utm : 统一威胁管理技术

UTMUTM:: 统一威胁管理技术统一威胁管理技术

主讲张潇依主讲张潇依2007 2007 年年 6 6 月月 20 20 日日

哈尔滨理工大学网络信息中心

主　讲　内　容主　讲　内　容 1 UTM 提出的背景、定义、功能及特征

2 UTM 的典型技术

3 UTM 的优势及目前存在的问题

4 UTM 的适用场合、厂商及产品

5 UTM 的一个典型应用解决方案

6 UTM 的发展趋势

7 小结　　

UTM UTM 提出的背景提出的背景 ◆ 随着网络的日益发展和繁多的应用软件的不断更新，使得“复

杂性”已成为企业 IT 管理部门工作的代名词。 IT 管理者不得不

面对日益增长的网络攻击，这些网络攻击方式已从传统的简单网

络层数据攻击升级到多层次的混合型攻击。新兴的混合型攻击通

过组合多种威胁方法加大了危害的严重性，它将数种独立的病毒

结合起来，通过极度难以防犯的攻击渠道进行传播和实施攻击。

因此 IT 管理者不得不付出更多的维护成本来管理自己的网络，

而随着网络安全设备的增加，在一台机器设备上投入的人力物力

必然同等地 N 倍放大，这使得网络安全维护成本也必然同期膨胀，

与此同时 IT 管理者也深刻感受到分散安全机制所带来的管理不

便。

UTM UTM 提出的背景（续）提出的背景（续） ◆ 而传统安全方法却正在失效。如今最流行的传统安全产品是状

态检测防火墙、入侵检测系统和基于主机的防病毒软件。但它们面对新一代安全威胁作用却越来越小。

1 从用户角度来说，虽然安装了防火墙，但是还避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。此外，基于网络传播的病毒、带有黑客程序的木马和间谍软件等都是混合型的安全威胁，传统的防火墙设备已经不能满足防范的需求。另外传统防火墙的问题还在于黑客已研究出大量方法来绕过防火墙策略。

