梁海軍

淮海工學(xué)院現(xiàn)代教育技術(shù)中心 江蘇 222005

0 引言

隨著網(wǎng)絡(luò)所面臨的威脅的數(shù)量、種類極其復(fù)雜性成倍的增加，單一的防火墻或者防病毒系統(tǒng)已經(jīng)不能滿足目前“混合威脅”的需求，以整合式安全技術(shù)為代表的UTM技術(shù)有著越來越廣泛的應(yīng)用。

1 UTM的定義

UTM(Unified Threat Management)是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，主要提供一項(xiàng)或者多項(xiàng)安全功能服務(wù)；它將多種安全特性集于一個(gè)硬件設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。它至少包括以下三方面內(nèi)容。

（1）面對(duì)的威脅

UTM 作為網(wǎng)關(guān)型產(chǎn)品部署在網(wǎng)絡(luò)邊界的位置，面對(duì)從數(shù)據(jù)鏈路層到應(yīng)用層所有種類的威脅。根據(jù)威脅破壞產(chǎn)生的后果，網(wǎng)絡(luò)邊界面臨的威脅可以分為三類：對(duì)網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞的威脅；利用網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的威脅和網(wǎng)絡(luò)資源濫用威脅。

（2）處理的方式

UTM 是對(duì)傳統(tǒng)防護(hù)手段的整合和升華，是建立在原有安全網(wǎng)關(guān)設(shè)備基礎(chǔ)之上的，擁有防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內(nèi)容過濾、反垃圾郵件等多種功能，這些技術(shù)處理方式仍然是 UTM 的基礎(chǔ)，但這些處理方式不再各自為戰(zhàn)，需要在統(tǒng)一的安全策略下相互配合，協(xié)同工作。

（3）達(dá)成的目標(biāo)

有了面對(duì)的威脅對(duì)象和處理方式之后，就要看 UTM能達(dá)成的目標(biāo)了，也就是價(jià)值。UTM 設(shè)備保護(hù)的是網(wǎng)絡(luò)，能精確識(shí)別所有的威脅，根據(jù)相應(yīng)策略進(jìn)行控制，或限速或限流、或阻斷，保持網(wǎng)絡(luò)暢通，業(yè)務(wù)正常運(yùn)轉(zhuǎn)是最好的結(jié)果，“精確識(shí)別和控制”是最為關(guān)鍵的。

2 UTM的實(shí)現(xiàn)原理

UTM技術(shù)是在防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內(nèi)容過濾、反垃圾郵件等技術(shù)基礎(chǔ)上發(fā)展起來的，在提升檢測(cè)多種威脅或混合威脅能力中發(fā)揮重要作用，它的發(fā)展主要基于以下三種架構(gòu)：

（1）基于防火墻架構(gòu)并增加其它各項(xiàng)功能，由于受到固有防火墻的并發(fā)數(shù)、新建連接數(shù)和吞吐量的限制，當(dāng)增加新的安全功能后，效率勢(shì)必會(huì)有所下降；

（2）基于IPS架構(gòu)，增加其它各項(xiàng)功能而發(fā)展的一體化安全設(shè)備，這種UTM具有網(wǎng)絡(luò)安全協(xié)議層防御、誤報(bào)率較低、高性能硬件平臺(tái)支撐和功能統(tǒng)一管理等特點(diǎn) ；

（3）一種更理想的UTM架構(gòu)，即各項(xiàng)安全功能實(shí)現(xiàn)的方法是基于統(tǒng)一威脅管理平臺(tái)，在上面根據(jù)需要添加各項(xiàng)安全功能，多核技術(shù)為這種理想架構(gòu)提供可能、這也是今后UTM技術(shù)發(fā)展的主導(dǎo)方向。

以上三種架構(gòu)作為目前UTM的主流架構(gòu)，盡管架構(gòu)方式和表現(xiàn)形式不盡相同，但作為UTM設(shè)備其基本實(shí)現(xiàn)原理是一致的，都具有五種典型的技術(shù)特征：

（1）CCP(完全性內(nèi)容保護(hù))。這種技術(shù)比狀態(tài)檢測(cè)和深度包檢測(cè)等技術(shù)更先進(jìn)，具備在千兆網(wǎng)絡(luò)環(huán)境中，實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象的能力，而且重組之后的應(yīng)用層對(duì)象可以通過動(dòng)態(tài)更新特征庫來進(jìn)行掃描和分析。

（2）ASIC(專用集成電路)加速技術(shù)。為了提高效率，ASIC芯片中固化的是針對(duì)特征匹配特別優(yōu)化的“算法”，而不是“安全特征”本身。因此，通常比通用CPU快一個(gè)或幾個(gè)數(shù)量級(jí)。

（3）定制的OS(操作系統(tǒng))。專門的操作系統(tǒng)提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)以及基于內(nèi)容處理加速模塊的硬件加速，加上智能排隊(duì)和管道管理等，從而有效地實(shí)現(xiàn)各種安全功能。

