第2章 UTM的实现与关键技术

2.1 UTM的实现方式

UTM不是无中生有产生的，是安全技术不断发展的结果，在UTM的发展过程中，产生了两代的UTM：叠加式的UTM和一体化的UTM。

第一代：叠加式的UTM

早期的安全产品主要是防火墙和入侵检测，随着威胁的复杂程度不断增加，单一的防火墙和IDS都不能满足需求，故出现了一些潜移默化的变化。现在，分别来源于防火墙和IDS设备厂商研制的设备都不断地在向UTM方向发展。

一种是防火墙设备厂商开发出来的。由于防火墙设备工作在OSI参考模型的2～4层，具有很强的控制能力，但对于应用层的识别和控制能力非常弱，因此在防火墙上不断地增加内容过滤、防病毒、IPS模块，其中防病毒和入侵防御功能一般由专业厂商提供，通过调用API接口函数的方式实现。

还有一种是IDS设备厂商开发出来的。IDS设备通常旁路部署在网络中，具有非常全面的应用层威胁识别能力，但不具备控制能力，在一定程度上限制了其作用；为了更大限度地发挥IDS的能力，厂商就增加了阻断控制的能力，将旁路改为在线，直接串联到网络出口的位置，成为入侵防御网关（IPS）；之后又在上面增加了防火墙功能、内容过滤功能，集成了防病毒模块，演变为UTM。

以上两种方式都是在原有技术和设备基础上不断增加新的技术或模块，发展成为UTM的，因此称之为叠加式UTM。但叠加式UTM整体设计思路不完善，很容易受到原有设计思路的限制，各个功能模块的安全等级不对等，相互之间缺乏协调配合机制，性能下降严重，由此产生的UTM效果并不理想。

第二代：一体化的UTM

在认识到叠加式UTM不足之后，出现了完全站在实际需求出发进行设计的UTM设备，也就是一体化UTM。其中“一体化”包含了三个方面：设计一体化、策略一体化和管理一体化。

1）设计一体化

网络边界面临的威胁是复杂的、全方位的，UTM设备构建的防御体系也需要是立体的、全方位的，才能应对复杂的威胁。在设计之初，一体化UTM设备就站在“一体化”的角度进行充分考虑，从底层操作系统，到各个功能模块，再到安全事件库，各个部分之间的关系不是独立的，是紧密配合、相互补充的。在进行软件体系设计时进行相应创新，实现立体的防御体系。UTM本着安全高效原则，通过采用全新的一体化设计思路，最终形成了以下的总体软件结构（如图2-1所示）。其中包括，人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库，网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行2～3层过滤，VPN负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交响应的处理引擎进行处理。整个过程的日志信息和数据流量信息送数据中心监控和备案，管理中心负责整体的配置和调整。

图2-1 UTM一体化设计的思路

2）策略一体化

安全策略一般是针对网络整体的需求量身定做的，在总体安全策略的规范下，落实到网关上的安全策略具备一致性，也就是说，具体的安全策略之间是相互配合、相互联系的。一体化UTM在启用多种安全能力、执行共同的安全策略时是高度耦合的，以确保做到策略实施的一体化。一体化UTM通常还可以通过集中管理与控制技术实现对多台设备的同时安全策略部署，更加简化了安全策略的实施过程。

3）管理一体化

在安全网关日常维护过程中，安全管理粒度越来越细，一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。一体化UTM考虑了单台设备和多台多级的情况。当管理对象为单台设备时，“一体化”体现在多个功能中；当管理对象为多台多级设备时，“一体化”更体现在统一部署的网关设备和安全策略中。当然，对于界面、逻辑方面的“易理解、易学习、易记忆”的维护要求也是“管理一体化”的重要组成部分。

从效果上看，实现一体化UTM可以建立高效的立体防护体系，各功能模块紧密配合，相互补充，具备安全策略统一实施、统一的安全管理，是比较理想的实现方式。