utm

統一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統一威脅管理”的概念，即將防病毒、入侵檢測和防火牆安全設備劃歸統一威脅管理(Unified Threat Management，簡稱UTM)新類別。IDC將防病毒、防火牆和入侵檢測等概念融合到被稱為統一威脅管理的新類別中，該概念引起了業界的廣泛重視，並推動了以整合式安全設備為代表的市場細分的誕生。由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成於一個硬設備裏，構成一個標準的統一管理平台。從這個定義上來看，IDC既提出了UTM產品的具體形態，又涵蓋了更加深遠的邏輯範疇。從定義的前半部分來看，眾多安全廠商提出的多功能安全網關、綜合安全網關、一體化安全設備等產品都可被劃歸到UTM產品的範疇；而從後半部分來看，UTM的概念還體現出在信息產業經過多年發展之後，對安全體系的整體認識和深刻理解。 目前，UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，同時將多種安全特性集成於一個硬件設備裏，形成標準的統一威脅管理平台。UTM設備應該具備的基本功能包括網絡防火牆、網絡入侵檢測/防禦和網關防病毒功能。

雖然UTM集成了多種功能，但卻不一定要同時開啓。根據不同用户的不同需求以及不同的網絡規模，UTM產品分為不同的級別。也就是説，如果用户需要同時開啓多項功能，則需要配置性能比較高、功能比較豐富的產品。

UTM重要特點：

1.建一個更高，更強，更可靠的牆，除了傳統的訪問控制之外，防火牆還應該對防垃圾郵件，拒絕服務，黑客攻擊等這樣的一些外部的威脅起到綜合檢測網絡全協議層防禦。真正的安全不能只停留在底層，我們需要構成治理的效果，能實現七層協議保護，而不僅僅侷限於二到四層。

2.要有高檢測技術來降低誤報。作為一個串聯接入的網關設備，一旦誤報過高，對用户來説是一個災難性的後果，IPS就是一個典型例子。採用高技術門檻的分類檢測技術可以大幅度降低誤報率，因此，針對不同的攻擊，應採取不同的檢測技術有效整合可以顯著降低誤報率。

3.要有高可靠，高性能的硬件平台支撐。對於UTM時代的防火牆，在保障網絡安全的同時，也不能成為網絡應用的瓶頸，防火牆/UTM必須以高性能，高可靠性的專用芯片及專用硬件平台為支撐，以避免UTM設備在複雜的環境下其可靠性和性能不佳帶來的對用户核心業務正常運行的威脅。

為什麼需要UTM

隨着時間的演進，信息安全威脅開始逐步呈現出網絡化和複雜化的態勢。無論是從數量還是從形式方面，從前的安全威脅和惡意行為與現今都不可同日而語。僅僅在幾年之前，我們還可以輕鬆地指出各種流行的安全漏洞和攻擊手段，而現在這已經相當困難。現在每天都有數百種新病毒被釋放到互聯網上，而各種主流軟件平台的安全漏洞更是數以千計。我們遇到的麻煩更多的表現為通過系統漏洞自動化攻擊並繁殖的蠕蟲病毒、寄生在計算機內提供各種後門和跳板的特洛伊木馬、利用大量傀儡主機進行淹沒式破壞的分佈式拒絕攻擊、利用各種手段向用户傳輸垃圾信息及誘騙信息等等。這些攻擊手段在互聯網上肆意氾濫，沒有保護的計算機設備面臨的安全困境遠超從前。安全廠商在疲於奔命的升級產品的檢測數據庫，系統廠商在疲於奔命的修補產品漏洞，而用户也在疲於奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用於防範計算機病毒，防火牆只能對非法訪問通信進行過濾，而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中，安全問題的炸彈隨時都有爆炸的可能用户必須針對每種安全威脅部署相應的防禦手段，這樣使信息安全工作的複雜度和風險性都難以下降。而且，一個類型全面的防禦體系也已經無法保證能夠使用户免受安全困擾，每種產品各司其職的方式已經無法應對當前更加智能的攻擊手段。我們面對的很多惡意軟件能夠自動判斷防禦設施的狀態，在一個通路受阻之後會自動的嘗試繞過該道防禦從其它位置突破，並逐個的對系統漏洞進行嘗試。一個防禦組件成功屏蔽了惡意行為之後，攻擊程序在調整自身的行為之後，已經發現該攻擊活動的組件無法通知其它類型的防禦組件，使得該攻擊仍有可能突破防禦體系。防禦更具智能化的攻擊行為，需要安全產品也具有更高的智能，從更多的渠道獲取信息並更好的使用這些信息，以更好的協同能力面對日益複雜的攻擊方法。這就是為什麼整合式安全設備日益受到用户的歡迎，也是為什麼有大量行業人士認為UTM類型的產品將成為信息安全新的主流。

UTM的技術架構

UTM的架構中包含了很多具有創新價值的技術內容，IDC將Fortinet公司的產品視為UTM的典型代表，我們就結合Fortinet公司採用的一些技術來分析一下UTM產品相比傳統安全產品到底有哪些不同。

