utm(統一威脅管理)

統一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統一威脅管理”的概念，即將防病毒、入侵檢測和防火牆安全設備劃歸統一威脅管理(Unified Threat Management，簡稱UTM)新類別。IDC將防病毒、防火牆和入侵檢測等概念融合到被稱為統一威脅管理的新類別中，該概念引起了業界的廣泛重視，並推動了以整合式安全設備為代表的市場區隔的誕生。由IDC提出的UTM是指由硬體、軟體和網路技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成於一個硬設備里，構成一個標準的統一管理平台。從這個定義上來看，IDC既提出了UTM產品的具體形態，又涵蓋了更加深遠的邏輯範疇。從定義的前半部分來看，眾多安全廠商提出的多功能安全網關、綜合安全網關、一體化安全設備等產品都可被劃歸到UTM產品的範疇；而從後半部分來看，UTM的概念還體現出在信息產業經過多年發展之後，對安全體系的整體認識和深刻理解。 目前，UTM常定義為由硬體、軟體和網路技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，同時將多種安全特性集成於一個硬體設備里，形成標準的統一威脅管理平台。UTM設備應該具備的基本功能包括網路防火牆、網路入侵檢測/防禦和網關防病毒功能。

雖然UTM集成了多種功能，但卻不一定要同時開啟。根據不同用戶的不同需求以及不同的網路規模，UTM產品分為不同的級別。也就是說，如果用戶需要同時開啟多項功能，則需要配置性能比較高、功能比較豐富的產品。

UTM重要特點：

1.建一個更高，更強，更可靠的牆，除了傳統的訪問控制之外，防火牆還應該對防垃圾郵件，拒絕服務，黑客攻擊等這樣的一些外部的威脅起到綜合檢測網路全協定層防禦。真正的安全不能只停留在底層，我們需要構成治理的效果，能實現七層協定保護，而不僅僅局限於二到四層。

2.要有高檢測技術來降低誤報。作為一個串聯接入的網關設備，一旦誤報過高，對用戶來說是一個災難性的後果，IPS就是一個典型例子。採用高技術門檻的分類檢測技術可以大幅度降低誤報率，因此，針對不同的攻擊，應採取不同的檢測技術有效整合可以顯著降低誤報率。

3.要有高可靠，高性能的硬體平台支撐。對於UTM時代的防火牆，在保障網路安全的同時，也不能成為網路套用的瓶頸，防火牆/UTM必須以高性能，高可靠性的專用晶片及專用硬體平台為支撐，以避免UTM設備在複雜的環境下其可靠性和性能不佳帶來的對用戶核心業務正常運行的威脅。

為什麼需要UTM

隨著時間的演進，信息安全威脅開始逐步呈現出網路化和複雜化的態勢。無論是從數量還是從形式方面，從前的安全威脅和惡意行為與現今都不可同日而語。僅僅在幾年之前，我們還可以如數家珍的講述各種流行的安全漏洞和攻擊手段，而現在這已經相當困難。現在每天都有數百種新病毒被釋放到網際網路上，而各種主流軟體平台的安全漏洞更是數以千計。我們遇到的麻煩更多的表現為通過系統漏洞自動化攻擊並繁殖的蠕蟲病毒、寄生在計算機內提供各種後門和跳板的特洛伊木馬、利用大量傀儡主機進行淹沒式破壞的分散式拒絕攻擊、利用各種手段向用戶傳輸垃圾信息及誘騙信息等等。這些攻擊手段在網際網路上肆意泛濫，沒有保護的計算機設備面臨的安全困境遠超從前。安全廠商在疲於奔命的升級產品的檢測資料庫，系統廠商在疲於奔命的修補產品漏洞，而用戶也在疲於奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟體只能用於防範計算機病毒，防火牆只能對非法訪問通信進行過濾，而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中，安全問題的炸彈隨時都有爆炸的可能用戶必須針對每種安全威脅部署相應的防禦手段，這樣使信息安全工作的複雜度和風險性都難以下降。而且，一個類型全面的防禦體系也已經無法保證能夠使用戶免受安全困擾，每種產品各司其職的方式已經無法應對當前更加智慧型的攻擊手段。我們面對的很多惡意軟體能夠自動判斷防禦設施的狀態，在一個通路受阻之後會自動的嘗試繞過該道防禦從其它位置突破，並逐個的對系統漏洞進行嘗試。一個防禦組件成功禁止了惡意行為之後，攻擊程式在調整自身的行為之後，已經發現該攻擊活動的組件無法通知其它類型的防禦組件，使得該攻擊仍有可能突破防禦體系。防禦更具智慧型化的攻擊行為，需要安全產品也具有更高的智慧型，從更多的渠道獲取信息並更好的使用這些信息，以更好的協同能力面對日益複雜的攻擊方法。這就是為什麼整合式安全設備日益受到用戶的歡迎，也是為什麼有大量行業人士認為UTM類型的產品將成為信息安全新的主流。

