UTM的出现始于一些中小企业用户缺乏安全技术人员，希望以在网关处的一个硬件设备一揽子解决所有的安全问题。随着网络威胁的急剧增多，使得UTM技术也有了更进一步的发展，除了传统的企业内部部门、网络节点、远程办公处，一些高端UTM设备也逐渐向大型企业的中高端应用进发。

　　网络威胁特点

　　随着网络中的应用越来越复杂，安全问题以出人意料的速度增长，并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结，可以看出三个显著特点：

　　第一：攻击手段多样化，以网络病毒为例，从震荡波、冲击波，还有QQ病毒，可以看出现在的网络攻击手段中，既包括病毒攻击，也包括隐含通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。

　　第二：攻击经常是多种手段并用，混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中，既包括病毒攻击、黑客攻击，也包括隐通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式，如伊拉克战争期间流行的“爱情后门变种”病毒，集蠕虫、后门、黑客三者功能于一身，给互联网造成了巨大的破坏。

　　第三：攻击手段更新速度前所未有的快，业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后，当天或更准确的定义是在24小时内，立即被恶意利用，出现对该漏洞的攻击方法或攻击行为，而同时并未有对应的防御工具被开发出来，那么该漏洞被称为“零日漏洞”，该攻击被称为“零日攻击”。

　　基于以上三方面对攻击多样化和融合特点的总结，可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态，无法很好的实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品，这些产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是，企业的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。

　　可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题，如何使复杂变成简单，成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的，它的定义是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中，实现防御一体化，这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此，全面的立体防御是UTM存在的理由，更是UTM发展的方向，那么UTM所保护的网络将面临哪些威胁，或者说UTM应该提供哪些安全能力呢?

　　网络边界所面临的威胁

　　我们需要分析一下网络边界所面临的威胁，根据互联网协议的五层结构，我们可以归纳各类威。

　　数据链路层

　　拒绝服务：网络设备或者终端均需具有相邻设备的硬件地址信息表格。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址，直到硬件地址表格被添满。当这种情况发生的时候，设备将不能够获得正确的硬件地址，而无法进行正常的网络通讯。

　　地址欺骗：在进行 MAC 欺骗攻击的过程中，已知某主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了目标设备硬件地址表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式，黑客们可以伪造 MAC 或 IP 地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。

　　网络层

　　拒绝服务：网络层的拒绝服务攻击以网络资源消耗为目的，它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗，使合法用户得不到应有的资源。典型的如Ping flood 和Smurf攻击，一旦攻击成功实施，网络出口带宽甚至是整个局域网中将充斥这些非法报文，网络中的设备将无法进行正常通讯。

　　地址欺骗：同链路层的地址欺骗目的是一样的，IP地址欺骗同样是为了获得目标设备的信任，它利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部主机，使网络设备或者安全设备误以为是可信报文而允许其通过。

　　非授权访问：是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问，对于一个脆弱的信息系统，这种威胁是最常见的。

　　传输层：

　　拒绝服务：传输层的拒绝服务攻击以服务器资源耗尽为目的，它通过制造海量的TCP/UDP连接，耗尽服务器的系统连接资源或者内存资源。这种情况下，合法用户发出连接请求却因服务器资源耗尽而得不到应答。典型的如TCP Flood和UDP Flood攻击，目前在互联网上这类攻击工具随处可见，因其技术门槛低而被大量使用，是互联网的几大公害之一。某些情况下，攻击者甚至将攻击提升到应用层，既不只是发出连接，而且发出应用数据，这样的攻击因不易与合法请求区分而更加难以控制。

　　端口扫描：端口扫描攻击是一种探测技术，攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务，而所提供的已定义端口达6000个以上。通常，端口扫描不会造成直接的损失。然而，端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现，攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。

