摘要：国外的UTM技术和设备早在2002年就已经出现，这得益于国外市场的需求和企业对网络安全的重视，导致UTM蓬勃发展，以每年翻倍的速度迅速成为网络安全建设必备的主流设备，使用量已排在各类安全设备的榜首。目前UTM已经替代了传统的防火墙，成为主要的网络边界安全防护设备，大大提高了网络抵御外来威胁的能力。

第1页:解析UTM技术精髓 第2页:解析UTM技术精髓

UTM出现的背景
　　
随着各行业信息化进程的深入，网络边界安全正在进入一个全新的发展阶段。目前，各种威胁逐步呈现出网络化和复杂化的态势，威胁对象由主机资源转变为网络资源、数量呈现爆炸式增长、形式多种多样，混合型攻击层出不穷。尤其在网络边界，遇到了很多的麻烦，例如：通过系统漏洞自动攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等。在网络边界位置，传统的防护设备——防火墙主要工作在网络层，实现基于端口和IP地址的访问控制，而面对越来越多的蠕虫、木马等应用层的威胁便日益显得无能为力。威胁的不断智能化也需要防护设备加强智能化，而且为了在网络边界构筑起强有力的安全防线，实现对各层面威胁的有效防御，UTM（Unified Threaten Management）（统一威胁管理）的设备便应运而生。

其实，UTM的出现始于一些中小企业用户缺乏安全技术人员，希望以在网关处的一个硬件设备一揽子解决所有的安全问题。随着网络威胁的急剧增大，使得UTM技术也有了更进一步的发展，除了传统的企业内部部门、网络节点、远程办公处，一些高端UTM设备也逐渐向大型企业的中高端应用进发。

网络威胁特点

随着网络中的应用越来越复杂，安全问题以出人意料的速度增长，并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结，可以看出三个显著特点：

第一：攻击手段多样化，以网络病毒为例，从震荡波、冲击波，还有QQ病毒，可以看出现在的网络攻击手段中，既包括病毒攻击，也包括隐含通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。

第二：每一次攻击经常是多种手段并用，混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中，既包括病毒攻击、黑客攻击，也包括隐通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式，如伊拉克战争期间流行的“爱情后门变种”病毒，集蠕虫、后门、黑客三者功能于一身，给互联网造成了巨大的破坏。

第三：攻击手段更新速度前所未有的快，业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后，当天或更准确的定义是在24小时内，立即被恶意利用，出现对该漏洞的攻击方法或攻击行为，而同时并未有对应的防御工具被开发出来，那么该漏洞被称为“零日漏洞”，该攻击被称为“零日攻击”。

基于以上三方面对攻击多样化和融合特点的总结，可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态，无法很好的实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品，这些产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是，企业的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。

可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题，如何使复杂变成简单，成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的，它的定义是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中，实现防御一体化，这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此，全面的立体防御是UTM存在的理由，更是UTM发展的方向，那么UTM所保护的网络将面临哪些威胁，或者说UTM应该提供哪些安全能力呢?

网络边界所面临的威胁

我们需要分析一下网络边界所面临的威胁，根据互联网协议的五层结构，我们可以归纳各类威。

数据链路层

拒绝服务：网络设备或者终端均需具有相邻设备的硬件地址信息表格。一个典型的网络侵入者会向该交换机提供大量的无效MAC源地址，直到硬件地址表格被添满。当这种情况发生的时候，设备将不能够获得正确的硬件地址，而无法进行正常的网络通讯。

地址欺骗：在进行MAC欺骗攻击的过程中，已知某主机的MAC地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了目标设备硬件地址表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。

网络层

拒绝服务：网络层的拒绝服务攻击以网络资源消耗为目的，它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗，使合法用户得不到应有的资源。典型的如Ping flood和Smurf攻击，一旦攻击成功实施，网络出口带宽甚至是整个局域网中将充斥这些非法报文，网络中的设备将无法进行正常通讯。

地址欺骗：同链路层的地址欺骗目的是一样的，IP地址欺骗同样是为了获得目标设备的信任，它利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部主机，使网络设备或者安全设备误以为是可信报文而允许其通过。

非授权访问：是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问，对于一个脆弱的信息系统，这种威胁是最常见的。