【场景篇】

以“整合”应对网络安全
最近，在浙江一家服装企业担任信息主管的刘晋中有些犯难。受到国际金融危机影响，公司的业绩有所下滑，老板给予IT部门的预算开始削减。同时，为了扩展业务，公司开始建立自己的网站，部署电子商务系统。
这个时候，如何添加网络安全设施，确保企业网络安全就成为摆在刘晋中眼前的问题。犯难的是，该企业之前并不是很重视网络安全的防护，也没有专门的技术人员负责这块，在面对防火墙、防毒墙、入侵检测、入侵防御、反垃圾邮件网关等各种网安设备时，刘晋中既觉得没有足够的IT预算去一一部署，也觉得如此多的网安设备复杂又繁琐。
其实，像刘晋中这样的企业应该是UTM（统一威胁管理）最典型的用户。因为UTM是一种整合型的网络安全设备，它将防火墙、防毒墙、入侵检测、入侵防御、反垃圾邮件等当作功能模块，整合封装到一个硬件盒子里，以“打包”的方式解决企业的网络安全问题，可以让安全一步到位。
四年前，“统一威胁管理”（Unified Threat Management，简称UTM）的概念被IDC提出，它将多种安全特性集成于一个硬设备里， 构成一个标准的统一管理平台，提供一项或多项安全功能。防病毒、入侵检测和防火墙等安全设备都被划入这一类别。随着时间的推移，UTM设备因为其部署灵活和易于管理，逐渐为广大企业用户所接受，成为许多企业信息安全长城的第一道“关口”。
经过四年多的发展，经历了初始的狂热和短期的沉寂，UTM目前进入了稳定快速的发展阶段。早在2006年3月，IDC在其年度报告中就预测当年UTM市场增长率为24.9%；2007年3月，又在年度报告中称UTM实际增长率的统计数据为84.3%，与此相应的防火墙市场的增长率则低于预期。对此，分析认为用户对安全网关产品的需求并没有下降，整体仍然保持比较高的增长速度，防火墙市场空间下降的主要原因是“用户对UTM认可所致”。
事实上，如今的网络环境正在变得更加复杂，传统防火墙已经很难满足企业应用的安全需求，企业在选择种类繁多的安全产品时，迫切需求一套高性能的安全产品来解决日益猖獗的病毒木马，以及各种各样的网络攻击行为。作为安全网关产品族中的新秀，UTM产品已经“崭露头角”。防火墙/VPN硬件和统一威胁管理硬件覆盖的客户是同一类，用户采购时通常只采购两种产品中的一种。防火墙功能作为 UTM中的基本功能之一，在产品表现形式上已经非常成熟，再加上防病毒、入侵防御、内容过滤等功能，UTM产品在功能上越来越丰富，越来越多的企业选用 UTM产品作为企业信息安全的保护伞。
从UTM的行业发展来看，目前起到重要促进作用的是政府和中小企业。出于安全防御需求、部署实施和成本预算的综合考虑，政府和中小企业对于安全有着“简单化”的需求，包括选择部署简单化、策略实施简单化、安全防御简单化、管理维护简单化。这就使他们对UTM的接受程度比较高。对他们来说，UTM无论是购买成本还是维护成本都比较低，而且UTM完全能满足他们正常业务的运转。
相对而言，在电信、金融、保险等行业，由于网络统一规划性比较强，UTM的被接受程度相对低了一些，很多用户只是在某一个领域、某一部门，或者某一网段运用UTM，而不是主要依赖于UTM，因此尚没有形成大规模的普遍需求。但是随着信息化的不断深入，以及企业用户对于网络安全的要求不断提高，在技术和性能上不断寻求突破的UTM安全网关产品也会在大型企业内普及开来。
　　【建议篇】
　 结合实际需求 不要贪多求全
企业用户在选购UTM产品时，应该从自身的实际状况考虑，结合当前实际需求及未来的规范发展，多从自身实际应用角度考虑，而不要贪多求全。
首先，要考察UTM的性能及稳定性。由于UTM将所有的安全功能置于一台设备之内，无形中也带给了企业更高的风险。一旦UTM设备出现问题，所有的安全防御措施将陷入停顿。所以考察UTM设备的性能及稳定性是企业在选购UTM时的重中之重。性能及稳定性包括设备抗攻击能力、性能处理技术等。
其次，要考察UTM的功能模块。通常UTM设备包括防火墙、VPN、网关防病毒、 IPS、访问控制、内网监控等多种功能。目前有些厂商为了解决互联网滥用的问题，在UTM设备里面也集成了强大的上网行为管理模块。因此用户在选择UTM 设备的时候，除了考察外部安全功能模块外，也最好能采购集成上网行为管理内网安全模块的设备，尤其对于中小企业，籍此实现“让安全一步到位”。
