基于UTM网络综合防御策略研究

梁海军

淮海工学院现代教育技术中心 江苏 222005

0 引言

随着网络所面临的威胁的数量、种类极其复杂性成倍的增加，单一的防火墙或者防病毒系统已经不能满足目前“混合威胁”的需求，以整合式安全技术为代表的UTM技术有着越来越广泛的应用。

1 UTM的定义

UTM(Unified Threat Management)是由硬件、软件和网络技术组成的具有专门用途的设备，主要提供一项或者多项安全功能服务；它将多种安全特性集于一个硬件设备里，构成一个标准的统一管理平台。它至少包括以下三方面内容。

（1）面对的威胁

UTM 作为网关型产品部署在网络边界的位置，面对从数据链路层到应用层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁；利用网络进行非法活动的威胁和网络资源滥用威胁。

（2）处理的方式

UTM 是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是 UTM 的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。

（3）达成的目标

有了面对的威胁对象和处理方式之后，就要看 UTM能达成的目标了，也就是价值。UTM 设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，“精确识别和控制”是最为关键的。

2 UTM的实现原理

UTM技术是在防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等技术基础上发展起来的，在提升检测多种威胁或混合威胁能力中发挥重要作用，它的发展主要基于以下三种架构：

（1）基于防火墙架构并增加其它各项功能，由于受到固有防火墙的并发数、新建连接数和吞吐量的限制，当增加新的安全功能后，效率势必会有所下降；

（2）基于IPS架构，增加其它各项功能而发展的一体化安全设备，这种UTM具有网络安全协议层防御、误报率较低、高性能硬件平台支撑和功能统一管理等特点 ；

（3）一种更理想的UTM架构，即各项安全功能实现的方法是基于统一威胁管理平台，在上面根据需要添加各项安全功能，多核技术为这种理想架构提供可能、这也是今后UTM技术发展的主导方向。

以上三种架构作为目前UTM的主流架构，尽管架构方式和表现形式不尽相同，但作为UTM设备其基本实现原理是一致的，都具有五种典型的技术特征：

（1）CCP(完全性内容保护)。这种技术比状态检测和深度包检测等技术更先进，具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象的能力，而且重组之后的应用层对象可以通过动态更新特征库来进行扫描和分析。

（2）ASIC(专用集成电路)加速技术。为了提高效率，ASIC芯片中固化的是针对特征匹配特别优化的“算法”，而不是“安全特征”本身。因此，通常比通用CPU快一个或几个数量级。

（3）定制的OS(操作系统)。专门的操作系统提供精简的、高性能防火墙和内容安全检测平台以及基于内容处理加速模块的硬件加速，加上智能排队和管道管理等，从而有效地实现各种安全功能。

（4）CPRL(紧密型模式识别语言)。实现了完全内容防护中大量计算程式的加速，大大提高了系统处理效率。

（5）DTPS(动态威胁管理检测技术)。将各种检测过程关联在一起，跟踪每一安全环节的检测活动，并通过启发式扫描和异常检测引擎检查，提高整个系统对已知和未知威胁的检测精确度。

3 综合防御策略

对于不同的网络环境，UTM的防御策略也是不一样的。如何部署安装一台UTM发挥其性能最大化，实现UTM与网络中其它软硬件设备之间的互动，最大限度保护网络不受来自网络内外黑客、病毒的侵害是基于UTM进行综合防御的重点，其策略的制定应当充分考虑以下几方面内容。

3.1 部署的重点是集成

高度集成和深度融合是基于U T M设备的综合防御的基本策略之一，它是将多个安全功能集成到统一的平台下面，从底层进行软硬件的优化，将各个安全功能有机地整合为一体，实现各项安全技术的无缝集成。从防火墙入侵防御到反垃圾邮件等各个模块之间不是功能的简单叠加，而是应实现高效的联动机制，一方面从多角度加强综合防御能力，另一方面可以有效的节省系统软硬件资源的开销，提高设备的整体性能，提高设备的吞吐能力，有效的利用网络的带宽。例如，防火墙检测技术从基于包过滤到基于网络行为的监测，通过与防病毒、IPS联动，不仅使得防火墙具有具备检查包负载的能力，而且有效检测出病毒、蠕虫、木马和其它恶意应用程序；即使当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，也是能够实现有效检测。

