隨著Hi-End級IPS設備的崛起，將所有安全功能集成在IPS中的設想已經成為現實。高性能、高可靠、高安全、高性價比，我們仿佛已經感受到了新一代UTM設備的深遠影響。

傳統UTM的瓶頸

在上期《網絡世界》的技術特寫中，我們曾經討論過，隨著IPS的性能越發強大，很多IPS廠商已經開始將大量的安全功能，如VPN、網頁過濾等集成到IPS而不是防火墻上。特別是一些Hi-End級IPS廠商，更是將全功能的防火墻集成于自家產品之中。

這不由讓記者想到了另外一個產品—統一威脅管理（UTM）。UTM是近年來比較熱門的話題：它提倡在一個硬件平臺上整合各種安全功能，如防火墻、VPN、網關防病毒、入侵檢測與防御、流量分析、內容過濾等，它的出現在于一些中小企業用戶缺乏安全技術人員，希望憑借網關處的一個硬件設備，一攬子解決所有的安全問題。

業內人士指出，UTM的概念是完美的，但在以前的具體實施中存在問題。

很多用戶在實際應用中都將反病毒或者IPS功能關閉，因為只有這樣設備才能正常運行。一旦將反病毒功能打開，一些設計不佳的UTM產品性能迅速衰減，有些降幅甚至在70%以上，這是用戶不能忍受的；而一旦打開了IPS功能，由于許多廠商的IPS技術基礎是建立在IDS之上，并沒有實質性的進展，在off line的IDS上人們能夠容忍高誤報率，但在in line模式的IPS中將會導致網絡不斷被虛假的報警阻斷，正常的流量進不來。

TippingPoint網絡技術顧問李臻認為，性能的問題可以通過采用更好的芯片技術，如“FPGA + NP”來解決，一些Hi-End級的IPS廠商都已經具備了這樣的實力，而且在高性能的基礎上，廠商可以采用更加深入的檢測方法，因此目前高端IPS誤報率已經得到了很好的控制。

不過，正是由于過硬的IPS產品大多掌握在Hi-End大廠手中，因此很多廠家認為UTM設備的定位應該進行調整。

新基礎、新定位

Juniper的技術經理徐洪濤指出，傳統的UTM設備被定位在低端市場，這不僅影響了廠家投入的積極性，而且對于用戶的實際應用也是不公平的。他表示，從2004年起，隨著高端IPS產品大量整合安全功能與服務，預示著UTM設備將會從傳統的以防火墻為主導，過渡到以IPS為主導，而UTM整體市場的發展，也將會向高端延伸。

“多合一的安全網關簡化了用戶的安全設備部署，也方便了用戶的安全管理，也是網絡安全發展的一個方向，個人認為這樣的設備集成到哪里、叫什么名字并不重要，關鍵是看能否提供足夠的安全功能和性能實現。”徐洪濤說。

從目前情況看，國內用戶部署UTM設備的目標都是為了減少節省設備和人員成本，同時減少因為攻擊而引起的損失，可以在網絡和應用級攻擊造成任何損壞之前有效地識別并阻止這些攻擊。從這個意義說，UTM設備可以有效地保護重要的網絡資源，同時最大限制地減少因為攻擊分析、響應和災后恢復引起的人力成本，從而節省企業的開銷。

Radware的資深工程師滕昕表示，UTM既提出了具體產品的形態，又涵蓋了更加深遠的邏輯范疇。很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念。

雖然主流Hi-End大廠在UTM設備中加入了眾多的新興技術，不過目前市場的主要出貨量還在中低端。

針對這種情況，Juniper大中華區新興技術經理吳若松解釋說，由于UTM設備是in line模式接入，因此設備本身必須具備良好的性能和高可靠性，同時在統一的管理平臺下，實現集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體，因此，向UTM方向演進將是IPS的發展趨勢。他認為，以IPS為基礎的高端UTM設備至少需要具備五大特征：

第一，實現網絡安全協議層防御。普通的防火墻、IPS只能實現第二到第四層的防護，但是真正的安全不能停留在底層，用戶需要一個深入內容的安全檢測，除了傳統的訪問控制之外，還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現七層協議的保護是UTM設備必須做到的。

第二，通過分類檢測技術降低誤報率。in line模式的設備一旦誤報率過高，將會對用戶帶來災難性的后果。因此UTM設備也必須和Hi-End級IPS設備一樣，在深度包檢測方面下功夫，同時實現精確匹配與升級服務，從而保證效果。

第三，對于以IPS為基礎的UTM產品，所集成的防火墻必須是全功能產品。特別是像NAT、動態端口等功能都要支持。因為如果僅僅集成了精簡版的防火墻，對于有意延伸到高端應用的UTM顯然不合適。

第四，具有高可靠、高性能的硬件平臺支撐。IPS型UTM設備必須以高性能、高可靠性的專門設計、專用芯片、專用硬件平臺為支撐，以避免UTM設備在復雜環境下，性能與可靠性出現瓶頸，威脅到用戶業務的正常運行。

第五，實現功能的統一管理。由于UTM設備集多種功能于一身，因此，它必須具有能夠統一控制和管理的平臺，使用戶能夠有效地進行管理。這樣，設備平臺可以實現標準化并具有可擴展性，用戶可在統一的平臺上進行組件管理，同時，一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島，從而在應對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網絡安全。

代表產品

據悉，符合上述五點要求的高端UTM產品已經出爐，以Juniper、Radware、Fortinet、WatchGuard為代表的廠商已經在新產品中取得突破。

像Juniper ISG就是一款有代表性的產品。ISG是涵蓋了全功能深層檢測防火墻、VPN 和DoS解決方案的集成安全網關產品，能夠為關鍵的高流量網絡分段提供安全可靠的連接以及網絡層和應用層保護。Juniper ISG可以提供多個千兆位接口、模塊化架構和虛擬化功能。基本防火墻/VPN系統最多支持4個I/O模塊和3個安全模塊，用于IDP集成。ISG系列可通過升級來支持集成入侵檢測與防護功能，從而針對現有和新型威脅提供網絡層和應用層防護功能。

而Radware的實現方式更加靈活，它將內容檢測CID與入侵防御DP作了結合，不僅可以利用StringMatch硬件引擎實現安全交換和高速的深入包檢測，而且可在對所有網絡流量進行雙向掃描的基礎上，提供容錯和充分優化的防病毒掃描和內容過濾功能。CID可優化任何防病毒過濾工具或URL過濾工具，從而實現了靈活、可自定義的安全架構，確保了高性能、高性價比和高度可擴展的內容安全和應用安全。

新UTM的發展方向
■ 基礎架構
● 以Hi-End級IPS為基礎
● 在七層防護基礎上，提高性能、降低誤報率
● 對DoS及DDoS有專門的防御手段
● 集成全功能防火墻產品

■ 應用實現
● 能夠實現多種功能的統一管理
● 從中低端市場向高端市場延伸
● 易部署、易使用，方便用戶的安全管理