统一威胁管理 UTM整合网络安全

有些网络管理人员，尤其是中小规模的区域网络管理人员，认为UTM是能够解决网络安全问题的灵丹妙药，但是也有一些人对此不是很理解。　　

UTM的定义

“UTM”一词首先出现在2003年IDC(Internet Data Center，互联网数据中心)的研究报告中。;IDC;报告中将UTM定义为，包括“firewall, intrusion detection and prevention, and gateway anti-virus”的设备，即这类设备内含防火墙、入侵检测与防护、网关防病毒。此概念一出，引起了网络界高度重视，推动了以整合式安全设备为代表的市场细分的诞生。

IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬件设备里，构成一个标准的统一管理平台。

UTM是具有额外网络防御机制的防火墙平台，能够抵御DoS/DDoS(拒绝服务/分布式拒绝服务)、病毒和其他恶意软件、垃圾邮件以及网络钓鱼的攻击。很多UTM解决方案还具有网页过滤的功能。根据对UTM的定义，许多网络安全解决方案厂商都推出了自己的产品。

UTM的功能

整合网络安全

在UTM的概念出现之前，区域网络为了防御各式各样的威胁，必须配置多项单功能产品，例如防火墙、防病毒网关、防垃圾邮件装置以及URL网关。区域网络还必须同时兼顾这些平台和其他IT解决方案的管理，用户也必须熟悉各种不同的接口、指令和差异性。这些安全解决方案代表着必须购买多项产品，维护费用也更高，对资金预算和营运预算都是一个很大的负担。

UTM的提出解决了区域网络必须管理多项单功能产品的难题。通过单一的操作系统与管理接口，提供一个能够满足多方面安全需求的全功能架构。UTM不但使网络管理人员在学习新系统方面节省很多的时间，也提高了IT人员在防御攻击时的有效性。

降低技术复杂度

UTM安全设备中装入了很多功能模块，提高了区域网络的易用性。另外，这些功能模块的协同运作无形中降低了掌握和管理各种安全功能的难度以及减少了用户误操作的可能性。

对于没有信息安全专业知识的管理人员及技术力量相对薄弱的区域网络子单位来说，使用UTM产品可以提高应用信息安全设施的利用率。

简化网络管理

UTM的价值在于简化管理，即以最精简的单一设备来达到所需要的网络管理水平，并具有快速迁移、集中管理、节省成本的优势。部署UTM的意义主要是基于网络服务考虑，而非只是纯粹以IT技术的眼光来思考。使用UTM解决方案应有的理念是将其放在最恰当的地方，让其发挥适当的功能，而非只是硬要将其赋予各项功能，拿来与业界单一功能最优秀的产品做比较。

UTM可以满足分支机构人员较少、IT资源有限、需快速移动、经常使用各种不同网络基础设施的区域网络。对于分支机构而言，UTM可以协助区域网络在有限的预算内，最有效率地运用信息、人力，减轻信息管理人员的负担，也可以让区域网络信息安全从各子单位开始做起，再延伸至主节点。

在各子单位设置UTM装置，可以简化管理工作，来解决信息人员大多配置于主节点的问题。借助适合的UTM解决方案，各子单位可以过滤掉80%的安全问题，剩下的20%则可通过个别的单一安全功能产品来解决，并可与主节点的安全网络连结。

UTM绝非是网络管理者的灵丹妙药。许多网络管理人员抱怨，UTM装置的防病毒功能不如其他单一功能的防病毒产品，如防垃圾邮件功能经常出错等。这些问题使一些网络管理人员对UTM的价值产生怀疑。

部署UTM

许多UTM装置被称为五合一，甚至是更多功能整合在一起的安全防护设备。如何让它有效发挥其强大的功能?如何改善其不足的地方?如何有效而正确地部署UTM已成为区域网络解决安全问题中极为关键的一环。

掌握网络情况

使用UTM最大的用意是减轻信息工作的负担，使有限的IT资源的运用达到最佳效果，在简化管理、节省成本的前提下，保障网络运行畅通，如图所示。

一些网络管理人员曾反映，同时开启UTM的各项功能，会增加设备工作量、减慢运作速度，这也是网络传输过程中的瓶颈。因此，在部署UTM系统之前，网络管理人员应该了解网络平时以及在高负荷情况时的运作速度，从而有效避免超载而导致的网络拥塞。

网络管理人员可以将网络分割成不同区域，再把每个区域中不需要的功能关掉。如果网络内只需要使用网页服务器与电子邮件，便可以设定Policy来阻挡其他协议的接入，只检查网页或电子邮件的部分，这样做便可减轻设备的负荷。

实施解决方案

其实，UTM解决方案应该是整体安全策略的一部分，而不是惟一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。

尽管UTM供应商宣称其UTM解决方案确实有效，但是能否及时有效地更新防护码，应该是UTM能否成功实施的关键。

自行开发防病毒、防垃圾邮件和防网络钓鱼的系统，然后放到已有的防火墙产品上，其产品成熟度与稳定性是一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险，因为这些产品给使用者带来虚假的安全感，实际上却不能防御真实的攻击。

弹性制定功能

如果让UTM真正发挥作用，就要慎重选择可弹性制订Policy的产品。因为对于区域网络而言，并非一定得在同一时间开启UTM所有的功能。可根据不同的时间需求弹性制订UTM的功能需求，如此才不会影响到网络流量，也可以有效率地运用网络资源。

展望

UTM装置可说是IT安全解决方案最重要的突破之一。此类装置具有显著的优点，但是使用者必须谨防使用不符合现实环境需求的装置。

UTM的另一个优势是用户可以实施分层管理(Layer Security)。例如在计算机上安装防病毒软件、在防火墙上加入额外的病毒保护，如此等于是设计了重重的防护关卡。若有黑客发动攻击，UTM可发挥阻挡和监察的功能，延迟或停止攻击入侵。现在已经有厂商开始将VoIP、路由器等功能整合进UTM装置之中。

未来，UTM产品还会融入更多的安全防护功能，也可以支持各种不同的操作系统。UTM的未来值得期待，只是看使用者如何妥善运用。

按照目前的发展态势估计，UTM产品很可能代替目前传统的一些信息安全产品，成为信息安全市场上新的主流。根据IDC的数据，UTM产品市场在近几年会维持高速的增长，在2008年之前将维持平均接近80%的年成长率，并于2008年成长为一个容量达到20亿美元的细分市场。