首先，让我们来想象一下通过机场安检时的情景。你先走到安检员面前，让他仔细检查你的登机牌和证件，通过后马上又有机场警察拿着金属探测器挡住你的去路，如果探测器没有发出警报，你就可以继续前行，但走不到几步，又得在行李检查线前停下来，等待警卫搜查行李内是否有易燃易爆物品。

　　在IT世界里，当数据包进入一个高度警戒的网络时，也会遇到类似的情况。随着越来越多用于检查非法入侵、恶意程序、网络攻击、数据泄漏和垃圾邮件的安全软件投入应用，进入系统的数据必须经过多重的检查与核证。与此同时，企业的安全成本当然也在日益增加。有人提出了用一种多功能的产品来替代以上所有的这些安全程序，统一威胁管理（unified threat management，下称UIM）的理念就这样诞生了。

　　UTM产品适用于各种规模的网络。尽管它们目前主要用于中小型企业，但在分布广泛的大型企业中UIM仍然大有勇武之地。毫无疑问，分布式企业以后将会配置多种UTM产品，而这就会带来管理问题。

　　企业需要对UTM设备的广布网络进行管理，并将其整合到现有的安全体系当中，幸运的是，大多数厂商都支持用于管理和整合的平台。像Check Point软件公司、思科系统公司（Cisco Systems）、国际商业机器公司（IBM）及Juniper网络公司这类具有成熟安全套件的大型厂商，都将UTM设备集成到了公司现有的整体安全体系中，这是不足为奇的。令人欣喜的是，一些还没有大型综合安全套件的厂商，如Astaro公司、Cyberoam公司、飞塔公司（Fortinet）、信客公司（Secure Computing）、索尼克公司（SonicWall）和合勤公司（ZyXel），也明确表示要解决多重设备管理和安全技术整合的问题。

　　至于成本方面，UTM市场有一个很有趣的现象，那就是许多设备的内部都整合了开源组件，因此催生出了不少成本低廉的设备，促进了竞争，使用户大大受益。不过，企业必须同时关注通用公共授权证（GPL）的变动，以免惹上侵权官司。

　　优劣分明

　　将安全功能全部集成到一个设备上的做法具有很多显而易见的优点，如降低成本、整理安全报告、统一操作界面、简化网络结构以及减轻管理负担等。事实上，这些优点也促进了终端安全套件市场的进一步整合。在桌面电脑市场上，杀毒产品已经成为了安全体系的核心，围绕这一核心正不断地添加周边功能；而在网络市场，防火墙产品则占据了主导地位。

　　另外，集成安全设备还有一些潜在的好处。首先，它不仅仅意味着虚拟化程度的提高，还能促进计算机向着节能的方向发展。通过UTM可以减少安全设备的数量，从而减少能源开支。此外，UTM还能增强更多成熟产品之间的协作，这可不是我们在说笑。比如说，防病毒模块、反垃圾邮件模块和内容过滤模块可以共享同一个恶意网址的数据库。飞塔公司发挥了这种集成做法的最大功用，其整个网络平台的设计完全以UTM为中心，同时保留了自身的所有模块和电子签名数据库，这在UTM厂商中是极为罕见的。

　　当然，把所有功能集成到一起还是有缺点的。单个UTM产品不可能发挥所有部件的最佳功效。Check Point公司、IBM和Juniper公司的UTM设备集成了公司最高端的防入侵系统(intrusion-prevention systems) ，但除了它们之外，大多数UTM防入侵系统在入侵侦测和防御的功能和深度上还是不及独立的系统。同样，UTM的防病毒和反垃圾邮件功能也不如独立的产品。
 
　　另外，厂商在推销UTM产品时也会有意夸大其辞。君不见，哪款笔记本电脑的电池寿命能有厂商承诺的那么长，而又有哪种啤酒能像电视广告上吹得那样让你周围美女云集？因此，对于UTM销售人员夸下的海口，企业应当有充分的准备。对安全产品进行单一性能评估时，就已经很难量化网络的带宽请求了，而对于由6个或更多独立模块组成的设备来说，在真实的网络环境下，如果所有模块全部开启，那实际性能肯定大大低于厂商的承诺。正因为此，许多产品都添加了硬件加速功能，但是，如果你没有在网络上实际试用过，你根本无法知道是否可行。

