UTM : 统一威胁管理技术

哈尔滨理工大学网络信息中心 UTM:统一威胁管理技术主讲张潇依 2007 年 6 月 20 日

主　讲　内　容 1 UTM提出的背景、定义、功能及特征 2 UTM的典型技术 3 UTM的优势及目前存在的问题 4 UTM的适用场合、厂商及产品 5 UTM的一个典型应用解决方案 6 UTM的发展趋势 7 小结

UTM 提出的背景 ◆随着网络的日益发展和繁多的应用软件的不断更新，使得“复杂性”已成为企业IT管理部门工作的代名词。IT管理者不得不面对日益增长的网络攻击，这些网络攻击方式已从传统的简单网络层数据攻击升级到多层次的混合型攻击。新兴的混合型攻击通过组合多种威胁方法加大了危害的严重性，它将数种独立的病毒结合起来，通过极度难以防犯的攻击渠道进行传播和实施攻击。因此IT管理者不得不付出更多的维护成本来管理自己的网络，而随着网络安全设备的增加，在一台机器设备上投入的人力物力必然同等地N倍放大，这使得网络安全维护成本也必然同期膨胀，与此同时IT管理者也深刻感受到分散安全机制所带来的管理不便。

UTM 提出的背景（续） ◆而传统安全方法却正在失效。如今最流行的传统安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但它们面对新一代安全威胁作用却越来越小。 1 从用户角度来说，虽然安装了防火墙，但是还避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。此外，基于网络传播的病毒、带有黑客程序的木马和间谍软件等都是混合型的安全威胁，传统的防火墙设备已经不能满足防范的需求。另外传统防火墙的问题还在于黑客已研究出大量方法来绕过防火墙策略。 2 从未大规模部署的入侵检测单个产品来看，在提前预警方面存在着先天的不足，且精确定位和全局管理方面还有很大的空间。

UTM 提出的背景（续） 3 虽然很多用户在单机、终端都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说，虽然传统安全方法已经立下了赫赫战功，并且仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。 ◆由此看来，为了有效地防御目前的混合型威胁，就需要求助于新型的安全设备。这些安全设备能够通过简单的配置和管理，以较底维护成本为用户提供一个高级别保护的“安全岛”。统一威胁管理(UTM)的概念就是应这一需求产生的。

UTM的　定　义 UTM（Unified Threat Management）是英文“统一威胁管理”的缩写, 美国著名的IDC对统一威胁管理（UTM）安全设备的定义是：由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。这和单纯地在防火墙中整合其它安全功能不同，因为UTM更注重的是“对设备和对威胁的管理”，它致力于将各种各样的网络安全威胁消弥于无形之中，以达到防患于未然的终极目标。它对于终端普通消费者来说是透明的，而这正是目前的消费市场所期望的。

UTM的　功　能 UTM设备应该具备的基本功能包括：网络防火墙、网络入侵检测／防御和网关防病毒功能。这几项功能并不一定要同时都得到使用，但它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它功能特性，例如安全管理、日志、策略管理、服务质量（QoS）、负载均衡（LB）、高可用性（HA）和报告带宽管理等。不过，其它特性通常都是为主要的安全功能服务的。

UTM的　功　能（续） UTM系统平台的综合功能

UTM的　特　征（８个） 1　深度检测　用户需要基于深度数据包检测（DPI）的防火墙。基于状态数据包检测（SPI）的防火墙仅能够处理来自互联网威胁的2%。 2　个体差异　所有的UTM防火墙并非都是一样的，当然不同的深度数据包检测防火墙也有所不同，有些就不能高效地处理大流量和大尺寸文件。 3　动态更新为使所采用的安全技术能够满足未来要求，必须采用动态保护。可动态连续更新的安全设备正在成为事实上的行业标准。 4　高度集成高度集成的设备是关键。部署分离的设备和技术也可获得某种形式的统一威胁管理，但在管理和维护方面的成本却翻了几翻，并且实施的成本也非常高昂。在当前情况下，这种点式解决方案的成本高昂又难于管理。

