UTM/IDS/IPS

二代UTM的应用过滤模块包括74类10万条URL的网页过滤功能、多语种关键词网页内容过滤，加上FTP过滤，邮件过滤、备份，MSN、QQ帐号级过滤，基本可以满足一般企事业单位的上网管理需求。另外，应用过滤模块还具有防病毒、防木马、防垃圾邮件、防网页钓鱼，流量拦截，VPN隧道内仍可进行上网行为管理等功能，这是一般旁路式监听产品所无法拥有的。广义的上网行为管理还包括身份认证，用户级时间、会话数、流量、带宽控制等，这不是只做第7层过滤就能达到的。另外，上网行为管理功能只是UTM的一部分，它偏重于内网出外网的管理，因此不能叫做UTM。

　UTM设备的每一个组件都必需采用了最佳的有关技术，而此等技术必需是千锤百炼的，就算它们是来自不同厂商也无所谓。总括而言，企业不能纯粹为了采用一个整合方案，而因此对安全过硬程度妥协。

　UTM-1系列具备stateful-inspection 防火墙、IPSec VPN、网关防病毒、防间谍软件及入侵防御等安全功能，可以抵御各种传统的威胁，此外，它也配备了一个创新的web 应用防火墙，用于保护web服务器；UTM-1系列也为VoIP、即时消息传送及对等网络提供安全保护。UTM-1拥有整合Check Point SmartCenter™管理功能，不需采用额外硬件或软件便能提供集中化、内置安全管理。UTM-1通过使用整合SSL VPN技术，为远程工作人员提供安全连接，同时通过全面监控及报告功能，使得IT系统管理人员对其网络设施的情况了如指掌。

　不可否认的是，UTM作为框架和理念是极其优秀的，也体现了对安全领域诸多问题的深刻认识。但是无论是用户乃至厂商都应该正确认识UTM的价值。我们应该更多的利用其体系上的优势对安全产品进行规划，而不应将目光局限于单纯的产品功能整合。这样既无法发挥UTM理念真正的优势，而且可能面临因此而生的不恰当的安全体系的惩罚。

现在的网络声音传播技术已经发展到一定阶段，语音对讲和IP电话等也开始成熟。不过它们一般采用的是经过压缩的ACM格式，具体代码可以在我的主页http://www.138soft.com下载。但如果对ACM格式不熟悉的朋友，也可以用本文的方法来制作自己的“录音机”。

整合式安全设备从形态上来说更多的是以防火墙为核心整合其它安全功能，这与防火墙产品在安全领域的核心地位是密不可分的。由于UTM安全设备通常会同时运行多个功能模块，对系统性能的要求要远远大于单纯的防火墙或入侵检测系统。比如，普通的路由器需要10个指令就可以处理的封包数据，在基于七层防毒功的UTM设备上就需要9000个指令，这意味着UTM产品必须使用相对高端的硬件技术。

过多描绘UTM的美好未来有时并不总能产生正面的效果，我们应该恰当的面对UTM的问题。当前无论是从用户对UTM的认知还是厂商推出的UTM产品来看，防火墙仍然是整个架构的核心。而且有一些产品并没有很好的实现UTM架构，这些产品更多的是基于防火墙体系进行其它安全功能的整合。

用户不在乎邮件晚收到几分钟，其影响也微乎其微，相应的，邮件防病毒也是一样。梁小东表示，用UTM做防垃圾邮件会比专用设备差。但是垃圾邮件也有自身特点，有一个引擎的判断问题，所以对于UTM防垃圾邮件的做法，做到大部分就可以了。事实上，不少UTM厂商都提供可选的反垃圾邮件模块，主要目的还是为了满足邮件量不是很大的中小企业的需求。

UTM除了面临自身“一条腿”走路的尴尬之外，在“名分”上好像也比较模糊！于海波提及：“在国内，很多项目招标时，UTM设备的标书还是按照防火墙类别制订的。造成这种问题的原因有二，第一、UTM作为安全产品在取得‘上岗证’时，国内并没有相应UTM的产品分类，因此在各项产品认证、许可证上，产品分类一栏赫然还是防火墙；第二、在标书制定时，存在非常大的难度，因为目前国际、国内都没有统一的标准对UTM设备的功能、性能等指标做统一的规定，加之各家实现方法不同、包含功能也不尽相同，其规范性还需进一步的统一和加强。”