3.2 性能与功能的统一

功能的集成与强大势必对性能提出更高的要求，因此，只有不断提高UTM软硬件资源利用效率，才能使其更具可用性。首先要从硬件底层全面优化，采用更好的硬件平台提高性能。例如现在UTM设备多采用多核技术进行架构取代传统的X86和ASIC架构，它具有处理性能高、硬件加速能力强和开发难度适中等优点，能够提高吞吐量、并发连接数、新建连接数等设备特征值，在运行时，能够显著降低CPU和内存利用率；其次，通过优化体系结构和指令集提供对网络处理的支持，使其具有更低的响应时间，降低其可移植性难度；最后要在检测机制上要实现突破，如采用一次性内容检测技术，一次拆包就能完成2-7层的检测，各种引擎相互嵌套，检测技术协调工作，从而使UTM更高效可用。

3.3 防御目标有侧重点

UTM的基本功能包括防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤。还包括诸如流量分析、安全审计、端口扫描和负载均衡等附加模块。在不同的网络环境中，对上述模块的要求是不一样的。当设备的参数一定的情况下，功能开启得越多，性能也就越差，所以，应在关注基本安全需求基础上，提供精细化的重点防护手段，最终形成有的放矢、针对性防御的效果。例如在校园中应当加强安全审计和内容审计功能；而对于单线路出口的网络在均衡模块的部署就是多余的；ISP在带宽不足的情况下，对上网行为的管理有待进一步加强。总之，UTM着被这种硬件一体化兼软件模块集成化的设计带来应用上的灵活性，可根据需求随时在这个平台上增加或调整安全功能。

3.4 内外兼防

由于目前UTM技术还主要集中在网络边界安全防护方面，导致UTM产品主要还局限于一个网关型的产品，而建立一个完整地网络安全防护体系，应该包含了从边界到内部的全面安全解决方案。因此，UTM技术体系不仅仅是其设备本身，还包括网络中其他的各类系统及技术，所构造的应是一个内外兼防、全方位、立体化的纵深安全防御体系，这将是一个更为广泛意义上的统一威胁管理。例如防病毒模块只能有效拦截网络内外的病毒攻击，而对于网络内部病毒供给却无能为力，这就需要校园网内部部署防病毒软件，有效保护好各类服务器和终端，一道形成网络的防病毒体系；而安全及内容审计仅仅依靠UTM本身是无法完成的，需要和身份认证系统实现数据共享来共同完成这一任务。而端口的扫描更需要网络的整体协防，从核心、汇聚交换机的参与到各类网管软件的配合。

当然，基于UTM的综合防御体系还有其他的策略，例如，基于用户群、IP地址的防御、动态加静态的混合防御等。其实用户无论什么样的防御体系都不是网络安全的万能药，不能指望通过UTM就能解决所有安全问题。要达到全网安全，需要管理体系和技术体系并用，用动态的、前进的、创新的眼光来认识安全，定期评估安全、合理使用安全技术、加强安全管理，从而来立起更加完善的网络安全体系。

4 结束语

UTM 作为新兴的网络安全产品，在实践中选型准确，部署得当是能够取得比较好的、实效的，随着网络技术的向前发展，尤其WLAN 、IPv6、3G网络的不断普及，UTM本身如何与时俱进融入到网络的新技术中来是下一代UTM发展的趋势。

[1] 费宗莲.UTM:抵御混合攻击的盾牌.计算机安全.2009.

[2] 梁明君.UTM技术研究.信息安全与通信保密.2008.

[3] Jens Andreasssen.UTM的发展趋势.信息安全与通信保密.2008.

[4] 山林.UTM实现统一高效的网络安全防护.中国金融电脑.2008.

[5] 郭丽娜,张继业,刘向东.基于多核网络处理器的UTM设计.计算机工程与设计.2008.

[6] 崔云鹏,周道明.探寻下一代安全网关.网络安全技术与应用.2008.

[7] 邓林,余刘琅,王军,韩江洪.入侵攻击的防火墙无关性研究.计算机应用研究.2008.

[8] 梁明君.利用UTM技术实现网络综合性防御.信息网络安全.2008.

[9] 李金库,丁常福.捷普高性能UTM系统.计算机安全.2008.

[10] 蒋永生.浅谈统一威胁管理(UTM).中国传媒科技.2008.

[11] 薛松,顾宁.浅析UTM设备在信息系统中的应用.信息化研究.2009.

[12] 刘彬.UTM网络安全保护的新趋势.科技广场.2007.

[13] 隆毅.基于UTM的图书馆网络安全防御系统.图书馆学研究.2008.