　　集成安全系统的另一个潜在缺陷，在于把所有的鸡蛋都放进了一个篮子里，也就是说，如果安全体系的某一个环节被突破，那很可能会对整个体系造成影响。现在安全软件的发展趋势是增强保护效果，而不是全面整合。

　　开源之争

　　某些UTM产品一开始其实就是一堆开源技术的简单组合。例如，把 Snort的入侵检测和防御系统、ClamAV的防病毒技术以及IPTables和Netfilter的防火墙拼凑在一起，就基本上可以搭建出一个UTM了。通过简单的整合，再加上一个接口和报告机制，这款UTM就可作为产品上市了。

　　Smoothwall公司销售的正是这样的产品，并且对此毫不讳言。该公司的产品甚至连界面都是开源和免费的。SmoothGuard 1000能够保护1,000个网络节点，而售价仅为5,000美元，是其他同类产品的1/2到1/3。Check Point公司的同类产品就卖到了15,500美元。而Astaro公司也坦率地承认，其UTM产品(起价1,200美元)的引导区使用了开源，不过它声称这是同类中最佳的总体方案，还表示最近将开源的Squid HTTP代理换成了内部开发的代理。

　　有些UTM厂商瞧不起那些基于开源技术的产品，但事实上，开源软件同商业软件不分伯仲。对于内部资源有限但又想采用UTM的公司而言，它们可以先对各个环节进行风险评估，在风险最高的环节投入资金使用商业软件，而其他地方则可用开源软件作为补充。

　　尽管如此，在选择开源还是商业UTM产品时，还是需要注意一些问题。首先，授权的变化可能会影响到新版软件的开发。例如，在Nessus弱点扫描软件由2.0升级到3.0时，Tenable Network Security公司改变了它对这款软件的授权，尽管主要原因可能是由于3.0版软件的绝大部分开发工作都是由内部程序员进行的。不过，此前版本的授权是不会被撤销的。

　　另外一个问题涉及到GPL的衍生作品条款。有关GPL的许多早期解释都认为，基于编译版的应用程序接口开发的程序不能算是衍生程序。举例来说，把Snort软件拿出来，在配置、管理和输出数据模块上封装一个Web接口，这样得到的产品不算是衍生品。只要原来的程序没有被修改，那么整个软件就不需要GPL授权。但是，现在有一些开源作者对此惯例提出了反对意见。Nmap和Snort公司现在已明确要求，任何利用其程序来制作的软件，如果影响到了UTM厂商的利益，那就必须事先获得授权，例如添加源文件及数据文件，或是用安装程序来封装等。

　　在我们采访过的UTM厂商中，Snort的应用极为普遍，但只有在Sourcefire公司的网站上，Astaro公司才被列为了集成商。其他公司要么正计划放弃使用3.0系列的产品，要么就是和Sourcefire公司私下达成了某种授权协定。Sourcefire公司拒绝透露其中的具体细节。
安全功能一览

　　2004年，当国际数据公司（IDC）分析师克罗齐（Kolodgy）杜撰出新术语“统一威胁安全应用设备”时，他只是在阐述一种趋势，并不是真的想创造一类新的产品。那时防火墙正在加入各种各样的功能，克罗齐最初定义的UTM包括防火墙、入侵侦测和防御、病毒扫描等功能。目前的UTM产品不仅包含了以上功能，还具有很多其它功能。摘要如下：

• 防火墙：最近这种随处可见的安全产品已经失宠了。尽管如此，在真正默认阻止的配置中，使用防火墙仍然是可靠的安全措施。另外，UTM设备的原型是防火墙，这就说明了一个合理的部署模式：网络上任何便于安装防火墙的地方都可以安装其它安全功能。另外，防火墙厂商并没有驻足不前。在最近的防火墙体系中，原本用于第1到第3层OSI网络模型的理念现在已经瞄准了整个堆栈，允许为数据和程序设立相应的规则，而不须考虑具体的端口或协议。


• 入侵检测和防御系统：入侵检测系统和防御系统基本上没什么区别， 它们对传统防火墙的价值体现在探测内部数据包的能力，而不仅仅是探测数据包头。可惜的是，入侵防御系统采用的是默认允许的规则：也就是说，系统只会阻挡网络攻击和可疑行为，对其他任何数据都会默认通过。

