统一威胁管理：等待成熟的青苹果(2) 时间：2008-06-09　来源： 作者：

跨过性能这道坎

utm在技术上第一个要面对的，就是构建统一的高性能硬件平台。那么这个平台是选用asic还是np(network processor)?

天融信的技术人员认为，只有asic技术才能获得这样的性能保证，而且，随着网络安全环境的不断严峻和恶化，对于攻击和过滤处理要求不断提高，对处理器性能的需求也是在不断增长，有些产品虽然目前能够暂时满足需求，但长远来看是难以为继的。天融信经过自研，于去年成功推出了基于asic技术的专用安全处理硬件平台，目前也应用到了utm安全设备上，取得了很好的效果。

启明星辰则认为，np架构是现在国内防火墙高端产品中主流的安全技术。相对于传统的x86技术以及asic技术来说，它有着明显的优势。x86技术主要适用于百兆网络，对于千兆网络，x86基本无法胜任;asic技术虽然具有性能高的优势，但是，由于其具有产品前期投入大、不能灵活满足用户需求的缺点，这种技术不太适合现阶段的中国用户的需求。

虽然现在市场上有很多厂商都宣称，他们的utm产品是综合安全网关，可以实现防火墙、防病毒等多种安全功能。但是，他们也不得不承认，在这些多种安全功能中，防病毒功能的实现最困难，效果往往不理想。

防病毒功能之所以成为utm的难点，是因为防病毒产品的核心部件有2个——防病毒引擎和病毒库。其中病毒库是需要经常，甚至每天更新的。这样，病毒库的数据量往往会很大，作为网关级产品，其数据量本身就很庞大，为了确保流入的数据包是“干净”的，就需要对每个数据包进行打开、分析、检查，这是一个较长的比对过程，一个数据包如此，个个数据包都如此，这样很容易把一台utm设备拖垮。

针对这个问题，启明星辰的utm产品则借助了启明星辰在ids技术方面的多年积累，利用了它独到的“ips协议还原技术”，巧妙地解决了这个难题。而sonicwall公司采用的是逐个包扫描深度包检测引擎专利技术(正在申请美国专利)，无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护，消除了网关防病毒产品对同时下载的文件数目和文件的大小的严格限制，在网关防病毒技术上是一个突破。

下一步的方向

网络安全威胁已经由针对tcp/ip协议的漏洞的攻击，转到利用tcp/ip数据包内容对操作系统和应用漏洞的攻击。与之抗衡的主流安全防护技术的发展也经历了第一代包过滤防火墙，第二代应用代理防火墙，第三代全状态检测防火墙和新兴的第四代深度包检测的utm设备。与第三代全状态检测防火墙不同的是，utm设备不仅能在第三层、第四层检查tcp/ip协议和规则，而且能扫描应用层数据，实现网关防病毒、入侵防护、反间谍软件等等，同时随着voip的发展，utm设备应该能够支持voip协议。

关于utm的发展方向，思科公司的喻超说:“性能的提升是一方面，这取决于硬件技术的发展。另外一个重要的方面是如何提高utm的稳定性和防范的有效性。各安全功能在同一个系统中工作，各功能之间是否能够保证完全的协调和稳定非常重要。另外，utm的追求目标是所起到的防御效果可以达到或超出几个独立安全设备一起工作的效果。”

sonicwall公司的蔡永生认为，utm设备的功能正在不断的升级。例如sonicwall的产品就加入了反间谍软件，封堵skype、bt、emule 等等。只要是应用层的安全威胁，utm设备都要去防护。而fortinet技术总监李宏凯则提到了utm设备的逻辑关系分析，提升各功能间的关联性。

几个问题

1.utm是否会成为网络中的单点故障?

这个问题是用户普遍关心的问题，因为用户不能忍受断网，所以当然也是厂商重点考虑的问题。以fortinet产品为例，其技术总监李宏凯介绍说，fortinet的产品在软件设计上就采用了冗余方式，多进程相互监测，发现utm设备出现了问题能够自动重起。用户还可以采用两台utm设备做ha(high availability)，但对于中小型用户，可能没有足够的投资。

为了避免可能发生的单点故障，fortinet还提供了fortibridge这样的穿透式设备(在断电时自动变为旁路式)，它采用“失效开放”架构。fortibridge能够发送真实的包，通过监测协议来判断utm设备的运行状态。如果发现utm设备不能工作了，fortibridge可以把业务流量接管过来，维持网络畅通。

2.怎么解释utm其中的单个安全功能也许不是同类功能中最好的这个问题?

思科公司的喻超认为，utm强调的是集成管理、集成安全的能力。如果单独比较，单个功能可能不是同类功能中最好的，因为不需要是最好。但utm是全面的，它可以利用其他的部分来弥补。比如防火墙功能中的深度检测，在utm中可能就不需要和独立的防火墙去完全比较，因为utm内含的ips的能力可以弥补这方面的能力，可以超过独立防火墙在这方面的能力。

3.购买utm设备到底能省多少钱?

要看具体配置和对功能的要求，像思科的asa的价格跟用户选择的安全功能有关系，功能要求越多，相对来说性价比就越高。比如要防火墙、ids/ips、vpn、防病毒软件，以前需要4种设备，现在一台就可以了，这样节省至少60%。但如果用户只需要防火墙和vpn，这样就不会便宜多少了。

李宏凯算了一笔帐:传统百兆防火墙价格7～8万，再加上其他安全产品，总成本在30万左右。而购买utm产品，价格在10万元左右。关键的是管理成本的降低。

4.用户应该重点考察utm设备的哪些功能?

一般utm设备均以防火墙和防病毒为依托，因为这两个功能是用户必需的，在此基础上再增加其他功能。因此，用户应该重点考察utm设备的防火墙、防病毒功能和性能。

编看编想:“混合”配方的疗效

实际上，如果我们仔细观察黑客的攻击技术会发现，在近几年时间里，这些黑客技术本身并没有发生飞跃性的变化，依然是通过我们所熟知的恶意代码:如蠕虫病毒、木马间谍等来探测和攻击系统漏洞。但致命的一点是，这些本来可以防御的安全威胁在混合到一起时，就让现有的很多安全系统左支右拙，难以应付。

这就像把几种不同的毒药混合到一起一样，即使你了解并掌握其中每一种毒药的毒性和解救办法，但当他们混合在一起时，却会让你束手无策。

混合式的攻击最基本的威胁就在于，它经过黑客的特殊设计和精心安排之后，可以分别绕过现有的安全节点，如独立的 vpn、防火墙和防病毒产品，从而攻破单点型的安全方案。