梁海軍

淮海工學院現代教育技術中心 江蘇 222005

0 引言

隨著網絡所面臨的威脅的數量、種類極其復雜性成倍的增加，單一的防火墻或者防病毒系統(tǒng)已經不能滿足目前“混合威脅”的需求，以整合式安全技術為代表的UTM技術有著越來越廣泛的應用。

1 UTM的定義

UTM(Unified Threat Management)是由硬件、軟件和網絡技術組成的具有專門用途的設備，主要提供一項或者多項安全功能服務；它將多種安全特性集于一個硬件設備里，構成一個標準的統(tǒng)一管理平臺。它至少包括以下三方面內容。

（1）面對的威脅

UTM 作為網關型產品部署在網絡邊界的位置，面對從數據鏈路層到應用層所有種類的威脅。根據威脅破壞產生的后果，網絡邊界面臨的威脅可以分為三類：對網絡自身與應用系統(tǒng)進行破壞的威脅；利用網絡進行非法活動的威脅和網絡資源濫用威脅。

（2）處理的方式

UTM 是對傳統(tǒng)防護手段的整合和升華，是建立在原有安全網關設備基礎之上的，擁有防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內容過濾、反垃圾郵件等多種功能，這些技術處理方式仍然是 UTM 的基礎，但這些處理方式不再各自為戰(zhàn)，需要在統(tǒng)一的安全策略下相互配合，協(xié)同工作。

（3）達成的目標

有了面對的威脅對象和處理方式之后，就要看 UTM能達成的目標了，也就是價值。UTM 設備保護的是網絡，能精確識別所有的威脅，根據相應策略進行控制，或限速或限流、或阻斷，保持網絡暢通，業(yè)務正常運轉是最好的結果，“精確識別和控制”是最為關鍵的。

2 UTM的實現原理

UTM技術是在防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內容過濾、反垃圾郵件等技術基礎上發(fā)展起來的，在提升檢測多種威脅或混合威脅能力中發(fā)揮重要作用，它的發(fā)展主要基于以下三種架構：

（1）基于防火墻架構并增加其它各項功能，由于受到固有防火墻的并發(fā)數、新建連接數和吞吐量的限制，當增加新的安全功能后，效率勢必會有所下降；

（2）基于IPS架構，增加其它各項功能而發(fā)展的一體化安全設備，這種UTM具有網絡安全協(xié)議層防御、誤報率較低、高性能硬件平臺支撐和功能統(tǒng)一管理等特點 ；

（3）一種更理想的UTM架構，即各項安全功能實現的方法是基于統(tǒng)一威脅管理平臺，在上面根據需要添加各項安全功能，多核技術為這種理想架構提供可能、這也是今后UTM技術發(fā)展的主導方向。

以上三種架構作為目前UTM的主流架構，盡管架構方式和表現形式不盡相同，但作為UTM設備其基本實現原理是一致的，都具有五種典型的技術特征：

（1）CCP(完全性內容保護)。這種技術比狀態(tài)檢測和深度包檢測等技術更先進，具備在千兆網絡環(huán)境中，實時將網絡層數據負載重組為應用層對象的能力，而且重組之后的應用層對象可以通過動態(tài)更新特征庫來進行掃描和分析。

（2）ASIC(專用集成電路)加速技術。為了提高效率，ASIC芯片中固化的是針對特征匹配特別優(yōu)化的“算法”，而不是“安全特征”本身。因此，通常比通用CPU快一個或幾個數量級。

（3）定制的OS(操作系統(tǒng))。專門的操作系統(tǒng)提供精簡的、高性能防火墻和內容安全檢測平臺以及基于內容處理加速模塊的硬件加速，加上智能排隊和管道管理等，從而有效地實現各種安全功能。

（4）CPRL(緊密型模式識別語言)。實現了完全內容防護中大量計算程式的加速，大大提高了系統(tǒng)處理效率。

（5）DTPS(動態(tài)威脅管理檢測技術)。將各種檢測過程關聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測活動，并通過啟發(fā)式掃描和異常檢測引擎檢查，提高整個系統(tǒng)對已知和未知威脅的檢測精確度。

3 綜合防御策略

對于不同的網絡環(huán)境，UTM的防御策略也是不一樣的。如何部署安裝一臺UTM發(fā)揮其性能最大化，實現UTM與網絡中其它軟硬件設備之間的互動，最大限度保護網絡不受來自網絡內外黑客、病毒的侵害是基于UTM進行綜合防御的重點，其策略的制定應當充分考慮以下幾方面內容。

3.1 部署的重點是集成

高度集成和深度融合是基于U T M設備的綜合防御的基本策略之一，它是將多個安全功能集成到統(tǒng)一的平臺下面，從底層進行軟硬件的優(yōu)化，將各個安全功能有機地整合為一體，實現各項安全技術的無縫集成。從防火墻入侵防御到反垃圾郵件等各個模塊之間不是功能的簡單疊加，而是應實現高效的聯(lián)動機制，一方面從多角度加強綜合防御能力，另一方面可以有效的節(jié)省系統(tǒng)軟硬件資源的開銷，提高設備的整體性能，提高設備的吞吐能力，有效的利用網絡的帶寬。例如，防火墻檢測技術從基于包過濾到基于網絡行為的監(jiān)測，通過與防病毒、IPS聯(lián)動，不僅使得防火墻具有具備檢查包負載的能力，而且有效檢測出病毒、蠕蟲、木馬和其它惡意應用程序；即使當攻擊者將攻擊負載拆分到多個分段的數據包里，并將它們打亂順序發(fā)出時，也是能夠實現有效檢測。

