统一威胁管理(unified threat management)，2004年9月，idc首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(unified threat management，简称utm)新类别。idc将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。

由idc提出的utm是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。从这个定义上来看，idc既提出了utm产品的具体形态，又涵盖了更加深远的逻辑范畴。从定义的前半部分来看，众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到utm产品的范畴；而从后半部分来看，utm的概念还体现出在信息产业经过多年发展之后，对安全体系的整体认识和深刻理解。

目前，utm常定义为由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备里，形成标准的统一威胁管理平台。utm设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。

虽然utm集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，utm产品分为不同的级别。也就是说，如果用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。

1.建一个更高，更强，更可靠的墙，除了传统的访问控制之外，防火墙还应该对防垃圾邮件，拒绝服务，黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。真正的安全不能只停留在底层，我们需要构成治理的效果，能实现七层协议保护，而不仅仅局限与二到四层。

2.要有高检测技术来降低误报。作为一个串联接入的网关设备，一旦误报过高，对拥护来说是一个灾难性的后果，ips就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，应采取不同的检测技术有效整合可以显著降低误报率。

3.要有高可靠，高性能的硬件平台支撑。对于utm时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/utm必须以高性能，高可靠性的专用芯片及专用硬件平台为支撑，以避免utm设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。

随着时间的演进，信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面，从前的安全威胁和恶意行为与现今都不可同日而语。仅仅在几年之前，我们还可以如数家珍的讲述各种流行的安全漏洞和攻击手段，而现在这已经相当困难。现在每天都有数百种新病毒被释放到互联网上，而各种主流软件平台的安全漏洞更是数以千计。我们遇到的麻烦更多的表现为通过系统漏洞自动化攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等等。这些攻击手段在互联网上肆意泛滥，没有保护的计算机设备面临的安全困境远超从前。安全厂商在疲于奔命的升级产品的检测数据库，系统厂商在疲于奔命的修补产品漏洞，而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒，防火墙只能对非法访问通信进行过滤，而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中，安全问题的炸弹随时都有爆炸的可能用户必须针对每种安全威胁部署相应的防御手段，这样使信息安全工作的复杂度和风险性都难以下降。而且，一个类型全面的防御体系也已经无法保证能够使用户免受安全困扰，每种产品各司其职的方式已经无法应对当前更加智能的攻击手段。我们面对的很多恶意软件能够自动判断防御设施的状态，在一个通路受阻之后会自动的尝试绕过该道防御从其它位置突破，并逐个的对系统漏洞进行尝试。一个防御组件成功屏蔽了恶意行为之后，攻击程序在调整自身的行为之后，已经发现该攻击活动的组件无法通知其它类型的防御组件，使得该攻击仍有可能突破防御体系。防御更具智能化的攻击行为，需要安全产品也具有更高的智能，从更多的渠道获取信息并更好的使用这些信息，以更好的协同能力面对日益复杂的攻击方法。这就是为什么整合式安全设备日益受到用户的欢迎，也是为什么有大量行业人士认为utm类型的产品将成为信息安全新的主流。

utm的架构中包含了很多具有创新价值的技术内容，idc将fortinet公司的产品视为utm的典型代表，我们就结合fortinet公司采用的一些技术来分析一下utm产品相比传统安全产品到底有哪些不同。

完全性内容保护（complete content protection）简称cpp，对osi模型中描述的所有层次的内容进行处理。这种内容处理方法比目前主流的状态检测技术以及深度包检测技术更加先进，目前使用该技术的产品已经可以在千兆网络环境中对数据负载进行全面的检测。这意味着应用了完全性内容保护的安全设备不但可以识别预先定义的各种非法连接和非法行为，而且可以识别各种组合式的攻击行为以及相当隐秘的欺骗行为。

asic是被广泛应用于性能敏感平台的一种处理器技术，在utm安全产品中asic的应用是足够处理效能的关键。由于应用了完全性内容保护，需要处理的内容量相比于传统的安全设备大大增加，而且这些内容需要被防病毒、防火墙等多种引擎所处理，utm产品具有非常高的性能要求。将各种常用的加密、解密、规则匹配、数据分析等功能集成于asic处理器之内，才能够提供足够的处理能力使utm设备正常运作。fortinet不但成功的在自己的产品内应用了asic这一具有高度尖端性的芯片技术，而且还进行了很多开创性的工作，推出了fortiasic技术，令老牌的asic厂商也不得不刮目相看。

除了硬件方面有独特的设计之外，utm产品在软件平台上也专门针对安全功能进行了定制。专用的操作系统软件提供了精简而高效的底层支持，可以最大限度的发挥硬件平台的能力。utm产品的操作系统及周边软件模块可以对目标数据进行智能化的管理，并具有专门的实时性设计，提供实时内容重组和分析能力，可以有效地发挥防病毒、防火墙、vpn等子系统功能。