(2007-11-28 06:54:19)

一、UTM推出的背景
    随着网络和应用技术的日益发展、变化，网络威胁也随之得到发展，攻击方式已经从简单的网络层攻击升级到多层次的混合型攻击，例如近些年来给全球网络造成严重影响的蠕虫病毒，就是结合了病毒、黑客、木马等技术，利用系统和应用程序的漏洞进行攻击和传播，并进而对网络造成DOS/DDOS攻击的。对于这种混合型攻击威胁，单一功能的安全产品已经无法有效防范。而如果把防火墙、防病毒网关、IPS（入侵防御系统）、anti-DOS（抗拒绝服务攻击网关）等每一个独立的安全设备都提供给用户，不但成本太高，管理和维护也比较复杂。在这种情况下，具备多种安全功能，能够提供全面安全防护的一体化网关设备应运而生。 
    2004年9月，IDC首度提出"统一威胁管理"的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理（Unified Threat Management，简称UTM）新类别。 
    目前，UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。UTM应该具备的基本功能包括网络防火墙（FW）、入侵检测和防御（IDS&IPS/IDP）、网关防病毒（AV）。此外，UTM还需要具有其他辅助安全功能，例如虚拟专网（VPN）、抗拒绝服务攻击（anti-DOS）、服务质量（QoS）、负载均衡（LB）、高可用性(HA)、带宽管理、流量监控分析、日志审计报告等。而随着软硬件技术的不断发展和突破，未来的UTM产品将会集成越来越多的技术和功能，例如和路由器、七层交换的高度融合，以及防网络滥用，如对P2P下载、在线视频播放、网络游戏、即时通信、木马后门、间谍软件、灰色软件等的访问控制。
    可以预测，随着UTM产品的性能不断提高，功能不断增加和完善，UTM在今后的几年中将逐渐取代防火墙，成为用户首选的网络安全设备，其市场增长潜力极为可观。据IDC的一份调查报告预测，到2008年时，它将占有整个信息安全市场的半壁江山，达到 57.6%。
二、UTM技术发展的经验教训
    在UTM技术的发展过程中，也是有过一些失败的经验教训的。早在2001年，就有安全厂商试图在防火墙（含VPN功能）的基础上增加网关防病毒等应用层检测过滤功能。但由于在设计之初只是一味地将很多功能叠加到一起，硬件平台仍然是沿用传统防火墙的X86架构工控机，软件实现技术上也没有质的提高。这些没有充分考虑到产品的实用性能，而实际上我们知道，UTM产品相对于防火墙来讲，不仅仅是功能增加了很多，检测的层次也从防火墙的网络层上升到了应用层，这对于硬件资源的占用是成百倍甚至上千倍的。由此导致的结果就是，做出的UTM产品虽然功能很多，但性能低得根本无法在用户的实际网络环境中得到正常应用。另外还有一些UTM产品由于没有解决好IPS（入侵防御系统）的误报问题而经常导致用户的正常应用被中断。
三、用户选择UTM产品的误区
    2005年，统一威胁管理(UTM)得到了众多安全机构、安全厂商和用户的高度关注，很多传统的防火墙或IPS厂商都开始进入UTM领域，并开始在市场上对UTM产品进行大力的宣传和推广。但由于目前UTM产品的衡量标准还不是很规范，因此也造成了有相当一部分的用户在选择UTM产品和方案时存在一些误区，主要体现在以下几个方面： 
    1. 具备防蠕虫病毒攻击功能的就是防病毒网关了
    目前市场上有很多防火墙或IPS产品宣称可以防范蠕虫病毒，令很多用户误以为这就是具有防病毒功能的UTM产品，其实所谓的“可以防范蠕虫病毒”并不是真正的防病毒，而仅仅是只能够防范有限的几种或几十种蠕虫发起的攻击罢了，匹配的是攻击特征码而不是病毒特征码。真正的防病毒特征码至少应有几万个病毒特征库。