UTM的技術架構

UTM的架構中包含了很多具有創新價值的技術內容，IDC將Fortinet公司的產品視為UTM的典型代表，我們就結合Fortinet公司採用的一些技術來分析一下UTM產品相比傳統安全產品到底有哪些不同。

 完全性內容保護（Complete Content Protection）簡稱CPP，對OSI模型中描述的所有層次的內容進行處理。這種內容處理方法比目前主流的狀態檢測技術以及深度包檢測技術更加先進，目前使用該技術的產品已經可以在千兆網路環境中對數據負載進行全面的檢測。這意味著套用了完全性內容保護的安全設備不但可以識別預先定義的各種非法連線和非法行為，而且可以識別各種組合式的攻擊行為以及相當隱秘的欺騙行為。

 ASIC是被廣泛套用於性能敏感平台的一種處理器技術，在UTM安全產品中ASIC的套用是足夠處理效能的關鍵。由於套用了完全性內容保護，需要處理的內容量相比於傳統的安全設備大大增加，而且這些內容需要被防病毒、防火牆等多種引擎所處理，UTM產品具有非常高的性能要求。將各種常用的加密、解密、規則匹配、數據分析等功能集成於ASIC處理器之內，才能夠提供足夠的處理能力使UTM設備正常運作。Fortinet不但成功的在自己的產品內套用了ASIC這一具有高度尖端性的晶片技術，而且還進行了很多開創性的工作，推出了FortiASIC技術，令老牌的ASIC廠商也不得不刮目相看。

 除了硬體方面有獨特的設計之外，UTM產品在軟體平台上也專門針對安全功能進行了定製。專用的作業系統軟體提供了精簡而高效的底層支持，可以最大限度的發揮硬體平台的能力。UTM產品的作業系統及周邊軟體模組可以對目標數據進行智慧型化的管理，並具有專門的實時性設計，提供實時內容重組和分析能力，可以有效地發揮防病毒、防火牆、VPN等子系統功能。

 緊湊型模式識別語言（Compact Pattern Recognition Language）簡稱CPRL，是為了快速執行完全內容檢測而設計的。這種語言可以在同樣的軟硬體平台下提供高得多的執行效能，並且可以使防病毒、防火牆、入侵檢測等多種安全功能的安全威脅辨識工作獲得更好的協同能力。另外，這種實現方式還有利於集成更先進的啟發式算法以應對未知的安全威脅。

 動態威脅防護系統（Dynamic Threat Prevention System），是在傳統的模式檢測技術上結合了未知威脅處理的防禦體系。動態威脅防護系統可以將信息在防病毒、防火牆和入侵檢測等子模組之間共享使用，以達到檢測準確率和有效性的提升。這種技術是業界領先的一種處理技術，也是對傳統安全威脅檢測技術的一種顛覆。

整合所帶來的成本降低

將多種安全功能整合在同一產品當中能夠讓這些功能組成統一的整體發揮作用，相比於單個功能的累加功效更強，頗有一加一大於二的意味。現在很多組織特別是中小企業用戶受到成本限制而無法獲得令人滿意的安全解決方案，UTM產品有望解決這一困境。包含多個功能的UTM安全設備價格較之單獨購買這些功能為低，這使得用戶可以用較低的成本獲得相比以往更加全面的安全防禦設施。

降低信息安全工作強度

由於UTM安全產品可以一次性的獲得以往多種產品的功能，並且只要插接在網路上就可以完成基本的安全防禦功能，所以無論在部署過程中可以大大降低強度。另外，UTM安全產品的各個功能模組遵循同樣的管理接口，並具有內建的聯動能力，所以在使用上也遠較傳統的安全產品簡單。同等安全需求條件下，UTM安全設備的數量要低於傳統安全設備，無論是廠商還是網路管理員都可以減少服務和維護工作量。

降低技術複雜度

由於UTM安全設備中裝入了很多的功能模組，所以為提高易用性進行了很多考慮。另外，這些功能的協同運作無形中降低了掌握和管理各種安全功能的難度以及用戶誤操作的可能。對於沒有專業信息安全人員及技術力量相對薄弱的組織來說，使用UTM產品可以提高這些組織套用信息安全設施的質量。

處理能力的分散

從原理上說，將防病毒、入侵檢測和防火牆等N個網路安全產品功能集中於一個設備中，必然導致每一個安全功能只能獲得N分之一的處理能力和N分之一的記憶體，因此每一個功能都較弱。

網關防禦的弊端

網關防禦在防範外部威脅的時候非常有效，但是在面對內部威脅的時候就無法發揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自於組織內部，所以以網關型防禦為主的UTM設備目前尚不是解決安全問題的萬靈藥。

過度集成帶來的風險

將所有功能集成在UTM設備當中使得抗風險能力有所降低。一旦該UTM設備出現問題，將導致所有的安全防禦措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。

性能和穩定性

儘管使用了很多專門的軟硬體技術用於提供足夠的性能，但是在同樣的空間下實現更高的性能輸出還是會對系統的穩定性造成影響。目前UTM安全設備的穩定程度相比傳統安全設備來說仍有不少可改進之處。