还有，要考察UTM的易用性。易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握UTM网关的使用外，更重要的是需要考察是否有详细的日志。在管理方面应该注意界面的友好性，设置选项应该通俗易懂，最好能支持中文操作界面。另外，好的日志系统应该有详细的记录，包括防火墙日志、流量日志、网络监控日志等，日志应该便于分类和排序，最好能以饼图、柱状图等进行显示，方便管理员进行统计和对数据的分析。
最后，要考察UTM的性价比。如何在合理的设备投资和实际上所能提供的功能、性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。和其他设备一样，UTM设备也没有绝对的好与不好，只有相对的适合与不适合。比如，如果企业是需要比较低端的UTM设备，信息系统未来也没有大规模扩展计划，那么选择UTM设备应该重点考虑价格、易用性等。
而如果需要选择一款中高档UTM设备，则用户重点需要考虑UTM设备的性能是否能够满足需求、每种安全应用是否实际可用、未来的扩展性如何等。

在企业网络中的结构位置

　 【产品篇】
　 整合各种主流功能的UTM产品推荐
瑞星UTM网关
是一款主打防毒牌的高端UTM网关设备，主要面向政府、教育及金融、电信、能源、制造、贸易等领域的大型和超大型应用。RSW9300可以根据用户的不同需要，具备针对HTTP、FTP、SMTP、POP3以及MSN协议的内容检查、清除病毒的能力，它采用了瑞星第八代VUE虚拟机脱壳引擎，目前可以有效地清除70万种病毒。
除了病毒扫描和拦截之外，RSW9300还包括数据包状态检测过滤的防火墙、IP安全虚拟专用网（IPSec-VPN）、网络缓存和本地记录，以及可扩充模块包括垃圾邮件过滤、网址过滤等，可以保护内部资源不受外部网络的侵犯。
启明星辰天清汉马
天清汉马USG-10000E是定位于解决运营商、高校、大企业等骨干网络信息安全问题的一体化安全网关。除了最基本的防火墙功能，USG-10000E还包括入侵防御、防病毒、VPN、反垃圾邮件、内容过滤、NetFlow等。
在USG-10000E中，为了将功能和性能的平衡做到最佳，采用了应用层业务串行与并行归一处理技术，将并行处理和串行处理有机融合到一起，通过调度系统统一管理，做到自动业务分配、自动调整、自动处理。同时，为了避免单核故障对整个系统产生影响，USG-10000E中采用了单核故障自动恢复技术，确保业务运行和设备整体的稳定性、可靠性。
金山
采用统一的硬件平台和操作系统支持环境，实现各种安全功能的模块化，提供防病毒、邮件过滤、Web过滤、VPN、IPS、应用控制、防火墙等实用安全功能，它还采用了先进反病毒引擎、自动更新病毒特征库、“行为分析+特征检测”的垃圾邮件过滤方法、动态特征码识别技术、基于 HTTP协议的web过滤、VPN 接入、邮件延迟审核、策略式网页检测等一系列安全技术，做到安全防护统筹联合，高效率、低成本、全防护。
金山KingGate UTM还引入联动操作机制，自动检测客户端金山毒霸防毒各项状态，匹配客户端联动准入规则，共同实现客户端的安全防御，同时提供免费的在线杀毒功能，保证整个局域网络的安全。
联想网御安全网关
是基于ASIC平台的UTM产品，其特色在于支持虚拟域功能，可以将一台物理设备划分成多个虚拟域（虚拟UTM）每一个虚拟域都拥有独立的工作模式（路由、NAT、透明等）、接口IP、路由表、安全策略、用户等参数，便于下连多个网段或单位/部门的时候使用。同时，它的网络接口采用模块化设计，可以有效保护投资。
联想网御UTM产品将多种安全功能融合到单一的基于ASIC的硬件平台。它的图形化界面、多合一的模式，使得安装和管理非常便捷。状态检测防火墙、IPSec和SSL VPN、入侵防御、防病毒、反垃圾邮件、和Web过滤等多种功能组成了全面的、高性价比的企业级的网络安全平台，完全可以满足大型企业网、校园网、数据中心和运营商网络的需求。
　 天融信TopGate网络卫士安全网关