    2. 有了网关防病毒就可以取代主机防病毒了
    网关防病毒只能防范通过网关传播的病毒，而且并不能达到100%的防范效果，因为毕竟不太可能对所有的协议都进行扫描。最主要的是，网络内部通过U盘等移动存储介质、局域网文件共享等途径传播的病毒，是网关防病毒鞭长莫及的，因此必须使用主机防病毒才可防范。
    3. 过于看重应用代理和病毒过滤等功能支持的协议数量而不是实用性
    目前有很多用户过于看重UTM产品所支持的应用代理和病毒过滤等功能的协议数量，而实际上除了邮件（SMTP、POP3、IMAP）、文件传输（FTP）、网页（HTTP）这几种协议外，其他的协议基本上没有什么实用性，多了反而可能会增加系统的复杂性和故障点，降低效率。
    4. 有了IPS就不需要IDS了
    有些人认为，IPS将取代IDS，尤其在某些只有IPS产品的安全厂商中这种言论很盛行，这是十分错误的。殊不知，IPS属于网关类产品，固然有直接阻断攻击的优势，但毕竟只能检测到经过它的流量，对网络内部发生的安全事件则根本看不见。而IDS作为旁路产品，则可以通过在交换机上作端口镜像，对网络内部包括网络出口的所有流量都做到明察秋毫，这是IPS无法做到的。如果把用户的网络比喻成一座办公大楼，IPS就是大门口的安全检查系统，而IDS就好比办公大楼内部的监视报警系统，两者绝对是互相补充而不能互相替代的。
    5. 过于追求IPS的事件库数量而不是精准度
    IPS与IDS看似同源，实则有很大的区别。一般来说，IDS对于事件库的数量要求比较高，允许有比较低的误报率。但IPS则不同，绝对不允许有任何误报，否则将会对用户的正常网络应用造成灾难性的后果，正因为如此，IPS的事件库数量一定不会很多，目前几乎所有的产品都只有区区数百条真正的IPS事件，如果有号称上千条事件的IPS产品，也肯定是把IDS事件拿过来充数而已。
    6. 脱离了实际需求，盲目追求端口数量而不是实际处理能力
    对于UTM产品来说，端口数量应该和设备的实际处理能力相匹配，并不是端口数量越多越好，很多情况下都是端口数量虽然增多了，但硬件的总体处理性能并没有任何提高，在这种情况下，平均到每个端口的处理性能实际上反而是有所下降的。一般来说，百兆UTM产品3~6个比较合适，千兆UTM产品3~5个比较合适。
    7. 过于追求测试仪测出来的并发连接数和64字节包吞吐率等非关键性性能指标，而忽略了产品在实际应用环境下的性能和稳定性。
    用户对UTM产品的并发连接数需求到底有多高？我们权且估算一下，假设有一个1万台客户机的网络，这1万台客户机同时上网，按照每个客户机需要20个并发连接来计算，最高也就需要20万个并发连接就够了。根据这样的测算，动辄上百万的并发连接数真正会有几个用户需要呢？因此，并发连接数只要能满足实际应用要求就可以了。
64字节报吞吐率对于衡量一款UTM产品的性能也是没有任何意义的，几乎没有哪个网络中有太多的64字节包，一般来说，512~1518字节大小包才是最多的，所以最应该关注的是这个范围大小的包的吞吐率。
四、UTM的使用建议
    UTM产品的功能并不是越多越好，最重要的还是要看性能和稳定性的适用。虽然大多数的UTM产品都支持SMTP、POP3、IMAP、FTP、HTTP这五个最常用协议的病毒扫描过滤，但在实际应用中，建议用户一般情况下只开启前三个邮件协议的病毒扫描过滤就可以了，一是因为目前病毒通过网络传播的途径主要是电子邮件，通过FTP和HTTP传播的病毒还不是很多；二是因为用户对邮件的实时性要求不是很高，而对FTP和HTTP的实时性则要求不能有任何明显的延迟。