2 从未大规模部署的入侵检测单个产品来看，在提前预警方面存在着先天的不足，且精确定位和全局管理方面还有很大的空间。

UTM UTM 提出的背景（续）提出的背景（续） 3 虽然很多用户在单机、终端都安装了防病毒产品，但是内网

的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外

来非法侵入、补丁管理以及合规管理等方面。

所以说，虽然传统安全方法已经立下了赫赫战功，并且

仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。

◆ 由此看来，为了有效地防御目前的混合型威胁，就需要求

助于新型的安全设备。这些安全设备能够通过简单的配置和管

理，以较底维护成本为用户提供一个高级别保护的“安全岛”。

统一威胁管理 (UTM)的概念就是应这一需求产生的。

UTMUTM 　　的　定　义的　定　义　　　 UTM （ Unified Threat Management ）是英文“统一威胁

管理”的缩写 , 美国著名的 IDC 对统一威胁管理（ UTM ）安

全设备的定义是：由硬件、软件和网络技术组成的具有专门用途

的设备，它主要提供一项或多项安全功能。它将多种安全特性集

成于一个硬设备里 ,构成一个标准的统一管理平台。这和单纯地

在防火墙中整合其它安全功能不同，因为 UTM 更注重的是“对

设备和对威胁的管理”，它致力于将各种各样的网络安全威胁消

弥于无形之中，以达到防患于未然的终极目标。它对于终端普通

消费者来说是透明的，而这正是目前的消费市场所期望的。

UTMUTM 　　的　功　能的　功　能　　　　 UTM 设备应该具备的基本功能包括：网络防火墙、

网络入侵检测／防御和网关防病毒功能。这几项功能并

不一定要同时都得到使用，但它们应该是 UTM 设备自

身固有的功能。 UTM 安全设备也可能包括其它功能特

性，例如安全管理、日志、策略管理、服务质量（ Qo

S ）、负载均衡（ LB ）、高可用性（ HA ）和报告带

宽管理等。不过，其它特性通常都是为主要的安全功

能服务的。

UTMUTM 　　的　功　能（续）的　功　能（续）　　　　

UTM 系统平台的综合功能

UTMUTM 　　的　特　征的　特　征（８个）（８个）1 　深度检测　用户需要基于深度数据包检测（ DPI ）的防火墙。基于状态数据包检测

（ SPI ）的防火墙仅能够处理来自互联网威胁的 2%。2　个体差异　所有的 UTM 防火墙并非都是一样的，当然不同的深度数据包检测防火墙

也有所不同，有些就不能高效地处理大流量和大尺寸文件。 3　动态更新为使所采用的安全技术能够满足未来要求，必须采用动态保护。可动态

连续更新的安全设备正在成为事实上的行业标准。4　高度集成高度集成的设备是关键。部署分离的设备和技术也可获得某种形式的统

一威胁管理，但在管理和维护方面的成本却翻了几翻，并且实施的成本也非常高昂。在当前情况下，这种点式解决方案的成本高昂又难于管理。

UTMUTM 　　的　特　征的　特　征（续）（续）5 　网络全协议层防御　防火墙仅作为简单的二到四层的防护。防火墙主要是针对一些像 IP 、端口等这样一些静态的信息进行防护和控制，但真正的安全不能只停留在底层，需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还要对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测和治理的效果，能够实现七层协议保护，而不仅局限于二到四层。

6　有高检测技术来降低误报作为一个串联接入的网关设备，一旦误报过高，对用户来说是一个灾难

性的后果。 IPS 这个理念在九十年代就已经提出来，但是从目前全世界对IPS 的部署情况看，非常有限，影响部署的一个最大问题就是误报率。而采用高技术门槛的分类检测技术可以大幅度降低误报率，因此，针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件的攻击、防违规短信攻击等，有效整合可降低误报率。

UTMUTM 　　的　特　征的　特　征（续）（续）7 有高可靠、高性能的硬件平台支撑　对于 UTM 时代的防火墙，在保障网络安全的同时，也不能

成为网络应用的瓶颈，防火墙 /UTM 必须以高性能、高可靠性的专用芯片及专用硬件平台为支撑，以避免 UTM

设备在复杂环境下其可靠性和性能不佳可能带来的对用户核心业

务正常运行的威胁。8 UTM 一体化的统一管理由于 UTM 设备集多种功能于一身，因此，它必须具有能够

统一控制和管理的平台，使用户能够有效地管理。

UTMUTM 的典型技术（的典型技术（ 55个）个）　　

１完全性内容保护（ CCP ）　完全性内容保护 (Complete Content Protection, 简称 CCP)提供对 OSI

网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。 CCP 还可探测其它各种威胁，包括不良

Web 内容、垃圾邮件、间谍软件和网络钓鱼欺骗。２ ASIC 加速技术　 ASIC芯片是 UTM 产品的一个关键组成部分。它是为提供千兆级实时的

应用层安全服务的平台，它是专门为网络骨干和边界上高性能内容处理设计的体系结构所必不可少的。 ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密 /解密，特征匹配和启发式数

据包扫描，以及流量整形的加速功能。

UTMUTM 的典型技术（续）的典型技术（续）３定制的操作系统（ OS ）

　专用的强化安全的 OS 提供精简的、高性能防火墙和内容安全检测平　

　　　　　　　　　　　台。基于内容处理加速模块的硬件

加速，加上智能排队和管道管理， OS 使各种类型流量的处理时间达到

最小，从而给用户提供最好的实时系统，有效实现防病毒、防火墙、

VPN 、反垃圾邮件、 IDP 等功能。

４紧密型模式识别语言 (CPRL)