（4）CPRL(緊密型模式識(shí)別語言)。實(shí)現(xiàn)了完全內(nèi)容防護(hù)中大量計(jì)算程式的加速，大大提高了系統(tǒng)處理效率。

（5）DTPS(動(dòng)態(tài)威脅管理檢測(cè)技術(shù))。將各種檢測(cè)過程關(guān)聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測(cè)活動(dòng)，并通過啟發(fā)式掃描和異常檢測(cè)引擎檢查，提高整個(gè)系統(tǒng)對(duì)已知和未知威脅的檢測(cè)精確度。

3 綜合防御策略

對(duì)于不同的網(wǎng)絡(luò)環(huán)境，UTM的防御策略也是不一樣的。如何部署安裝一臺(tái)UTM發(fā)揮其性能最大化，實(shí)現(xiàn)UTM與網(wǎng)絡(luò)中其它軟硬件設(shè)備之間的互動(dòng)，最大限度保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外黑客、病毒的侵害是基于UTM進(jìn)行綜合防御的重點(diǎn)，其策略的制定應(yīng)當(dāng)充分考慮以下幾方面內(nèi)容。

3.1 部署的重點(diǎn)是集成

高度集成和深度融合是基于U T M設(shè)備的綜合防御的基本策略之一，它是將多個(gè)安全功能集成到統(tǒng)一的平臺(tái)下面，從底層進(jìn)行軟硬件的優(yōu)化，將各個(gè)安全功能有機(jī)地整合為一體，實(shí)現(xiàn)各項(xiàng)安全技術(shù)的無縫集成。從防火墻入侵防御到反垃圾郵件等各個(gè)模塊之間不是功能的簡(jiǎn)單疊加，而是應(yīng)實(shí)現(xiàn)高效的聯(lián)動(dòng)機(jī)制，一方面從多角度加強(qiáng)綜合防御能力，另一方面可以有效的節(jié)省系統(tǒng)軟硬件資源的開銷，提高設(shè)備的整體性能，提高設(shè)備的吞吐能力，有效的利用網(wǎng)絡(luò)的帶寬。例如，防火墻檢測(cè)技術(shù)從基于包過濾到基于網(wǎng)絡(luò)行為的監(jiān)測(cè)，通過與防病毒、IPS聯(lián)動(dòng)，不僅使得防火墻具有具備檢查包負(fù)載的能力，而且有效檢測(cè)出病毒、蠕蟲、木馬和其它惡意應(yīng)用程序；即使當(dāng)攻擊者將攻擊負(fù)載拆分到多個(gè)分段的數(shù)據(jù)包里，并將它們打亂順序發(fā)出時(shí)，也是能夠?qū)崿F(xiàn)有效檢測(cè)。

3.2 性能與功能的統(tǒng)一

功能的集成與強(qiáng)大勢(shì)必對(duì)性能提出更高的要求，因此，只有不斷提高UTM軟硬件資源利用效率，才能使其更具可用性。首先要從硬件底層全面優(yōu)化，采用更好的硬件平臺(tái)提高性能。例如現(xiàn)在UTM設(shè)備多采用多核技術(shù)進(jìn)行架構(gòu)取代傳統(tǒng)的X86和ASIC架構(gòu)，它具有處理性能高、硬件加速能力強(qiáng)和開發(fā)難度適中等優(yōu)點(diǎn)，能夠提高吞吐量、并發(fā)連接數(shù)、新建連接數(shù)等設(shè)備特征值，在運(yùn)行時(shí)，能夠顯著降低CPU和內(nèi)存利用率；其次，通過優(yōu)化體系結(jié)構(gòu)和指令集提供對(duì)網(wǎng)絡(luò)處理的支持，使其具有更低的響應(yīng)時(shí)間，降低其可移植性難度；最后要在檢測(cè)機(jī)制上要實(shí)現(xiàn)突破，如采用一次性內(nèi)容檢測(cè)技術(shù)，一次拆包就能完成2-7層的檢測(cè)，各種引擎相互嵌套，檢測(cè)技術(shù)協(xié)調(diào)工作，從而使UTM更高效可用。

3.3 防御目標(biāo)有側(cè)重點(diǎn)

UTM的基本功能包括防火墻、入侵防御(IPS)、防病毒(AV)、VPN、內(nèi)容過濾。還包括諸如流量分析、安全審計(jì)、端口掃描和負(fù)載均衡等附加模塊。在不同的網(wǎng)絡(luò)環(huán)境中，對(duì)上述模塊的要求是不一樣的。當(dāng)設(shè)備的參數(shù)一定的情況下，功能開啟得越多，性能也就越差，所以，應(yīng)在關(guān)注基本安全需求基礎(chǔ)上，提供精細(xì)化的重點(diǎn)防護(hù)手段，最終形成有的放矢、針對(duì)性防御的效果。例如在校園中應(yīng)當(dāng)加強(qiáng)安全審計(jì)和內(nèi)容審計(jì)功能；而對(duì)于單線路出口的網(wǎng)絡(luò)在均衡模塊的部署就是多余的；ISP在帶寬不足的情況下，對(duì)上網(wǎng)行為的管理有待進(jìn)一步加強(qiáng)?？傊?，UTM著被這種硬件一體化兼軟件模塊集成化的設(shè)計(jì)帶來應(yīng)用上的靈活性，可根據(jù)需求隨時(shí)在這個(gè)平臺(tái)上增加或調(diào)整安全功能。