UTM的　特　征（续） 5　网络全协议层防御　防火墙仅作为简单的二到四层的防护。防火墙主要是针对一些像IP、端口等这样一些静态的信息进行防护和控制，但真正的安全不能只停留在底层，需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还要对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测和治理的效果，能够实现七层协议保护，而不仅局限于二到四层。 6　有高检测技术来降低误报作为一个串联接入的网关设备，一旦误报过高，对用户来说是一个灾难性的后果。IPS这个理念在九十年代就已经提出来，但是从目前全世界对IPS的部署情况看，非常有限，影响部署的一个最大问题就是误报率。而采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件的攻击、防违规短信攻击等，有效整合可降低误报率。

UTM的　特　征（续） 7 有高可靠、高性能的硬件平台支撑　对于UTM时代的防火墙，在保障网络安全的同时，也不能成为网络应用的瓶颈，防火墙/UTM必须以高性能、高可靠性的专用芯片及专用硬件平台为支撑，以避免UTM设备在复杂环境下其可靠性和性能不佳可能带来的对用户核心业务正常运行的威胁。 8 UTM一体化的统一管理由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。

UTM的典型技术（5个） １完全性内容保护（CCP）　完全性内容保护(Complete Content Protection, 简称CCP)提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其它各种威胁，包括不良 Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。２ ASIC加速技术 ASIC芯片是UTM产品的一个关键组成部分。它是为提供千兆级实时的应用层安全服务的平台，它是专门为网络骨干和边界上高性能内容处理设计的体系结构所必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。

UTM的典型技术（续） ３定制的操作系统（OS）　专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平　　　　　　　　　　　　台。基于内容处理加速模块的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。４紧密型模式识别语言 (CPRL) 紧密型模式识别语言（Compact Patten Recognition Language, 简称CPRL）是针对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新的安全算法包括基于行为的启发式算法。通过硬件与软件的结合，加上智能型检测方法，识别的效率得以提高。

UTM的典型技术（续） ５动态威胁管理检测技术　动态威胁防御系统（Dynamic Threat Prevention System, 简称DTPS）是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起，将其中的攻击信息相互关联和共享，以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起，跟踪每一安全环节的检测活动，并通过启发式扫描和异常检测引擎检查，提高整个系统的检测精确度。

UTM的典型技术（续） 动态威胁防御系统的体系结构

UTM的　优　势（10点） 1 能够防御混合型攻击： UTM设备将防病毒和入侵检测功能融合于防火墙之中，成为防御混合型攻击的利剑。混合型的攻击可能攻破单点型的安全方案，但却很可能在统一安全方案面前败下阵来。 2 降低了复杂性：一体化的设计简化了产品选择、集成和支持服务的工作量。简单的使用、方便的安装是威胁管理安全设备最关键的优点。对于没有专业信息安全人员及技术力量相对薄弱的组织来说，使用UTM产品可以提高这些组织应用信息安全设施的质量。

UTM的　优　势（续） 3 避免了软件安装工作和服务器的增加：安全服务商、产品经销商甚至最终用户通常都能很容易的安装和维护这些设备，而且这一过程还可以远程操作进行。 4 减少了维护量：这些设备通常都是即插即用的黑盒子，相关的安装、维护工作量会减少。如果出现问题，可以直接通过设备替换来解决问题。 5 可以和高端软件解决方案协同工作：当硬件设备安装在企业没有专业安全管理人员的远程地点，由于设备可以很容易的安装并通过远程遥控来管理它，这种管理方式可以很好的和已安装的大型集中式的软件防火墙协同工作。

UTM的　优　势（续） 6 避免误操作风险：用户通常都倾向于尝试各种操作，而安全设备的“黑盒子”设计限制了用户危险操作的可能，降低了误操作隐患，提高了安全性。 7 更容易的排错：当一台设备出现故障之后，即使是一个非专业人员也可以很容易的用另外一台设备替换它，使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。 8 应用的灵活性： UTM 设备能为用户定制安全策略，提供灵活性。用户既可以使用UTM的全部功能，也可酌情使用最需要的某一特定功能。

UTM的　优　势（续） 9 集中的安全日志管理： UTM设备能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。 10 整合带来成本降低：将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。有关人士做过一个估算：传统百兆防火墙价格7～8万元，如果加上防毒、防垃圾邮件等安全产品，总成本在30万左右。而购买UTM产品，价格仅10万元左右。

