UTM/IDS/IPS

UTM让安全管理简单化成为了可能，而天清汉马USG让安全管理的简单化成为了现实。通过实现简单管理的“六化”，天清汉马USG解决了管理使用困难给用户带来的困扰，把用户带入怡然自得、安全无忧的“简单”境界。

UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。

网络访问准入规则，是管理员在SINFOR UTM 安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者防火墙，或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定制成相应的安全策略。

采用使用者汇入机制，由此建立客制化的辨识学习数据库，举例而言，若管理者已确认某些来源或主旨的信为垃圾邮件时，便可在【邮件安全】＞【邮件过滤】＞【辨识学习】的管理接口中，将垃圾邮件上传到「垃圾邮件辨识学习」的数据库中；同样的，亦可将一般邮件上传到「非垃圾邮件辨识学习」的数据库中，作为贝氏过滤扫描机制的依据。

尽管所有的UTM供应商都宣称其UTM解决方案确实有效，但是能否及时有效地更新防护码， 应该是UTM能否成为安全金刚，拥有不坏之身的关键。自行开发防病毒、防垃圾邮件和防网络钓鱼的系统，然后放到既有的防火墙产品上，其产品成熟度与稳定性是另外一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险，因为这些产品给使用者带来虚假的安全感，实际上却不能防御真实的攻击。

UTM是统一威胁管理（Unified Threat Management）的英文缩写，即一体化的安全设备，通常包括防火墙、VPN、网关防病毒、IPS、访问控制、内网监控等多种功能。IDC对UTM的描述是： 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台，提供一项或多项安全功能。UTM安全设备也可能包括为主要安全功能服务的其他特性，如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和报告带宽管理等。

SonicWALL完全UTM解决方案针对复杂的应用层和基于内容的攻击提供了智能化程度最高的实时网络保护。结合网关防病毒、防间谍软件和入侵防御服务(IPS)，这一解决方案处理多种威胁进入点并对所有网络层进行彻底扫描，从而可以同时防御并清除内部和外部威胁。利用高性能深度数据包检测引擎扫描多种应用类型和协议并利用全面的签名数据库对文件进行匹配，SonicWALL直接在安全网关上实现了威胁保护。

以UTM安全设备为例，很多厂商的产品仍旧是以防火墙系统为核心，并且在引导用户认知的过程中也体现出方式。这一方面是因为用户对防火墙产品的认同度较高，另一方面也体现了厂商在技术实现方面的一些脉络。按照目前的发展态势估计，UTM产品很可能代替目前传统的一些信息安全产品，成为信息安全市场上新的主流。根据IDC的数据，UTM产品市场在近几年会维持高速的增长态势，在2008年之前将维持平均接近百分之八十的年成长率，并于2008年成长成为一个容量达到20亿美元的市场分额。

UTM产品可以广泛应用在各个行业，不再受制约。“如果大象学会跳舞，那蚂蚁必须离开舞台”这句话就可以用在UTM产品上了，UTM产品在安全产品市场将占有至关重要的位置，尤其是在安全网关领域。独立的防火墙、防病毒网关、入侵防御网关、VPN网关将只在有限范围内销售，大部分安全网关市场空间会被UTM产品占有，UTM在安全网关领域的领导者地位将得到确认。

总体来看，UTM产品为信息安全用户提供了一种更加实用也更加易用的选择。用户可以在一个统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供了组合多种安全功能的可能，用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。甚至用户可以随时在这个平台上增加或调整安全功能，并且无论如何组合这些安全功能都可以很好地进行协同。按照目前的发展态势估计，UTM产品很可能代替目前传统的一些信息安全产品，成为信息安全市场上新的主流。据统计，UTM产品市场在近几年会维持高速的增长态势，在2008年之前将维持平均接近80%的年成长率，并于2008年成长成为一个容量达到20亿美元的市场细分。

LanGate UTM 和 NetGear VPN 的成功连接保证了总部和各分支机构内部的网络安全、可靠、易管理，实现总部在对分支机构的数据互连；防止通过Internet公共网络通讯的数据遭受恶意的攻击，用安全的私有连接保证数据的保密性，轻松的完成了安全、可靠、易管理的要求。

