UTM(統一威脅管理)技術綜述

劉勝華 金志平 劉云龍

1廣州從興電子開發有限公司 廣東 510275 2中山職業技術學院 廣東 528400 3廣東有線廣播電視網絡股份有限公司 廣東 510275

0 引言

隨著網絡的日益發展和和應用軟件的變化，信息安全威脅開始逐步呈現出網絡化和復雜化的態勢，威脅對象由主機資源轉變為網絡資源、數量呈現爆炸式增長、形式多種多樣，混合型攻擊層出不窮。

單一的防火墻、入侵防御網關、防病毒網關、反垃圾郵件網關、防DoS攻擊網關等安全設備，在面對這種復雜的混合型攻擊時存在著巨大的安全問題。而把多種安全設備簡單的組合起來，則可能出現管理復雜，高成本，低性能等問題。

2004年 9月，IDC提出統一威脅管理(Unified Threat Management, UTM)的概念。隨后，UTM成為了應對網絡化和復雜化的安全威脅趨勢的一個有效解決方案。UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備，主要提供一項或多項安全功能，將多種安全特性集成于一個硬設備里，構成一個標準的統一管理平臺。

UTM設備應該具備的基本功能包括網絡防火墻，網絡入侵檢測，防病毒等。

1 UTM技術

UTM設備具有多種安全檢測功能，這就要求UTM設備具有強大的報文數據處理能力，以達到網絡應用對性能的要求。為了提高UTM的性能，可采取以下兩種途徑：

（1）選擇高性能的硬件；

（2）對軟件體系進行架構上的優化。

1.1 UTM硬件平臺

目前，常見的UTM的硬件平臺技術主要有：

（1）x86架構：使用通用的x86 CPU對報文數據進行處理，包括報文數據的接收，報文的分發，安全規則檢測等。由于采用的是通用 CPU架構，以上所述的各個報文處理環節，設備各個功能模塊均由軟件實現，因此網絡性能較低。

（2）ASIC架構：ASIC加速芯片能對報文數據處理進行硬件加速，從而大大提升了設備的數據處理能力。但是ASIC架構的產品開發周期長，無法應對層出不窮的安全威脅。在實際應用中，ASIC加速器只是用來做報文轉發。

（3）多核架構：多核處理器中具有多個完整的計算引擎，能夠使得服務器并行處理任務，且易于擴展。 相對單核處理器，其處理能力大大提高。多核處理器還可以集成各種網絡加速，加密/解密等協處理器，進一步的提高了網絡數據的處理能力。

（4）混合架構：基于以上幾種架構的優勢，把多種架構結合起來，各個架構的處理器放置到其具有優勢的處理場景中。例如ASIC芯片可以用來報文轉發，多核處理器則用于安全策略匹配計算等。各硬件架構按照分布式的方式結合起來，達到一種最佳的UTM硬件平臺。

1.2 UTM軟件架構技術

UTM產品采用的軟件平臺一般是定制的OS系統，且是多種OS系統的聯合體。VxWork操作系統實時性能好，可用于數據報文接入層；開源的Linux操作系統具有很好的開放性，可集成多種開源的功能模塊，可用于安全功能層(如圖 1)。

圖1 UTM軟件架構示意圖

2 系統功能

UTM設備應該具備的基本功能包括網絡防火墻，網絡入侵檢測，防病毒等功能。

2.1 防火墻

防火墻是網絡安全系統的重要組成部分。它構筑了可信網絡和外部網絡的安全屏障，可控制外部對受保護網絡的非法訪問，同時也可防止內部網絡非法向外部網絡傳輸敏感數據。

目前防火墻的主要技術有以下幾種：

包過濾技術：根據用戶定義的服務訪問規則，檢測每個通過防火墻的網絡報文包，判斷是否允許其通過。包過濾的效果高，且對用戶透明。不足之處在于其不能徹底防止地址欺騙。

應用層網關技術：在TCP/IP協議棧中的“應用層”上，根據預先定義的安全策略，攔截某些特定應用的數據包，譬如說攔截FTP，HTTP，TELENT等應用層協議的數據包。

電路層網關技術：建立應用層網關的一種更加靈活和一般的方法。雖然它們可能包含支持某些特定 TCP/IP應用程序的代碼，但通常要受到限制。如果支持應用程序，那也很可能是 TCP/IP應用程序。在電路層網關中，可能要安裝特殊的客戶機軟件，用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習慣。

2.2 入侵檢測

入侵檢測是對入侵行為的檢測。它是通過收集和分析網絡行為，系統日志，網絡流量信息等來檢測是否存在違反安全策略的行為和被攻擊的對象。入侵檢測系統是防火墻的有效補充，既能檢測到外部網絡的攻擊，又能防止內部網絡的攻擊。

常用的入侵檢測技術有以下幾種：

（1）模式匹配：基于已經網絡入侵的模式數據庫，對收集到的分析數據作模式匹配。匹配成功則認為存在入侵行為，否則認為網絡活動時安全可靠的。

（2）異常檢測：針對監控的網絡對象，創建一個統計描述，建立對象的一個正常活動數據范圍。當系統檢測到對象的活動數據超出這個范圍，則認為存在威脅。

2.3 防病毒

計算機病毒的破壞性大，自我繁衍和傳播能力強，且傳播途徑多種多樣。計算機網絡應用的高速發展更是為計算機病毒傳輸提供了便利的條件。因此在UTM安全網關處對病毒進行過慮和查殺則顯得尤為重要。

目前UTM病毒檢測技術多種多樣，最流行的包含有特征碼檢測，校驗和計算，行為檢測，啟發式檢測等等。

3 發展趨勢

未來，UTM將朝以下幾個方面發展：

高度的功能整合。簡單功能的堆砌會在性能，管理，成本等方面存在嚴重的問題。只有將各安全功能高度整合到UTM設備中，應用一體化設計的概念設計整個UTM系統，確保各安全功能的無縫集成，才能發揮出UTM產品的最大功效。

高性能。網絡應用的發展對網絡產品的性能要求也相應提高，UTM產品作為一個多功能的安全檢測設備，其性能直接影響到用戶的應用。采用優化硬件平臺和軟件架構的方式可以大大提高設備的性能，也是將來一段時間內提高UTM性能的主要方向。

4 總結

本文從硬件平臺和軟件系統架構兩個方面介紹了 UTM的關鍵技術，全面而簡要的介紹了UTM系統功能，最后指出了UTM發展的方向。

[1]陳勝權,任平,陳杰.UTM(統一威脅管理)技術概論.北京.電子工業出版社.2009.

[2]唐鈺.讓軍刀更鋒利 市場需求驅動 UTM 革新.通信世界.2006.

[3]費宗蓮.統一威脅安全管理技術.計算機安全.2005.

[4]博佳科技.Linux防火墻技術探秘.北京.國防工業大學出版社.2002.

[5]http://www.huaweisymantec.com/cn/Product_Solution/Produ ct/Security/FW_UTM/Secospace_USG/Secospace_USG9300/.