紧密型模式识别语言（ Compact Patten Recognition Language, 简称

CPRL ）是针对完全的内容防护中大量计算程式所需求的加速而设计

的。状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新

的安全算法包括基于行为的启发式算法。通过硬件与软件的结合，加

上智能型检测方法，识别的效率得以提高。

UTMUTM 的典型技术（续）的典型技术（续）５动态威胁管理检测技术

　动态威胁防御系统（ Dynamic Threat Prevention Syst

em, 简称 DTPS ）是由针对已知和未知威胁而增强检

测能力的技术。 DTPS 将防病毒、 IDS 、 IPS 和防火墙

等各种安全模块无缝集成在一起，将其中的攻击信息相

互关联和共享，以识别可疑的恶意流量特征。 DTPS 通

过将各种检测过程关联在一起，跟踪每一安全环节的检

测活动，并通过启发式扫描和异常检测引擎检查，提高

整个系统的检测精确度。

UTMUTM 的典型技术（续）的典型技术（续）

动态威胁防御系统的体系结构

UTMUTM 　　的　优　势（的　优　势（ 1010点）点） 1 能够防御混合型攻击：

UTM 设备将防病毒和入侵检测功能融合于防火墙之中，成为防

御混合型攻击的利剑。混合型的攻击可能攻破单点型的安

全方

案，但却很可能在统一安全方案面前败下阵来。

2 降低了复杂性：

一体化的设计简化了产品选择、集成和支持服务的工作量。简单

的使用、方便的安装是威胁管理安全设备最关键的优点。对于没

有专业信息安全人员及技术力量相对薄弱的组织来说，使用 UT

M 产品可以提高这些组织应用信息安全设施的质量。

UTMUTM 　　的　优　势（续）的　优　势（续） 3 避免了软件安装工作和服务器的增加：

安全服务商、产品经销商甚至最终用户通常都能很容易的安装和

维护这些设备，而且这一过程还可以远程操作进行。

4 减少了维护量：

这些设备通常都是即插即用的黑盒子，相关的安装、维护工作量

会减少。如果出现问题，可以直接通过设备替换来解决问题。

5 可以和高端软件解决方案协同工作：

当硬件设备安装在企业没有专业安全管理人员的远程地点，由于

设备可以很容易的安装并通过远程遥控来管理它，这种管理方式

可以很好的和已安装的大型集中式的软件防火墙协同工作。

UTMUTM 　　的　优　势（续）的　优　势（续） 6 避免误操作风险：

用户通常都倾向于尝试各种操作，而安全设备的“黑盒子”设计

限制了用户危险操作的可能，降低了误操作隐患，提高了安全性。

7 更容易的排错：

当一台设备出现故障之后，即使是一个非专业人员也可以很容易

的用另外一台设备替换它，使网络尽快恢复正常。这项特性对于

那些没有专职技术人员的远程办公室显得尤为重要。

8 应用的灵活性：

UTM 设备能为用户定制安全策略，提供灵活性。用户既可以使

用 UTM 的全部功能，也可酌情使用最需要的某一特定功能。

UTMUTM 　　的　优　势（续）的　优　势（续） 9 集中的安全日志管理：

UTM 设备能提供全面的管理、报告和日志平台，用户可以统

一地管理全部安全特性，包括特征库更新和日志报告等。

10 整合带来成本降低：

将多种安全功能整合在同一产品当中能够让这些功能组成统一

的整体发挥作用，相比于单个功能的累加功效更强，颇有一加

一大于二的意味。有关人士做过一个估算：传统百兆防火墙价

格 7～ 8万元，如果加上防毒、防垃圾邮件等安全产品，总成

本在 30万左右。而购买 UTM 产品，价格仅 10万元左右。

UTMUTM 目前存在的问题（目前存在的问题（ 44点）点）1 性能　　　由于 UTM 自身的检测是多方面的，而且这些检测结果还要用于阻断 /通

行的判断。因此，目前 UTM 设备的 HA 能力普遍要弱于防火墙和路由器。

2 稳定性

对于安全设备来说，稳定性是尤其重要的。即使可以通过设计上的提高增强

设备的稳定性，在目前条件固定的情况下， UTM 安全设备的稳定性相对于单功

能的安全设备仍然要低一些，也就是说 UTM 安全设备的稳定性要求更难达成。

3 安全性 UTM 将所有的安全功能置于一台设备之内，使得 UTM可能会成为网络中的单点故障。一旦 UTM 安全设备出现问题，所有的安全防御措施将陷入停顿；而一旦 UTM 安全设备被成功侵入或突破，整个网络也将被赤裸裸地暴露在打击之下。4 UTM其中的单个安全功能也许不是同类功能中最好的

　