 完全性內容保護（Complete Content Protection）簡稱CCP，對OSI模型中描述的所有層次的內容進行處理。這種內容處理方法比目前主流的狀態檢測技術以及深度包檢測技術更加先進，目前使用該技術的產品已經可以在千兆網絡環境中對數據負載進行全面的檢測。這意味着應用了完全性內容保護的安全設備不但可以識別預先定義的各種非法連接和非法行為，而且可以識別各種組合式的攻擊行為以及相當隱秘的欺騙行為。

 ASIC是被廣泛應用於性能敏感平台的一種處理器技術，在UTM安全產品中ASIC的應用是足夠處理效能的關鍵。由於應用了完全性內容保護，需要處理的內容量相比於傳統的安全設備大大增加，而且這些內容需要被防病毒、防火牆等多種引擎所處理，UTM產品具有非常高的性能要求。將各種常用的加密、解密、規則匹配、數據分析等功能集成於ASIC處理器之內，才能夠提供足夠的處理能力使UTM設備正常運作。Fortinet不但成功的在自己的產品內應用了ASIC這一具有高度尖端性的芯片技術，而且還進行了很多開創性的工作，推出了FortiASIC技術，令老牌的ASIC廠商也不得不刮目相看。

 除了硬件方面有獨特的設計之外，UTM產品在軟件平台上也專門針對安全功能進行了定製。專用的操作系統軟件提供了精簡而高效的底層支持，可以最大限度的發揮硬件平台的能力。UTM產品的操作系統及周邊軟件模塊可以對目標數據進行智能化的管理，並具有專門的實時性設計，提供實時內容重組和分析能力，可以有效地發揮防病毒、防火牆、VPN等子系統功能。

 緊湊型模式識別語言（Compact Pattern Recognition Language）簡稱CPRL，是為了快速執行完全內容檢測而設計的。這種語言可以在同樣的軟硬件平台下提供高得多的執行效能，並且可以使防病毒、防火牆、入侵檢測等多種安全功能的安全威脅辨識工作獲得更好的協同能力。另外，這種實現方式還有利於集成更先進的啓發式算法以應對未知的安全威脅。

 動態威脅防護系統（Dynamic Threat Prevention System），是在傳統的模式檢測技術上結合了未知威脅處理的防禦體系。動態威脅防護系統可以將信息在防病毒、防火牆和入侵檢測等子模塊之間共享使用，以達到檢測準確率和有效性的提升。這種技術是業界領先的一種處理技術，也是對傳統安全威脅檢測技術的一種顛覆。

整合所帶來的成本降低

將多種安全功能整合在同一產品當中能夠讓這些功能組成統一的整體發揮作用，相比於單個功能的累加功效更強，頗有一加一大於二的意味。現在很多組織特別是中小企業用户受到成本限制而無法獲得令人滿意的安全解決方案，UTM產品有望解決這一困境。包含多個功能的UTM安全設備價格較之單獨購買這些功能為低，這使得用户可以用較低的成本獲得相比以往更加全面的安全防禦設施。

降低信息安全工作強度

由於UTM安全產品可以一次性的獲得以往多種產品的功能，並且只要插接在網絡上就可以完成基本的安全防禦功能，所以無論在部署過程中可以大大降低強度。另外，UTM安全產品的各個功能模塊遵循同樣的管理接口，並具有內建的聯動能力，所以在使用上也遠較傳統的安全產品簡單。同等安全需求條件下，UTM安全設備的數量要低於傳統安全設備，無論是廠商還是網絡管理員都可以減少服務和維護工作量。

降低技術複雜度

由於UTM安全設備中裝入了很多的功能模塊，所以為提高易用性進行了很多考慮。另外，這些功能的協同運作無形中降低了掌握和管理各種安全功能的難度以及用户誤操作的可能。對於沒有專業信息安全人員及技術力量相對薄弱的組織來説，使用UTM產品可以提高這些組織應用信息安全設施的質量。

處理能力的分散

從原理上説，將防病毒、入侵檢測和防火牆等N個網絡安全產品功能集中於一個設備中，必然導致每一個安全功能只能獲得N分之一的處理能力和N分之一的內存，因此每一個功能都較弱。

網關防禦的弊端

網關防禦在防範外部威脅的時候非常有效，但是在面對內部威脅的時候就無法發揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自於組織內部，所以以網關型防禦為主的UTM設備目前尚不是解決安全問題的萬靈藥。

過度集成帶來的風險

將所有功能集成在UTM設備當中使得抗風險能力有所降低。一旦該UTM設備出現問題，將導致所有的安全防禦措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。

性能和穩定性

儘管使用了很多專門的軟硬件技術用於提供足夠的性能，但是在同樣的空間下實現更高的性能輸出還是會對系統的穩定性造成影響。目前UTM安全設備的穩定程度相比傳統安全設備來説仍有不少可改進之處。