3.4 內(nèi)外兼防

由于目前UTM技術(shù)還主要集中在網(wǎng)絡(luò)邊界安全防護(hù)方面，導(dǎo)致UTM產(chǎn)品主要還局限于一個(gè)網(wǎng)關(guān)型的產(chǎn)品，而建立一個(gè)完整地網(wǎng)絡(luò)安全防護(hù)體系，應(yīng)該包含了從邊界到內(nèi)部的全面安全解決方案。因此，UTM技術(shù)體系不僅僅是其設(shè)備本身，還包括網(wǎng)絡(luò)中其他的各類系統(tǒng)及技術(shù)，所構(gòu)造的應(yīng)是一個(gè)內(nèi)外兼防、全方位、立體化的縱深安全防御體系，這將是一個(gè)更為廣泛意義上的統(tǒng)一威脅管理。例如防病毒模塊只能有效攔截網(wǎng)絡(luò)內(nèi)外的病毒攻擊，而對(duì)于網(wǎng)絡(luò)內(nèi)部病毒供給卻無能為力，這就需要校園網(wǎng)內(nèi)部部署防病毒軟件，有效保護(hù)好各類服務(wù)器和終端，一道形成網(wǎng)絡(luò)的防病毒體系；而安全及內(nèi)容審計(jì)僅僅依靠UTM本身是無法完成的，需要和身份認(rèn)證系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)共享來共同完成這一任務(wù)。而端口的掃描更需要網(wǎng)絡(luò)的整體協(xié)防，從核心、匯聚交換機(jī)的參與到各類網(wǎng)管軟件的配合。

當(dāng)然，基于UTM的綜合防御體系還有其他的策略，例如，基于用戶群、IP地址的防御、動(dòng)態(tài)加靜態(tài)的混合防御等。其實(shí)用戶無論什么樣的防御體系都不是網(wǎng)絡(luò)安全的萬能藥，不能指望通過UTM就能解決所有安全問題。要達(dá)到全網(wǎng)安全，需要管理體系和技術(shù)體系并用，用動(dòng)態(tài)的、前進(jìn)的、創(chuàng)新的眼光來認(rèn)識(shí)安全，定期評(píng)估安全、合理使用安全技術(shù)、加強(qiáng)安全管理，從而來立起更加完善的網(wǎng)絡(luò)安全體系。

4 結(jié)束語

UTM 作為新興的網(wǎng)絡(luò)安全產(chǎn)品，在實(shí)踐中選型準(zhǔn)確，部署得當(dāng)是能夠取得比較好的、實(shí)效的，隨著網(wǎng)絡(luò)技術(shù)的向前發(fā)展，尤其WLAN 、IPv6、3G網(wǎng)絡(luò)的不斷普及，UTM本身如何與時(shí)俱進(jìn)融入到網(wǎng)絡(luò)的新技術(shù)中來是下一代UTM發(fā)展的趨勢(shì)。

[1] 費(fèi)宗蓮.UTM:抵御混合攻擊的盾牌.計(jì)算機(jī)安全.2009.

[2] 梁明君.UTM技術(shù)研究.信息安全與通信保密.2008.

[3] Jens Andreasssen.UTM的發(fā)展趨勢(shì).信息安全與通信保密.2008.

[4] 山林.UTM實(shí)現(xiàn)統(tǒng)一高效的網(wǎng)絡(luò)安全防護(hù).中國金融電腦.2008.

[5] 郭麗娜,張繼業(yè),劉向東.基于多核網(wǎng)絡(luò)處理器的UTM設(shè)計(jì).計(jì)算機(jī)工程與設(shè)計(jì).2008.

[6] 崔云鵬,周道明.探尋下一代安全網(wǎng)關(guān).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2008.

[7] 鄧林,余劉瑯,王軍,韓江洪.入侵攻擊的防火墻無關(guān)性研究.計(jì)算機(jī)應(yīng)用研究.2008.

[8] 梁明君.利用UTM技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)綜合性防御.信息網(wǎng)絡(luò)安全.2008.

[9] 李金庫,丁常福.捷普高性能UTM系統(tǒng).計(jì)算機(jī)安全.2008.

[10] 蔣永生.淺談統(tǒng)一威脅管理(UTM).中國傳媒科技.2008.

[11] 薛松,顧寧.淺析UTM設(shè)備在信息系統(tǒng)中的應(yīng)用.信息化研究.2009.

[12] 劉彬.UTM網(wǎng)絡(luò)安全保護(hù)的新趨勢(shì).科技廣場(chǎng).2007.

[13] 隆毅.基于UTM的圖書館網(wǎng)絡(luò)安全防御系統(tǒng).圖書館學(xué)研究.2008.