UTM UTM 的适用场合的适用场合对 UTM 的功能特点、自身限制等方面进行综合分

析，可以发现 UTM 的主要适用者应当就是：中小企业、中

小办公用户以及多分支机构。

随着性能的提高，大型企业甚至服务提供商也开始部署

UTM 设备，教育、金融和电信等行业需求明确。大型企业和

行业应用是 UTM市场潜力巨大的一大领域，在目前 UTM 技

术

应用中，金融和电信占整个市场份额的 40～ 50%，烟草、石

油

及石化等行业市场开发潜力不可低估。

UTM UTM 厂商厂商国内厂商 :有深信服、联想网御、华为 3Com 、启明星辰等。国外厂商：有 4家比较领先

◆WatchGuard：据调查， 2005 年第二季度， WatchGuard 已经成为全球中端统一威胁管理（ UTM ）安全设备市场的领导厂商，设备销量高居榜首。

◆Fortinet： Fortinet 以基于 ASIC芯片加速防病毒的 UTM 设备在 2003年获得了 3090万美元的销售额，以 29.5%的份额领先于全球 UTM市场。

◆Symantec： Symantec 是领先的软件安全供应商，在 2003 年以 2400万美元的销售额占据 UTM市场第二位，市场占有率为 22.9%。

◆Secure Computing： Secure Computing 是从软件厂商转变为硬件设备厂商的，以 2280万美元的销售额排名第三，市场占有率为 21.7%。

UTM UTM 产品产品 1 WatchGuard 产品：

WatchGuard 的产品集成了强大的垃圾邮件过滤和多层反间谍软件保护

功能，可保护客户网络免受间谍软件导致的系统死机、身份盗用、企业数据

丢失等威胁，提供超越典型统一威胁管理设备的更有效的安全保护。

2 Fortinet 产品：

Fortinet 的产品在软件设计上采用冗余方式，多进程相互监测，发现

UTM 设备出现问题能够自动重起。为了避免可能发生的单点故障， Fortinet

还提供了 FortiBridge 这样的穿透式设备 (在断电时自动变为旁路式 )，它采

用

“失效开放”架构，能够发送真实的包，通过监测协议来判断 UTM 设备的运

行

状态，如果发现 UTM 设备不能工作， FortiBridge可把业务流量接管过来，维

持网络畅通。

UTM UTM 的的一个典型应用解决方一个典型应用解决方案案

现结合国内某著名大型能源企业的案例，来介绍 UTM 设备在网络安全保护中的作用和特点。

★ 用户需求分析目前某大型能源企业广域网呈星形分布，以北京为中心，通过专线方式与全国十个区域网络中心相连，各区域中心直接连接地区分公司。广域网 IP 地址采用保留地址 10.x.x.x 。地址段由总部统

一分配，各地区公司内部的地址由各自分配。总部和各区域网络中心有独立的 Internet 入口，均可通过当地的 ISP直接接入 Internet ，

出口带宽根据网络规模从 10M 到 100M 不等。由于业务关系，该企业用户经常出差进行远程办公，需要通过 Internet访问企业内网资源，从企业广域网实际情况来看，应从以下方面对安全进行分析：

UTM UTM 的的一个典型应用解决方案一个典型应用解决方案（续）（续）

1 链路层

用户通过 Internet访问内网资源，黑客可能在公网链路上使用网

络嗅探器窃取用户的机密信息。

2 网络层

由于大型网络系统内运行的 TCP/IP协议并非专为安全通讯而设

计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到

来自网络外部和内部的双重威胁。尤其在 Internet 中存在着大量

的黑客攻击，他们常常针对 Web服务器和邮件服务器作为突破

口，进行网络攻击和渗透。常见的手法包括 IP欺骗、重放或重

演、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等。


3 应用层网络中运行着不同的操作系统，这些系统都或多或少地存在着各种各样的漏洞。一名黑客可以通过缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。企业广域网与 Inte

rnet相连，进行着包括WEB 、 FTP 、 E-mail 、 DNS 等各种Internet 应用。黑客往往抓住一些应用服务的缺陷和弱点对其进行攻击。应用层的安全威胁还包括对各种不良网络内容的访问，例如内网用户访问非法或不良网站。每天发送的大量垃圾邮件也占用了大量的系统资源和网络带宽，还可能将病毒传入内网。近几年泛滥成灾的网络蠕虫病毒的传播也会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（ DoS ）。