　　虽然正确配置的入侵防御系统总体上能够抵挡多数的恶意网络攻击，但随着网络攻击的突破口从服务器转向客户端，系统厂商们就有点应付不了了。网关入侵防御系统通常有一个盲点，它很难以发现那些不以网络套接字为目标的攻击。例如，在SSL交易内部有经过加密的HTTP内容编码，而在该编码中则压缩有加密过的JavaScript，浏览器插件病毒便可潜伏于其中。除非在终端电脑上装有安全软件，或者系统具有几近完美的终端仿真能力，否则任何网络入侵防御系统都无法阻止上述类型的攻击。

• 防病毒：最初定义的UTM包括以SMTP和HTTP病毒扫描为代表的网关防病毒功能。某些防病毒软件把点对点协议、文件传输协议或聊天客户端也列入了防护对象。目前，在最新的UTM产品中，已经不存在单一的防病毒功能了，反间谍软件、反垃圾邮件和反恶意软件等各种功能统统都有。最新的技术使用了针对文件传输的行为扫描，以此来侦测潜在威胁，而不再依赖于静态的数字指纹数据库。当然，无论是行为侦测还是指纹侦测，采用的都是默认允许策略。

　　随着UTM技术的不断发展，UTM产品又配备了各种新的功能，其中包括：

• 网络基础组建功能：在UTM体系下，将诸如虚拟专用网络（VPN）等其它网络功能集成到防火墙产品中已经成为了一种广泛的潮流，在此前提下，许多UTM设备已经完全具备了独立组建内部网络基础的功能，包括NAT、服务质量（QoS）及VPN等。UTM产品中的VPN功能包括站点到站点VPN连接、SSL或其他客户端——服务器VPN技术，从而使远程工作的员工可以访问公司内部资源。


• 内容过滤：一提到这项功能，多数人会自然联想到基于网址黑名单（需要申请授权以获得升级的众多UTM功能之一）的网络内容过滤。软件厂商经常吹嘘说内容过滤能够提高生产力。然而，用户们只要动动脑子就总能获得自己想看的内容。


• 数据丢失防护（DLP）：数据丢失防护产品在近几年风靡一时，传统的UTM设备中也集成了这项功能。现在，有些UTM产品已经具备了简单的数据丢失防护机制，例如电子邮件关键字过滤或是附件拦截。IBM走在了其他厂商的前面，它推出的Proventia系列产品率先具备了整套数据丢失防护功能。


• 网络访问控制（NAC）：即使没有同其他功能结合在一起，网络访问控制的具体概念也很难定义。尽管如此，UTM产品应该尽一切可能采取安全措施来控制网络访问，实施终端安全策略，或是集成其他网络访问控制系统。SonicWall公司的强力防病毒检查代表了朝这个方向迈出的第一步。


• 基于身份的访问控制（IBAC）：基于身份的访问控制是网关产品中另一种较新的安全技术。从计算机诞生以来，认证和授权概念一直被操作系统、应用程序和其他设备所采用，但把身份访问控制用于网关的做法实属首例。Cyberoam公司就把基于身份的安全防护作为了UTM产品的一项基本功能。

　　边界之争

　　由于拥护一些极端的安全理念，耶律哥论坛（JERICHO FORUM）近年来受到了不少业内人士的质疑。

　　耶律哥原是圣经中的一座古城，其城墙在所谓的圣战中坍塌，耶律哥论坛的名字就来源于此典故。论坛认为网络防护不该依靠外部硬件设施，而应当采用深度的防御。耶律哥论坛虽然没有全盘否定网络边界防御，但却极力强调了传统安全体系的局限性。该论坛支持用反边界（deperimeterization）理念来替代传统的安全体系，主要理由如下：

　　首先，互联网上的应用程序越来越多，而且以HTTP为基础的新协议也在不断诞生，因此传统的网络监测产品越来越没有用武之地了。

　　其次，在过去的六年间，原本针对服务器的网络攻击逐渐转向了客户端，这意味着与拥有隔离区（DMZ）的服务器相比，内部客户机更容易被攻破。现在，黑客们已经有相当的把握向你的网络核心发起攻击。

　　最后，时常脱离和进入安全体系的设备越来越多，传统的安全边界防御措施根本无法应付。

　　分层防御真的能取代网络边界统一威胁管理吗？完全不是。事实上，深度防御安全系统的缺点之一就在于它需要大量资源的支持。UTM在提供多样化防护措施的同时，简化了执行和管理，因此更易于实施附加的内部控制，使你的网络高枕无忧。(译|