、POP3、IMAP、 FTP、 HTTP、NetBIOS、數十種其它流式協議以及50多種IDP應用。引擎可以掃描所有網絡層，包括鏈路層、IP層、TCP/UDP、靜態端口(Static Port)、動態端口(Dynamic Port)及應用層。因此企業遠程站點網關、內部網絡、文件下載、服務器以及桌面都受到全面的保護。做為更多一層安全性，還從應用層來防止內部和外部威脅。

進化中的UTM

顯然，企業無法利用現有的狀態數據包解決方案有效地保護網絡免受混合威脅的侵害。事實上，狀態數據包檢測防火墻僅能夠檢測通過防火墻的總流量的約2%，而UTM解決方案則對流經防火墻的流量進行100%的深度數據包檢測。然而，即使是支持DPI的UTM解決方案也并非全都一樣有效。例如，同樣聲稱是UTM，還要區分“有限”DPI還是“全面”DPI。就其全面性來說。

此外，許多UTM解決方案在文件掃描時需要文件緩存，在更新過程中需要重新啟動，這些都降低了防火墻的總體性能。實事上，一些UTM解決方案獨特技術使其能夠處理的文件大小無限制，并且能夠處理成千上萬的并發下載，從而為不斷發展的網絡提供終極可擴展能力和性能。避免了在簽名更新后進行重新啟動，因此可以提供連續的保護，不會影響生產力。

全球范圍內，每天都有新的病毒和間諜軟件感染企業計算環境。有些還可以在數小時內迅速傳輸，并感染不同規模的網絡和所有計算機。隨著這些攻擊變化更快并且更為充滿惡意，企業被迫尋求能夠保護自己的統一威脅管理解決方案，并且要求統一威脅解決方案不僅能夠抵御目前的威脅，并且還可以防范新興的以及未來的威脅。

UTM將成為主流安全產品

UTM產品為網絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產品聯動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。

一個典型的UTM產品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設備，也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是，用戶可以隨時在這個平臺上增加或調整安全功能，而任何時候這些安全功能都可以很好的協同。

現在UTM在安全產品市場上一路高歌猛進，其成長速度已經達到了兩位數。除了新增的市場份額之外，受到UTM侵蝕的安全產品主要是防火墻設備和實現VPN功能的產品。按照目前的情況來估計，UTM產品的發展在未來的幾年中仍會保持較高的增長速度，并有望成為主流的信息安全產品。

現在有很多針對中小企業信息安全的探討，其中一個焦點問題就在于市場上缺乏中小企業情況的安全解決方案。UTM產品在中小企業市場的應用，至少可以在兩個方面緩解這一問題。中小企業的資金流比較薄弱，這使得企業在信息安全方面的投入總顯得底氣不足。

而整合式的UTM產品相對于單獨購置各種功能，可以有效的降低成本投入，這無疑為中小企業實施信息安全提供了一個非常具有吸引力的選擇。而由于UTM的管理比較統一，能夠大大降低在技術管理方面的要求，彌補中小企業在技術力量上的不足。這使得中小企業可以最大限度的降低對安全供應商的技術服務，有利于中小企業用戶建立更加合理和真實的解決方案。

后記

從上世紀80年代初防火墻發明以來，計算機網絡安全性解決方案的發展已經有很長時間了。但是，面對企業信息資產所面臨的大量攻擊和威脅，安全性變得前所未有地重要?，F有點狀解決方案在保護企業網絡方面一度相當有效，但現在做為獨立的保護層卻已經不能滿足需要。今天，企業需要高效的分布式保護解決方案，以應對信息網絡所面臨的大量復雜威脅，也就是說，他們需要統一威脅管理。

UTM采用了高度可擴展的不需重新組裝的深度數據包檢測架構，這一深度數據包檢測和統一威脅管理架構可以高效檢測和防止病毒、蠕蟲、木馬、間諜軟件和新興的VoIP業務威脅，并直接在安全網關上提供威脅保護。

UTM的現實意義

成本經濟 - 總體系統成本必須比缺乏安全性控制時所帶來的潛在損失低得多。

協調性 - 總體安全性必須考慮到組織之間和技術之間的協調。

簡便高效的管理 - 由于工作量大、壓力也大，因此手工過程很容易出錯，因此為了保證安全性，簡便高效的管理操作是必需的。

互操作性 - 不同技術單元之間必須完美配合，否則事件檢測(或決策)將會非常困難。