安全專家為您答疑解惑：UTM究竟是什麼？

【賽迪網-IT技術報道】UTM（Unified Threat Management）市場成長迅速，已經成為安全網關的主流，對於UTM定義，很多人在問：UTM究竟是什麼？

作為一個安全網關設備，筆者認為UTM的定義至少包括如下三個要素：面對的威脅（對像）、處理的方式（方法）、達成的目標（價值）。

1.面對的威脅

UTM部署在網絡邊界的位置，針對2-7層所有種類的威脅。根據威脅破壞產生的後果，網絡邊界面臨的威脅可以分為三類：對網絡自身與應用系統進行破壞的威脅、利用網絡進行非法活動的威脅、網絡資源濫用威脅。

１對網絡自身與應用系統進行破壞的威脅：此類威脅的特點就是以網絡自身或內部的業務系統為明確的攻擊對象，通過技術手段導致網絡設備、主機、伺服器的運行受到影響（包括資源耗用、運行中斷、業務系統異常等）。ARP欺騙、DDoS攻擊、蠕蟲等均屬於此類威脅。例如DOS攻擊，雖然不破壞網絡內部的資料，但阻塞了應用的帶寬，對網絡自身的資源進行了佔用，導致正常業務無法正常使用。

２利用網絡進行非法活動的威脅：此類威脅的特點是通過技術手段對主機或伺服器進行入侵攻擊，以達到政治目的或經濟利益目的為目標。包括盜號木馬、SQL注入、垃圾郵件、惡意插件等。例如盜號木馬，通過這個工具，不法分子獲得用戶的個人賬戶信息，進而獲得經濟收益；又如垃圾郵件，一些不法分子通過發送宣傳「法 輪 功」的郵件，毒害人民群眾，追逐政治目的。

３網絡資源濫用的威脅：此類威脅的特點是正常使用網絡業務時，對網絡資源、組織制度等造成影響的行為。包括大量P2P下載、工作時間使用股票軟體、工作時間玩網絡遊戲等。比如P2P下載是一種正常的網絡行為，但大量的P2P下載會對網絡資源造成浪費，有可能影響到正常業務的使用；又如，股票軟體是正常行為，但上班時間使用，降低了工作效率，對公司或單位構成了間接損失。這些行為都屬於網絡資源濫用。

當然，由於是以結果進行分類，有些威脅可以同時歸屬於兩類，例如SQL注入，有些注入是為了獲取信息，達到政治或經濟目的，屬於第二類；有些注入後是為了修改網頁，達到破壞正常網站訪問業務的目的，屬於第一類。這並不影響分類覆蓋範圍的全面性。

2.處理的方式

UTM是對傳統防護手段的整合和昇華，是建立在原有安全網關設備基礎之上的，擁有防火牆、入侵防禦（IPS）、防病毒（AV）、VPN、內容過濾、反垃圾郵件等多種功能，這些技術處理方式仍然是UTM的基礎，但這些處理方式不再各自為戰，需要在統一的安全策略下相互配合，協同工作。

當然，對於眾多的功能，有必備功能和增值功能之分。一般而言，防火牆、VPN、入侵防禦、防病毒是必備的功能模塊，缺少任何一個不能稱之為UTM。其餘是增值功能，用戶可以根據自身需求進行選擇。

站在用戶角度，面對的是整個網絡、所有業務的安全，整體的安全策略實施是非常重要的。統一的策略實施是使多種安全功能形成合力的關鍵，各自為戰是不能實現整體安全策略的。因此在UTM處理方式中，需要特別考慮策略的協調性、一致性。

3.達成的目標

有了面對的威脅對像和處理方式之後，就要看UTM能達成的目標了，也就是價值。UTM設備保護的是網絡，能精確識別所有的威脅，根據相應策略進行控制，或限速、或限流、或阻斷，保持網絡暢通，業務正常運轉是最好的結果，「精確識別和控制」是最為關鍵的。

同時，UTM整合多種安全能力後，仍然需要保持比較高的性能，因此性能不能有明顯下降；安全網關設備的可靠性要求毋庸置疑的；此外，由於設備的功能多，對網管員的要求高，管理方便、配置簡單當然也是UTM類設備要達成的目標。

綜上，筆者認為，UTM可以定義為：通過安全策略的統一部署，融合多種安全能力，針對對網絡自身與應用系統進行破壞、利用網絡進行非法活動、網絡資源濫用等威脅，實現精確防控的高可靠、高性能、易管理的網關安全設備。

(