UTM目前存在的问题（4点） 1 性能　　　由于UTM自身的检测是多方面的，而且这些检测结果还要用于阻断/通行的判断。因此，目前UTM设备的HA能力普遍要弱于防火墙和路由器。 2 稳定性对于安全设备来说，稳定性是尤其重要的。即使可以通过设计上的提高增强设备的稳定性，在目前条件固定的情况下，UTM安全设备的稳定性相对于单功能的安全设备仍然要低一些，也就是说UTM安全设备的稳定性要求更难达成。 3 安全性 UTM将所有的安全功能置于一台设备之内，使得UTM可能会成为网络中的单点故障。一旦UTM安全设备出现问题，所有的安全防御措施将陷入停顿；而一旦UTM安全设备被成功侵入或突破，整个网络也将被赤裸裸地暴露在打击之下。 4 UTM其中的单个安全功能也许不是同类功能中最好的

UTM 的适用场合 对UTM的功能特点、自身限制等方面进行综合分析，可以发现UTM的主要适用者应当就是：中小企业、中小办公用户以及多分支机构。随着性能的提高，大型企业甚至服务提供商也开始部署 UTM设备，教育、金融和电信等行业需求明确。大型企业和行业应用是UTM市场潜力巨大的一大领域，在目前UTM技术应用中，金融和电信占整个市场份额的40～50%，烟草、石油及石化等行业市场开发潜力不可低估。

UTM 厂商 国内厂商:有深信服、联想网御、华为3Com、启明星辰等。国外厂商：有4家比较领先 ◆WatchGuard：据调查，2005年第二季度，WatchGuard已经成为全球中端统一威胁管理（UTM）安全设备市场的领导厂商，设备销量高居榜首。 ◆Fortinet：Fortinet以基于ASIC芯片加速防病毒的UTM设备在2003年获得了3090万美元的销售额，以29.5%的份额领先于全球UTM市场。 ◆Symantec：Symantec是领先的软件安全供应商，在2003年以2400万美元的销售额占据UTM市场第二位，市场占有率为22.9%。 ◆Secure Computing：Secure Computing是从软件厂商转变为硬件设备厂商的，以2280万美元的销售额排名第三，市场占有率为21.7%。

UTM 产品 1 WatchGuard 产品： WatchGuard的产品集成了强大的垃圾邮件过滤和多层反间谍软件保护功能，可保护客户网络免受间谍软件导致的系统死机、身份盗用、企业数据丢失等威胁，提供超越典型统一威胁管理设备的更有效的安全保护。 2 Fortinet 产品： Fortinet的产品在软件设计上采用冗余方式，多进程相互监测，发现 UTM设备出现问题能够自动重起。为了避免可能发生的单点故障，Fortinet 还提供了FortiBridge这样的穿透式设备(在断电时自动变为旁路式)，它采用 “失效开放”架构，能够发送真实的包，通过监测协议来判断UTM设备的运行状态，如果发现UTM设备不能工作，FortiBridge可把业务流量接管过来，维持网络畅通。

UTM 的一个典型应用解决方案 现结合国内某著名大型能源企业的案例，来介绍UTM设备在网络安全保护中的作用和特点。 ★用户需求分析目前某大型能源企业广域网呈星形分布，以北京为中心，通过专线方式与全国十个区域网络中心相连，各区域中心直接连接地区分公司。广域网IP地址采用保留地址10.x.x.x。地址段由总部统一分配，各地区公司内部的地址由各自分配。总部和各区域网络中心有独立的Internet入口，均可通过当地的ISP直接接入Internet，出口带宽根据网络规模从10M到100M不等。由于业务关系，该企业用户经常出差进行远程办公，需要通过Internet访问企业内网资源，从企业广域网实际情况来看，应从以下方面对安全进行分析：

UTM 的一个典型应用解决方案（续） 1 链路层用户通过Internet访问内网资源，黑客可能在公网链路上使用网络嗅探器窃取用户的机密信息。 2 网络层由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。尤其在Internet中存在着大量的黑客攻击，他们常常针对Web服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见的手法包括IP欺骗、重放或重演、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等。

UTM 的一个典型应用解决方案（续） 3 应用层网络中运行着不同的操作系统，这些系统都或多或少地存在着各种各样的漏洞。一名黑客可以通过缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。企业广域网与Internet相连，进行着包括WEB、FTP、E-mail、DNS等各种Internet应用。黑客往往抓住一些应用服务的缺陷和弱点对其进行攻击。应用层的安全威胁还包括对各种不良网络内容的访问，例如内网用户访问非法或不良网站。每天发送的大量垃圾邮件也占用了大量的系统资源和网络带宽，还可能将病毒传入内网。近几年泛滥成灾的网络蠕虫病毒的传播也会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。