　　应用层：

　　信息窃听与篡改：互联网协议是极其脆弱的，标准的IP协议并未提供信息隐秘性保证服务，因此众多应用协议也以明文进行传输，如Telnet、FTP、HTTP等最常用的协议，甚至连用户口令都是明文传输。这为攻击者打开了攻击之门，他们可以在网络的必经之路搭线窃听所关心的数据，盗取企业的关键业务信息;严重的甚至直接对网络数据进行修改并重放，达到更大的破坏目的。

　　非法信息传播：由于无法阻止非法分子进入网络世界，互联网上充斥着反动、色情、暴力、封建迷信等信息。非法分子通过电子邮件、WEB甚至是IM协议不断的发送各种非法信息到世界各地的网络终端上去。这些行为极大的破坏了社会的安定与和谐，对整个社会来讲，危害极大。

　　资源滥用：IDC的统计曾显示，有30%~40%的Internet访问是与工作无关的，而且这些访问消耗了相当大的带宽，一个不受控的网络中90%带宽被P2P下载所占用。这对于网络建设者来讲完全是灾难，它意味着投资利用率低于10%。

　　漏洞利用：网络协议、操作系统以及应用软件自身存在大量的漏洞，通过这些漏洞，黑客能够获取系统最高权限，读取或者更改数据，典型的如SQL注入、缓冲区溢出、暴力猜解口令等。在众多威胁中，利用系统漏洞进行攻击所造成的危害是最全面的，一旦攻击行为成功，黑客就可以为所欲为。

　　病毒：病毒是最传统的信息系统破坏者，随着互联网的普及和广泛应用，计算机病毒的传播形式有了根本的改变，网络已经成为病毒的主要传播途径，用户感染计算机病毒的几率大大增加。同时病毒正在加速与黑客工具、木马软件的融合，可以说病毒的破坏力达到了前所未有的程度。

　　木马：特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

　　UTM基础应用不可忽视

　　作为安全的多面手，UTM设备必须有一个整合功能的基础平台，目前在技术上，主要分为两大分支。

　　一类是以高性能防火墙为基础的UTM设备。这是目前多数UTM厂家的做法。对这种设备来说，一般都集成了全功能的防火墙，并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示，这种设备主要是为了取代防火墙。

　　另一类是以高端IPS为基础，不断演化出UTM设备。这种做法比较新，包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高，但是带来的好处也是显而易见，由于IPS的优势，可以对日益增多的系统渗透与复合攻击进行阻断与控制。

　　不过要强调的是，对于以IPS为基础的UTM产品，所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙，对于有意延伸到高端应用的UTM显然不合适。另外，这类产品的吞吐量与误报率也不能忽视，毕竟这将对用户的网络运行带来影响。

　　总之，无论采用哪种方式，UTM在一定时期内，都会重点强调某一方面的功能强大，而这也正是UTM的“特色”——不管是防火墙，还是IPS，甚至是防病毒，附加的功能都是一个强有力的补充，是业余选手或半职业选手。但即使这样，对于普通用户也是足够了。

　　编者按

　　传统的UTM设备被定位在低端市场，这不仅影响了厂家投入的积极性，而且对于用户的实际应用也是不公平的。随着高端IPS产品大量整合安全功能与服务，预示着UTM设备将会从传统的以防火墙为主导、部分过渡到以IPS为主导，而UTM整体市场的发展，也将会向高端延伸。

　　另外，国内用户部署UTM设备的目标都是为了减少节省设备和人员成本，同时减少因为攻击而引起的损失，可以在网络和应用级攻击造成任何损坏之前有效地识别并阻止这些攻击。从这个意义讲，UTM设备是可以有效地保护网络重要资源，同时最大限度地减少因为攻击分析响应和灾后恢复带来的人力成本，从而节省企业的开销。

　　UTM是一个大概念——既提出了具体产品的形态，又涵盖了更加深远的逻辑范畴。因此业内很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念。

　　毕竟，多合一的安全网关简化了用户的安全设备部署，同时方便了用户的安全管理，这也是网络安全发展的一个方向，这样的设备集成到哪里，或者叫什么名字并不重要，关键是否可以提供足够的安全功能和性能实现。