老網管談新安全

隨著混合式網絡攻擊不斷升溫，防火墻，入侵檢測、防病毒，審計等單一的傳統安全產品／技術正漸顯疲態。UTM(統一威脅管理)成為廣大網管們的關注焦點也就順理成章了。作為中共湖南省委黨校從事網絡安全工作多年的一名老網管。對此。我也有些心得希望能與大家分享。

提起UTM(unified ThreatManagement，簡稱UTM，統一威脅管理)的概念大家一定不陌生。它最初由IDC提出，集成了多種安全特性，既是一種由特定的硬件、軟件和網絡技術組成的新一代專用網絡安全設備，也是一個標準的統一管理平臺。它注重對“設備和威脅”的管理，以求將各種網絡安全威脅消滅在萌芽狀態，以達到防患于未然的終極目標。而對普通用戶來說，它是透明的，也是便于管理和維護的。

至于UTM的功效，目前業界也已基本達成共識，它能有效防御混合型攻擊、減輕網絡管理的復雜性、協調高端軟件方案、集中管理安全日志，這些無疑都將為今后網絡安防系統提供最佳的防護手段。

顯然，人們對UTM概念的接受度已經毋庸置疑。只是究竟UTM有著哪些技術上的先天優勢值得我們期待、目前又存在著哪些主要技術和問題呢?這才是今天我想和大家探討的重點。

1、技術優勢

1)縮短延遲

相比以往MRDDP等立體組合安全模型數據包進出需經多次拆／封包檢測的低效，基于硬件芯片級的UTM只需對數據包進行一次拆封，延遲時間明顯縮減。

2)消除帶寬瓶頸

以往多設備整體安全解決方案，網絡吞吐量遵循“木桶法則”，受限于最小吞吐量設備。而UTM整合設備，則能提供統一的帶寬，不存在網絡帶寬瓶頸障礙。

3)管理一致性強

隨著網絡安防產品細節配置日益繁復，確保不同產品間安全策略的統一性也成為實際工作中的難點。在實踐中，我發現單點故障的幾率非常大。而UTM的統一管理模式則無疑是最佳的解決方式。

2、主要技術

1)完全性內容保護技術CCP(completeContent Protection，簡稱CCP)

技術能對OSI七層網絡模型所有層次上的網絡威脅提供實時保護。單純的防火墻“狀態檢測”，只檢查數據包頭，即便“深度包檢測”也不過是在此基礎上提供額外檢查。而UTM則具備在千兆網絡環境中，實時地將網絡層數據負載重組為應用層對象的能力，而且重組后的應用層對象可以通過動態更新病毒和蠕蟲特征來進行掃描和分析。同時，還可探測其它各種威脅，包括不良Web內容、垃圾郵件、間諜軟件和網絡釣魚等欺騙。

2)ASIC加速技術

ASIC芯片是UTM的一個關鍵部分，它集成了硬件掃描引擎、硬件加密和實時內容分析處理能力，能提供硬件級的防火墻、加密／解密、特征匹配和啟發式數據包掃描等功能，且性能出色，能承擔網絡骨干和邊界上內容處理需要。

3)定制系統

專用的強化安全的操作系統平臺，基于內容處理加速模塊的硬件加速，再加上智能排隊和管道管理算法技術，使各種類型流量的處理時間達到最優，從而給用戶提供最好的實時系統。它能有效實現防病毒、防火墻、VPN、反垃圾郵件、IDS等高效防護功能。

4)緊密型模式識別語言

技術主要是針對“完全的內容防護中大量計算指令需要強力加速”而設計的。狀態檢測防火墻、防病毒檢測和入侵檢測的功能要求，激發了全新的安全算法(包括基于行為的啟發式算法)。通過硬件與軟件的密切配合，再加上智能檢測方法，識別的效率得以提高。

5)動態威脅管理和檢測技術DTPS(Dynamic Threat Prevention System)

技術，針對已知和未知威脅增強檢測能力，將防病毒、IDS和防火墻等各種安全模塊無縫地集成在一起，再將其中的攻擊信息相互關聯和共享，以識別可疑的惡意流量特征。DTPS通過將各種檢測過程關聯在一起，跟蹤每一安全環節的檢測活動，并通過啟發式掃描和異常檢測引擎檢查，提高整個系統的檢測精確度。

3、上存不足

當然，網絡安全仍是一個相對的、動態的過程，沒有終極的解決方案。即便是UTM目前也存在明顯的不足或先天缺陷。

1)性能難以滿足復雜檢測

UTM自身的檢測是多方面的，相對單功能安全設備，其負荷顯然更重。因此目前UTM設備的高可用性(HA能力)普遍要弱于專用的防火墻和路由器。

2)穩定性受制于集成技術

在目前集成技術水平下，功能較為復雜的UTM穩定性相對于傳統安全設備來說仍然要低一些。

3)集中安全易遭圍攻

UTM將所有的安全功能置于一臺設備之內，一旦廣泛應用，它必將引發黑客潮水般的集中攻擊，這樣UTM安全設備成為網絡中的單點故障幾率就更大。一旦UTM安全設備遭受重創，所有的安全防御措施都將淪陷。

總之，UTM的安全一體化已取得業界的共識，也是簡化網管復雜性的好策略。但仍需盡快解決針對復雜威脅的防御能力，這體現在功能和性能兩個方面。要使每個功能模塊既相互配合，又保障性能和穩定性，這些都需要我們在軟件體系設計和集成技術上進行大膽創新來解決。而要達成這一目標，我們還需要一個安全特性的統一標準和接口，從而為UTM真正走普及鋪平道路。