设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界，也就是位于局域网（LAN）和广域网（WAN）之间，子网与子网交界处， 或专用网与公有网交界处，同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体，VPN通常也集成在内。这种盒子就是UTM的雏形。

在网络安全领域，甚至是计算机领域，完全不用崇洋媚外。随着这几年国内网络安全厂商的逐步壮大及对自主知识产权的重视，国内的研发力量已经越来越强。对于UTM这种比较成熟的技术来说，国内厂商完全可以做得和国外的一样好。在国内进行的多次评测中，国内的产品在性能、功能指标上和国外的产品各有千秋。

UTM提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而解决了管理多个功能单一的网络安全产品的难题。这使员工无需再花费大量时间去学习新系统。UTM还能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等，提高了IT人员阻止攻击的效率。企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征，我们建议采用基于三星Ubigate IBG ISM(集成安全模块)的UTM整体安全网络架构方案。

复杂的网络安全解决方案成为人们关注的一个新焦点问题，如何使复杂变成简单，成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的，它的定义是将多种安全能力（尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力）融合在一个产品之中，实现防御一体化，这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此，全面的立体防御是UTM存在的理由，更是UTM发展的方向，那么UTM所保护的网络将面临哪些威胁，或者说UTM应该提供哪些安全保护呢？

明星辰安全网关产品部经理陈胜权表示：“安全从简单开始，启明星辰认为这就是安全网关发展的真谛，也是大势所趋。管理一体化是站在用户角度对‘简单’的有效诠释。当管理对象为单台设备时，‘一体化’体现在多个功能之间；当管理对象为多台多级设备时，‘一体化’更体现在统一部署的网关设备和安全策略间。当然，对于界面、逻辑方面的‘易理解、易学习、易记忆’的维护要求也是‘管理一体化’的重要组成部分。这将从根本上解决复杂的策略实施和复杂的管理两大难题。”

“台上一分钟、台下十年功”，天清汉马USG一体化安全网关本着把复杂留给自己，把简单留给用户的超然态度，借助十年深厚的技术积累和百万次的人工智能训练，最终将“基于行为分析的合法性检查技术”奉献给用户。采用天清汉马USG一体化安全网关作为网络安全的第一道防线，对于隐藏在Internet中的任何未知威胁，通过行为分析和合法性检查，可快速判断威胁等级并通过阻断、告警等多种手段有效控制，将未知威胁消灭于萌芽状态，让未知威胁无处藏身。

合并、优化三步曲，可以使UTM安全网关的整体性能达到非常好的效果，启用全部安全能力后，仅比启用单独防火墙功能时性能下降30%左右。而在同样的硬件平台上，叠加式UTM安全网关会下降70%以上。因此，从UTM安全网关的技术现状和结构来看，硬件和软件优化是解决性能下降的两个方面。但是，从目前的实际现状来看，从硬件方面进行优化的环境还不成熟。从软件部分开始，则是比较实际可行的方法。利用软件的优化的三步曲，不仅可以大大提高UTM安全网关的性能，而且更有效地解决了多功能组合后性能下降的问题。

高度集成的设备是关键。部署分离的设备和技术也可以获得某种形式的统一威胁管理（UTM），但在管理和维护方面的成本却翻了几翻，并且实施的成本也非常高昂。在当前的情况下，这种点式解决方案的成本高昂又难于管理。

防火墙、VPN、IDS/IPS、防病毒、防垃圾邮件、防拒绝服务攻击、内容过滤等等功能，都可能被集成在UTM中，合时地选择你真正需要和比较成熟的功能。目前，应当优先考虑防火墙、防病毒的功能集成。

网络安全的威胁的发展经历了从物理攻击，协议攻击，数据包攻击到文件型攻击的转变，单一的网络检测技术越来越显示出其薄弱的一面。威胁的多样化发展淡化了防御技术的分类界限。新型的UTM产品将会以网络行为威胁为防御基础，病毒，蠕虫，黑客攻击，木马的威胁分类逐渐消失，行为特征分析会成为安全防御的基础。而相应的安全内容级管理会成为越来越重要的部分。2003年全球威胁管理市场总销量达到了15。8亿美元。IDC预测这个市场将以年均16。8%的速度增长，到2008年时达到34。5亿美元。而这其中UTM将会逐渐成为市场的主流。