3.2 性能與功能的統(tǒng)一

功能的集成與強大勢必對性能提出更高的要求，因此，只有不斷提高UTM軟硬件資源利用效率，才能使其更具可用性。首先要從硬件底層全面優(yōu)化，采用更好的硬件平臺提高性能。例如現在UTM設備多采用多核技術進行架構取代傳統(tǒng)的X86和ASIC架構，它具有處理性能高、硬件加速能力強和開發(fā)難度適中等優(yōu)點，能夠提高吞吐量、并發(fā)連接數、新建連接數等設備特征值，在運行時，能夠顯著降低CPU和內存利用率；其次，通過優(yōu)化體系結構和指令集提供對網絡處理的支持，使其具有更低的響應時間，降低其可移植性難度；最后要在檢測機制上要實現突破，如采用一次性內容檢測技術，一次拆包就能完成2-7層的檢測，各種引擎相互嵌套，檢測技術協(xié)調工作，從而使UTM更高效可用。

3.3 防御目標有側重點

UTM的基本功能包括防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內容過濾。還包括諸如流量分析、安全審計、端口掃描和負載均衡等附加模塊。在不同的網絡環(huán)境中，對上述模塊的要求是不一樣的。當設備的參數一定的情況下，功能開啟得越多，性能也就越差，所以，應在關注基本安全需求基礎上，提供精細化的重點防護手段，最終形成有的放矢、針對性防御的效果。例如在校園中應當加強安全審計和內容審計功能；而對于單線路出口的網絡在均衡模塊的部署就是多余的；ISP在帶寬不足的情況下，對上網行為的管理有待進一步加強。總之，UTM著被這種硬件一體化兼軟件模塊集成化的設計帶來應用上的靈活性，可根據需求隨時在這個平臺上增加或調整安全功能。

3.4 內外兼防

由于目前UTM技術還主要集中在網絡邊界安全防護方面，導致UTM產品主要還局限于一個網關型的產品，而建立一個完整地網絡安全防護體系，應該包含了從邊界到內部的全面安全解決方案。因此，UTM技術體系不僅僅是其設備本身，還包括網絡中其他的各類系統(tǒng)及技術，所構造的應是一個內外兼防、全方位、立體化的縱深安全防御體系，這將是一個更為廣泛意義上的統(tǒng)一威脅管理。例如防病毒模塊只能有效攔截網絡內外的病毒攻擊，而對于網絡內部病毒供給卻無能為力，這就需要校園網內部部署防病毒軟件，有效保護好各類服務器和終端，一道形成網絡的防病毒體系；而安全及內容審計僅僅依靠UTM本身是無法完成的，需要和身份認證系統(tǒng)實現數據共享來共同完成這一任務。而端口的掃描更需要網絡的整體協(xié)防，從核心、匯聚交換機的參與到各類網管軟件的配合。

當然，基于UTM的綜合防御體系還有其他的策略，例如，基于用戶群、IP地址的防御、動態(tài)加靜態(tài)的混合防御等。其實用戶無論什么樣的防御體系都不是網絡安全的萬能藥，不能指望通過UTM就能解決所有安全問題。要達到全網安全，需要管理體系和技術體系并用，用動態(tài)的、前進的、創(chuàng)新的眼光來認識安全，定期評估安全、合理使用安全技術、加強安全管理，從而來立起更加完善的網絡安全體系。

4 結束語

UTM 作為新興的網絡安全產品，在實踐中選型準確，部署得當是能夠取得比較好的、實效的，隨著網絡技術的向前發(fā)展，尤其WLAN 、IPv6、3G網絡的不斷普及，UTM本身如何與時俱進融入到網絡的新技術中來是下一代UTM發(fā)展的趨勢。

[1] 費宗蓮.UTM:抵御混合攻擊的盾牌.計算機安全.2009.

[2] 梁明君.UTM技術研究.信息安全與通信保密.2008.

[3] Jens Andreasssen.UTM的發(fā)展趨勢.信息安全與通信保密.2008.

[4] 山林.UTM實現統(tǒng)一高效的網絡安全防護.中國金融電腦.2008.

[5] 郭麗娜,張繼業(yè),劉向東.基于多核網絡處理器的UTM設計.計算機工程與設計.2008.

[6] 崔云鵬,周道明.探尋下一代安全網關.網絡安全技術與應用.2008.

[7] 鄧林,余劉瑯,王軍,韓江洪.入侵攻擊的防火墻無關性研究.計算機應用研究.2008.

[8] 梁明君.利用UTM技術實現網絡綜合性防御.信息網絡安全.2008.

[9] 李金庫,丁常福.捷普高性能UTM系統(tǒng).計算機安全.2008.

[10] 蔣永生.淺談統(tǒng)一威脅管理(UTM).中國傳媒科技.2008.

[11] 薛松,顧寧.淺析UTM設備在信息系統(tǒng)中的應用.信息化研究.2009.

[12] 劉彬.UTM網絡安全保護的新趨勢.科技廣場.2007.

[13] 隆毅.基于UTM的圖書館網絡安全防御系統(tǒng).圖書館學研究.2008.