安全网关是包括防火墙、虚拟专用网（ VPN ）、入侵检测和防御（ IPS ）、网关防病毒、 WEB 内容过滤等安全防护特性的 UTM 产品。TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量 （QoS） 保证、负载均衡、高可用性 （HA） 以及网络带宽管理等功能。
可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。除此之外， TopGate 还为企业提供了 CleanVPN 服务，使得用户通过 VPN 远程访问企业内网时，确保 VPN 数据没有病毒等有害内容。
　 网御神州网神
是特别针对中小企业的UTM设备，该产品无论在功能上还是性能上都为用户做了充分的考虑。在功能方面，U400集成了防火墙、VPN、IPS、反垃圾邮件、防病毒、带宽管理和内容过滤等功能，这样可以有效地节约客户网络建设成本。另外还支持IPSEC/SSL/L2TP/PPTP VPN，支持动态域名，可以为出差人员或者分支机构提供私有的网络安全通道。
在性能方面，U400采用了网御神州最新的SECOS操作系统，能独立实现各种安全访问控制，摆脱了庞大复杂的通用操作系统束缚，且系统内核稳定，安全应用功能随需扩展，这都有效地保证了实现UTM的高性能。在管理方面，U400支持集中管理，策略集中配置、下发、更改、升级等，并能集中收集日志信息，方便审计。
是一款全面安全硬件设备，包括了所有的安全防护功能，以及全面的安全特征签名升级、硬件保修以及特惠的可扩展到3年的技术支持服务。
具体的功能特色包括：企业级防火墙，通过集成SmartDefense IPS签名工具和基于协议异常检测的入侵防护技术来保护关键的业务服务系统；网关级防病毒，防间谍软件：UTM-1全面安全解决方案适用实时更新的病毒列表，防间谍软件签名和基于行为异常防护的技术来组织病毒或者其它的恶意代码通过网关进入内网；邮件安全：集成的邮件入侵防护IPS技术能够保护关键的邮件服务器协议免收各种针对邮件系统基础构架的攻击；Web过滤：通过包括了超过两千万个URL站点地址的Web内容过滤技术阻止用户访问不合适的Web站点。
　 综合安全服务网关
综合安全服务网关是 Crossbeam 公司为实现全面的网络、邮件和 Web 安全性而开发的旗舰级高端综合安全服务网关。
网络安全综合服务网关可提供丰富的安全功能、高可靠性、高吞吐能力及综合的安全防护，包括集成的负载均衡和流排序功能（X-Stream）等Crossbeam 专利的技术。
具体配置：机架板卡式结构，全冗余配置；14个插槽，全交叉独立总线，4个独立电源，多风扇；最高可提供48个端口，包括8个万兆端口及40个千兆端口；性能方面，最高可提供40Gbps的防火墙吞吐量、30Gbps的IPS吞吐量、 12Gbps的防病毒网关吞吐量、16Gbps的数据库审计吞吐量等。
　　电信级安全网关
采用多核Plus架构，是一款电信级万兆安全网关。多核Plus架构不但能提高Hillstone SA系列安全网关防病毒、QOS、VPN、SSL VPN等单一功能的性能，还能有效改善多功能网关整体性能随功能打开的数量大幅下降的问题。该产品可提供高达20G的防火墙吞吐能力和10G的VPN处理能力，同时集成了2个XFP万兆光纤接口、12个SFP千兆光纤接口和1个千兆电口，既可以满足电信级用户的带宽、性能要求，又方便用户对 Hillstone SA-5180的管理控制。
万兆安全网关还集成了防病毒厂商卡巴斯基的防病毒库，并采用业界先进的并行流扫描技术，在默认配置下其性能可达1.68Gbps。同时，此安全特性还能够为用户提供实时的、可靠的在线升级服务。
【应用篇】
成本低 功能多 易管理
优点在于整合化，它以较低的成本满足了企业对信息处理安全的大部分需求，避免了使用单一安全设备所带来的高昂的采购维护成本和复杂的部署管理工作， 并提供简单易用的界面给非专业的用户进行常规的维护工作。因此， UTM在企业中能发挥它采购维护成本低、功能多、整合性高、易于管理部署的优点。
　　“多而不专”
但是，目前很多企业用户对于UTM产品存在一种“偏见”，即“多而不专”。由于 UTM是整合了防火墙、防病毒、入侵检测等多种安全功能，这样，UTM产品就能以一顶百得代替所有的安全产品，企业就不用去花费重金购买单独的安全产品， 从而有效地降低成本投入。殊不知，UTM把很多功能都集合在一起，好像“1+1+1=3”，但实际的应用情况并不只是简单地将多个“1”相加在一起。