UTM 的一个典型应用解决方案（续） ★ 产品选择从用户的安全威胁分析我们可以看出，传统的网络层防火墙只能针对IP地址、端口等参数对网络流量进行过滤，对应用层的安全威胁的防御能力很有限。复杂的网络入侵、病毒、不良内容、垃圾邮件等可以轻易的穿越传统防火墙进入用户内网。需要使用集成多种安全功能的综合安全产品来保护用户的网络。统一威胁管理（UTM）设备是集防火墙、防病毒、入侵检测、VPN等多项功能于一身的安全产品，能给用户提供最全面的安全保护。要完全过滤应用层安全威胁（病毒、不良内容等），就必须在安全设备上对网络数据包进行缓存和重组，然后调用各个安全扫描引擎（如防病毒、入侵检测、内容检查等）进行扫描，这些工作对于系统性能的要求非常高。

UTM 的一个典型应用解决方案（续） ★ 产品选择使用软件方式来实现统一威胁管理（UTM）的产品往往由于性能上的瓶颈大大降低了网络传输速度，因此在高带宽网络中的实用性不强。而Fortinet公司的FortiGate系列是业界唯一集防火墙、防病毒、入侵防御(IPS)、VPN和内容过滤、反垃圾邮件等多项功能于一身的统一威胁管理（UTM）设备，可对进出企业网络的流量进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。自主研发的ASIC芯片硬件处理方式大大提升了UTM产品的性能，在几乎不影响网络速度的情况下提供千兆级的内容处理能力，适合各种规模企业的安全应用需求。

UTM 的一个典型应用解决方案（续） ★ 方案介绍某大型企业网络安全解决方案示意图

UTM 的一个典型应用解决方案（续） ★ 方案介绍如上图，首先在企业总部出口处部署2台FortiGate-3000，配置成负载均衡式HA结构。负载均衡式HA不但可以提供网络的高可靠性，在两台设备同时工作时还可提供约2倍于单台设备的性能，为企业出口安全过滤提供足够的性能。同样,在每个区域网络中心与Internet之间各部署1台FortiGate- 3000，提供与总部同样的安全功能。出于网络高可用性的考虑，并考虑到用户的成本问题，在每个区域网络中心部署1台FortiGate- 400，进行冷备份。企业对外服务的服务器放置在FortiGate的DMZ 区中，使得整个网络区域划分更加清晰，安全级别更高。

UTM 的一个典型应用解决方案（续） ★ 技术特色 1 该系统提供从网络层到应用层的全面安全保护，可提供防火墙、防病毒、入侵防御、VPN、WEB过滤、反垃圾邮件等多项安全功能； 2 各安全功能无缝结合，复杂的混合型攻击也无处藏身； 3 基于ASIC芯片的硬件扫描可以提供极高的处理性能； 4 维护开销小，总体成本低。

UTM 的发展趋势 UTM设备虽然集成包括防火墙、VPN、IDS/IPS、内容过滤等多种技术于一体，但由于目前的UTM厂家没有能力掌握全部技术，往往在一种核心技术的基础上加入其他技术，从而衍生出来 UTM。因此就出现了UTM产品以什么为核心的纷争。目前来看， UTM设备主要有三种出身：一种是从防火墙技术衍生出来的，一种是从防病毒技术衍生出来的，还有一种是从入侵检测/保护技术衍生出来的。从发展趋势看，未来将不存在防火墙、防病毒、入侵检测技术等谁为核心的问题，因为如果基于某个功能模块发展起来的UTM 产品，没有充分考虑到技术的深度融合，只是一味地将很多功能 “简单叠加”到一起，其结果将直接影响UTM系统效率，造成整体性能下降，甚至整个设备的不可用。所以说UTM设备中各种技术的“无缝集成”“深度融合”才是大势所趋。

小结 统一威胁管理(UTM)是一种理念的改变，是新技术的挖掘和集成，是接受市场需求挑战的主动迎战。目前，UTM 产品尚处于发展阶段，但相信随着技术的进一步发展和应用的进一步增加，UTM产品会有良好的发展前途，UTM的春天很快就会到来！

放松一下吧！ 8分钟感动您的心灵！

UTM : 统一威胁管理技术

UTM : 统一威胁管理技术

Presentation Transcript