UTM UTM 的的一个典型应用解决方案一个典型应用解决方案（续）（续）★ 产品选择

从用户的安全威胁分析我们可以看出，传统的网络层防火墙只能针对 IP 地址、端口等参数对网络流量进行过滤，对应用层的安全威胁的防御能力很有限。复杂的网络入侵、病毒、不良内容、垃圾邮件等可以轻易的穿越传统防火墙进入用户内网。需要使用集成多种安全功能的综合安全产品来保护用户的网络。统一威胁管理（ UTM ）设备是集防火墙、防病毒、入侵检测、 VPN等多项功能于一身的安全产品，能给用户提供最全面的安全保护。要完全过滤应用层安全威胁（病毒、不良内容等），就必须在安全设备上对网络数据包进行缓存和重组，然后调用各个安全扫描引擎（如防病毒、入侵检测、内容检查等）进行扫描，这些工作对于系统性能的要求非常高。


★ 产品选择使用软件方式来实现统一威胁管理（ UTM ）的产品往往由于性能上的瓶颈大大降低了网络传输速度，因此在高带宽网络中的实用性不强。而 Fortinet公司的 FortiGate 系列是业界唯一集防火墙、防病毒、入侵防御(IPS)、 VPN 和内容过滤、反垃圾邮件等多项功能于一身的统一威胁管理（ UTM ）设备，可对进出企业网络的流量进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。自主研发的 ASIC芯片硬件处理方式大大提升了 UTM 产品的性能，在几乎不影响网络速度的情况下提供千兆级的内容处理能力，适合各种规模企业的安全应用需求。

UTM UTM 的的一个典型应用解决方案一个典型应用解决方案（续）（续）★ 方案介绍

某大型企业网络安全解决方案示意图


★ 方案介绍

如上图，首先在企业总部出口处部署 2台 FortiGate-3000，配置

成负载均衡式 HA 结构。负载均衡式 HA 不但可以提供网络的高可靠

性，在两台设备同时工作时还可提供约 2倍于单台设备的性能，为

企业出口安全过滤提供足够的性能。

同样,在每个区域网络中心与 Internet之间各部署 1台 FortiGate-

3000，提供与总部同样的安全功能。出于网络高可用性的考虑，并

考虑到用户的成本问题，在每个区域网络中心部署 1台 FortiGate-

400，进行冷备份。企业对外服务的服务器放置在 FortiGate 的 DMZ

区中，使得整个网络区域划分更加清晰，安全级别更高。


★ 技术特色

1 该系统提供从网络层到应用层的全面安全保护，可提供

防火墙、防病毒、入侵防御、 VPN 、 WEB 过滤、反

垃

圾邮件等多项安全功能；

2 各安全功能无缝结合，复杂的混合型攻击也无处藏身；

3 基于 ASIC芯片的硬件扫描可以提供极高的处理性能；

4 维护开销小，总体成本低。

UTM UTM 的发展趋势的发展趋势 UTM 设备虽然集成包括防火墙、 VPN 、 IDS/IPS 、内容过滤等多种技术于一体，但由于目前的 UTM 厂家没有能力掌握全部技术，往往在一种核心技术的基础上加入其他技术，从而衍生出来UTM 。因此就出现了 UTM 产品以什么为核心的纷争。目前来看，UTM 设备主要有三种出身：一种是从防火墙技术衍生出来的，一种是从防病毒技术衍生出来的，还有一种是从入侵检测 / 保护技术衍生出来的。从发展趋势看，未来将不存在防火墙、防病毒、入侵检测技术等谁为核心的问题，因为如果基于某个功能模块发展起来的 UTM

产品，没有充分考虑到技术的深度融合，只是一味地将很多功能“简单叠加”到一起，其结果将直接影响 UTM 系统效率，造成整体性能下降，甚至整个设备的不可用。所以说 UTM 设备中各种技术的“无缝集成” “深度融合”才是大势所趋。

小结小结统一威胁管理 (UTM)是一种理念的改变，

是新技术的挖掘和集成，是接受市场需求挑战的

主动迎战。目前， UTM 产品尚处于发展阶段，

但相信随着技术的进一步发展和应用的进一步增

加， UTM 产品会有良好的发展前途， UTM 的

春

天很快就会到来！

utm : 统一威胁管理技术

Documents