瑞星公司高级技术经理刘宏伟认为，正如任何事情都有其两面性一样，UTM的缺点也同样来自于它的整合性，由于UTM在一个设备上整合了多个安全功能模 块，受处理能力及成本的限制，UTM设备所实现的反垃圾邮件、反病毒等功能离单一安全设备的水平尚有一定的差距，达不到单一安全设备的安全级别。此 外，UTM设备在启用基本防火墙功能的情况下，再开启反病毒、入侵检测等耗费系统资源的应用模块时，整体性能会有所下降，某些产品甚至会有70%多的性能 下降。
需要注意的是，这些缺陷更多出现在低端UTM上，并不等同于所有的UTM均会存在这样的缺陷。在高端UTM领域，一些特有的技术设计会在很大程度上弥 补“多而不专”的缺陷。比如机架板卡式的高端UTM。它利用硬件板卡技术，每一种安全应用均有独立的CPU、存储、总线等，各安全应用之间不存在资源的竞 争，因此能够保证“鱼与熊掌兼得”，即使是在多种安全功能同时打开时，仍然能够保证整个UTM设备的高性能。同时还能够实现所谓“数据量安全调度”的能 力，提高UTM设备的处理效率。
产品细分 用户区隔
经过这些年的发展，无论从产品架构、功能配置、还是用户选择上，UTM产品逐渐进入一个成熟的应用时期，高中低档产品各有针对，大中小型企业各取所需。
目前，低端UTM产品在一些中小企业，特别是一些小型企业或公司用户中的应用还是相对比较多的。对于这些的中小企业而言，他们的网络系统带宽较低，对 安全的要求也不高，另外，他们的项目预算也通常有限，因此，这些中小企业对UTM产品的需求主要集中在：安全功能全、管理简单、价格便宜等方面，而对 UTM的性能、安全的专业性等方面并没有太多的要求。
由于低端UTM产品在性能上的一些限制，在中大型企业的应用相对较少。事实上，在中大型企业用户，通常应用的是一些高端的UTM产品。这些产品通常为 机架板卡式结构，各安全功能通过独立的硬件板卡提供，每一块板卡均配置了独立的系统资源，包括独立的CPU、独立的存储、独立的总线等。板卡间不存在资源 的竞争，因此能够做到即使是多个安全功能全部打开的情况下，仍然保证系统的高性能。而在安全功能方面，高端UTM上的每一种安全功能均为所谓的 “best-of-breed”同类最佳的安全应用，通常是在全球市场及技术均居前列的安全引擎，保证了系统的高安全性及足够的安全功能。一些中大型企业 应用了这些产品，效果良好，包括大型制造业、汽车、电力、学校、政府，以及金融类、运营商用户等。
此外，大型企业和中小型企业对安全产品的需求存在较大区别。大型企业使用UTM产品注重产品的可用性、可靠性和可扩展性。为避免出现系统的单点故障导 致正常的应用受到影响，要求UTM产品具有双机热备、UTM群集等功能；高性能、多功能的合成安全产品来解决网络中主要的安全威胁，如防火墙、入侵检测与 防护、网关防病毒、内容过滤和VPN等功能；扩展功能模块或增加网络接口模块为将来的安全系统扩展留下空间。
从行业角度而言，各行业对于网络安全的关注点也有所不同，比如教育行业：访问不合适的内容，造成潜在的责任问题；传播病毒、蠕虫和其他基于内容的攻 击；由于滥用校园网消耗宽带资源，降低网络效率。政府、金融行业：识别和防护从外部和内部进入的混合型安全攻击；阻挡病毒、蠕虫等通过Email、Web 和文件的传递进入网络。医疗行业：确保病人记录以加密格式存储和传输；确保医院的IT系统不会因网络入侵而受损。这些彼此不同的关注点对于UTM产品的应 用也存在不同侧重的影响。
总之，需要明确的一点是，UTM的设计思路应始终是把安全放在第一位，只有在安全之上，才能谈性能。事实上，和其他企业级IT产品一样，UTM的技术 寿命一般是三年，因此无论采用何种技术，只要能够达到企业的出口带宽，并能够满足企业 3年的发展需求就够了。因此要计算3年总拥有成本，再评估适合自己的产品。

　　相对单一网络安全设备，部署UTM更容易管理和维护

【体验篇】
　 上海电力公司确保奥运供电
作为2008年北京奥运会的协办城市，上海和北京一样，为奥运会成功举办做了大量准备工作，电力保障就是其中的重要一环。为确保上海奥运会期间安全稳 定供电，上海电力公司以确保大电网运行安全、确保涉奥场馆和重要用户供电安全为核心，制定了奥运保电总体方案，全力以赴做好迎峰度夏工作。