总而言之，在企业作出购买UTM设备之前，需要考虑的因素很多。以上十条建议并不能代表需要关注的所有问题。企业在购买设备之前，需要权衡适当的产品和实际的需要、业务特点、价格、性能、可升级性、管理和维护难度等。

ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。尤其是作为多功能集成的UTM网关来说，无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能，所以说，ASIC架构用来做功能简单的防火墙，是完全适用的，64 Bytes的小包都可以达到线速。但ASIC架构做为UTM就不是理想的选择，因为ASIC架构不可能把像网关杀毒、垃圾邮件过滤、网络监控等这些功能做到芯片一级去。

先进的报告系统可以记录和解释网络如何被使用。譬如，谁误用互联网；谁试图访问不合法网站；哪个部门使用大量的带宽资源等。网络管理员可以预定自动预警线，所有报告可以导出为Excel、PDF及HTML格式，可以方便地进行查询、重组、或者设定规格。实时的活动记录（譬如聊天记录）也可以动态地在屏幕上显示出来。报表系统支持远程SYSLOG服务器备份。

随着网络技术的发展，各种入侵的行为也会曾出不穷，UTM概念也会不断延伸，UTM设备会集成越来越多的功能。从性能上来讲，UTM对数据做到应用层的安全扫描，比传统的防火墙消耗更多的处理器资源，因此性能上还不能和单纯的状态检测防火墙相比。想一想UTM设备要处理整个数据包，而传统防火墙只处理几十个字节的包头，对一个1500个字节的数据包，UTM设备要多处理98%的内容。然而随着NP技术的不断进步，性能越来越强大的多内核网络处理器不断出现，相信在2005年底到2006年初，高性能，功能更加丰富的UTM设备即将闪亮登场。

受到市场因素的驱使，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。对此，Sonicwall的技术经理蔡永生表示，如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。但如果是在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容进行审查，那么肯定是相当消耗CPU资源的。

UTM提供了一个一体化的架构，可通过单个操作系统和管理接口满足多种安全需求，从而解决了管理多个功能单一的网络安全产品的难题。这使员工无需再花费大量时间去学习新系统。UTM还能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等，提高了IT人员阻止攻击的效率。企业可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体花费。

UTM市场虽然表面上一片平静，但不少厂商都在埋头研发新产品，以期更好地满足客户的需求，并制造自己的差异化亮点，可谓是“山雨欲来风满楼”。据透露，启明星辰完全自主知识产权的天清汉马一体化安全网关即将在上半年发布，该产品从设备部署、威胁防御、策略实施、管理维护四个方面实现“简单”的解决之道，并获得了多项国家专利。 繁到终处方化简，面对用户对网关安全的复杂之惑，启明星辰率先发力，似乎预示着UTM市场的新一轮混战的序幕已经拉开，安全巨头们之间的相互博弈已经初露端倪。新的理念、新的产品，日趋理性的用户需求，我们相信，2007年必将是UTM走向成熟的一年。

支持自定义的完整性检查，允许指定检查某个程序的时间、大小、是否运行、HASH等信息，保证企业的安全措施例如防毒、主机防火墙等系统有效保护用户并更新到最新版本。当某条规则规定的条件不满足时将自动执行完整性修复，手段包括执行本地某个文件或从指定URL下载并执行某个文件。

无论如何，UTM在一定时期内，都会重点强调某一方面的功能强大，也就是UTM的“特色”，不管是防火墙，还是IPS，还是防病毒。而附加的功能是一个强有力的补充，是业余选手或半职业选手。但即使这样，对于一些用户，如中小企业用户应该已经足够了。 另外，UTM安全网关需要的专业化还是集成，并没有固定的模式，而是依靠安全的需要来选择。因此，可以预见的是，从2006年开始，在不同的安全需求下，会出现不同组合的UTM产品，并且在实际的运用中会不断完善其赖以定位的协同性及联动性。