电力调度网是电力二次系统中最重要的部分，其主要业务包括调度自动化系统 SCADA/EMS、电厂自动监控系统、变电站自动化系统、继电保护系统、故障录波信息管理系统、电能量计量系统等。这些业务需要采集电力设备运行的实时 数据，对设备运行进行实时监控，因此对业务网络中数据传输的实时性有着严格的要求。
在电力调度系统传统的解决方案中，防火墙可以提供网络层的访问控制，但对更高层的威胁无能为力。为了及时发现网络中的入侵和威胁，电力调度网络中通常 都部署了入侵检测系统（IDS）设备。通过IDS的部署，系统管理员可以对整个网络的流量有比较清晰的把握，并从IDS给出的报警中识别出网络入侵行为。 但是由于IDS是旁路部署的，主要作用是集中在风险管理上，并不主动防御所发现的攻击行为，因此需要在线式的实时防护产品实现防御功能。
经过谨慎评估，上海市电力公司选择了启明星辰的天清汉马USG一体化安全网关（UTM）来为电力调度网提供安全保障。作为天清汉马UTM基本的功能模 块，其防火墙功能可以提供完善的状态检测和访问控制功能。除此之外，天清汉马 UTM还提供网关防病毒、入侵防御（IPS）、抗拒绝服务攻击等高级安全特性。以入侵防御为例，天清汉马UTM能够针对缓冲溢出攻击、木马后门、安全漏洞 攻击、蠕虫病毒、数据库攻击等各种入侵提供有效的防范，并能够实时阻断，提高了安全性。
在本项目中，天清汉马UTM部署于上海市电力调度中心以及下属的地调、区调、超高压调度等20余个业务网点。在这样大规模的部署中，如何监控各业务网点设备的运行情 况是一个难题，而通过天清汉马UTM集中管理中心，这一问题得以解决。
集中管理中心提供基于设备组的集中配置、实时监控、统一升级功能。通过集中配置，管理员可以对组内的设备统一下发安全策略；通过实时监控，管理员在中 心机房足不出户就可以掌握各个地、区调度中心安全网关的运行状况，以及各设备上承载业务的具体情况；另外，通过集中管理中心，可以统一部署病毒库、入侵防 御特征库的升级策略。
　 山西出入境检验检疫局简化网络安全
随着政府工作信息化应用程度的不断加深，信息安全、网络安保成为了山西检验检疫局网络安全工作的重中之重，信息安全需求极为迫切。
山西出入境检验检疫局下设6个分局、17个处室、5个直属企事业单位和1个社会团体，超过1000多客户端分布在山西全省范围内，网络结构非常复杂。
政府部门的工作性质决定了与一般个人用户对网络安全不同的需要。所以，其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机 病毒等，都将对政府机构信息安全构成威胁。由于即时通讯工具、电子邮件的普遍使用，以及日常工作的其他需要，内网上的应用系统越来越多、越来越复杂。而与 外网的连接，使信息安全问题显得日益突出。
在内部用户对外网访问日益扩大的同时，外部用户也越来越多地访问内网服务器，在这种情况下，内网和外网间必须有足够强大的隔离措施才能保证内部系统不容易遭到攻击。
此外，在移动存储介质大量使用的现状下，来自内网的威胁也在不断扩大，病毒随着移动存储介质的传递可以迅速蔓延。内网服务器或客户机一旦感染病毒，会 迅速传播至其它网络节点，甚至导致整个网络的瘫痪。而随着往来电子邮件传播含毒邮件和垃圾邮件，也会对山西检验检疫局的正常工作及形象带来极大的影响。像 “小偷”一样的后门程序，就有可能造成资料泄露，后果不堪设想。
为保证政府网络系统的安全，山西出入境检验检疫局根据自身需要，最终采用了瑞星防毒墙RSW产品系列，在山西出入境检验检疫局及各分局、下属企事业单位的网络出口处部署RSW产品作为其整体防毒的第一条防线，然后结合软件防病毒系统，组成立体防病毒体系。
作为一款防毒特色的UTM，瑞星防毒墙RSW产品能够在企业网络的入口处提供“即插即用”式的保护，将绝大多数病毒悄然挡在企业局域网外面，并且不会 像杀毒软件那样占用网络内部计算机的大量系统资源，不需要占用网络管理员大量的时间进行安装和维护，从而能够大大地提高企业安全管理的效率。
现在，山西检验检疫局网络安全管理的繁琐工作已大大简化，在提高了网络安全系数的同时，也节省了大量的人力物力。