我國各行各業(yè)信息化建設(shè)步伐明顯加快，對網(wǎng)絡(luò)的依賴性明顯成上升趨勢，這就為網(wǎng)絡(luò)安全管理者提出了更高的要求。詭異的入侵技術(shù)、前所未有的破壞手法都一再地讓企業(yè)的網(wǎng)絡(luò)安全亮起紅燈，企業(yè)在解決安全威脅可能造成的風(fēng)險之余，還要同時面對眼花撩亂的安全產(chǎn)品，應(yīng)接不暇。因此，如何兼具低成本、高安全性與執(zhí)行效率，便成為企業(yè)信息化建設(shè)所追求的一紙良方。
安全管理，病魔纏身
隨著個人安全資訊網(wǎng)站的數(shù)目增多，安全威脅無論在形式上還是在數(shù)量上，都已呈現(xiàn)出爆炸性的增長。一些隱藏在網(wǎng)絡(luò)幕后的破壞者，以及其變態(tài)的心理在生產(chǎn)者病毒，現(xiàn)在每天都有成百種新型病毒在網(wǎng)上出現(xiàn)，而主流應(yīng)用平臺的安全漏洞更是數(shù)以千計。很多新型的病毒都是針對現(xiàn)有的反病毒軟件，廣泛利用底層驅(qū)動技術(shù)，提高隱蔽性將成為病毒發(fā)展的重要技術(shù)趨勢。以“多頭蠕蟲病毒”為例，就融合了緩沖區(qū)溢出技術(shù)、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù)。與此同時，間諜軟件也成為了“僵尸網(wǎng)絡(luò)”的慫恿與制造者。這類軟件會將自己嵌入到系統(tǒng)當(dāng)中，并且通過系統(tǒng)層的攔截方式掌控其它的程序以進(jìn)行一些任務(wù)，因此這類軟件非常的難以偵測與移除，也成為企業(yè)用戶切入肌膚的痛處。
近幾年，以網(wǎng)絡(luò)釣魚 (Phishing)和垃圾郵件等社會工程為主的卑鄙手段開始泛濫。釣魚者利用垃圾郵件的方式當(dāng)作釣餌，即使是茫茫大海撈針，估計也能撈起一兩根來。單從如何應(yīng)對這些病毒和木馬而言，一些注重安全管理的企業(yè)用戶就不能輕松應(yīng)對。何況，混合攻擊以及社會工程入侵，都增加了數(shù)據(jù)外泄與丟失的可能性，而配置錯誤和缺乏管理等問題更使實現(xiàn)整體安全防御的難度增加，都使得企業(yè)的信息化城郭，千瘡百孔。
病走八脈，藥選幾味？
在諸多安全產(chǎn)品中，防火墻能夠有效防止黑客的惡意攻擊，電子認(rèn)證系統(tǒng)能夠保證客戶端的可信性，VPN能夠確保信息在互聯(lián)網(wǎng)上不被竊聽……然而，在實際工作中，搭建這些各自相對獨立的系統(tǒng)需要大量的資金投入，同時還要投入人力進(jìn)行系統(tǒng)維護(hù)工作，這就使得很多中小企業(yè)。另外，網(wǎng)絡(luò)的娛樂性與企業(yè)信息的安全性成為最突出的矛盾。企業(yè)無法控制的Internet上網(wǎng)行為（如：網(wǎng)頁、郵件），內(nèi)部網(wǎng)絡(luò)的訪問行為（如：訪問網(wǎng)上鄰居、關(guān)鍵服務(wù)器、敏感文件）和計算機用戶的操作行為（如：應(yīng)用程序、剪貼板）。同時，上班時間玩游戲、收看網(wǎng)絡(luò)TV等都嚴(yán)重影響了組織的網(wǎng)絡(luò)可用帶寬，因此對異常流量監(jiān)控，統(tǒng)計網(wǎng)絡(luò)中客戶端流量，報警并處理異常網(wǎng)絡(luò)流量等，都不能讓我們依賴一兩個單獨架構(gòu)的安全產(chǎn)品。
協(xié)同管理的技術(shù)特征
相信仍有許多人對何謂UTM設(shè)備不甚清楚，事實上，統(tǒng)一威脅管理技術(shù)最早由Fortinet公司在2002年提出，2004 年9月美國著名的IDC提出將防病毒、入侵檢測和防火墻安全設(shè)備命名為統(tǒng)一威脅管理（United Threat Management, 簡稱UTM ）。而許多企業(yè)用戶對于UTM設(shè)備的概念還比較陌生，很多人稱為多功能防火墻、多功能安全網(wǎng)關(guān)器，這樣的稱呼或許比較容易讓人了解，尤其防火墻，對絕大多數(shù)企業(yè)而言，更是耳熟能詳。對于不同的制造商來說，實現(xiàn)這些功能的方式也各有不同。很多廠商采取以防火墻系統(tǒng)作為基礎(chǔ)增加其它安全功能的方式，也有一些廠商采用基于IDS融合其它功能的方法。
硬件架構(gòu)的演變
目前，整合式安全設(shè)備從形態(tài)上來說更多的是以防火墻為核心整合其它安全功能，這與防火墻產(chǎn)品在安全領(lǐng)域的核心地位是密不可分的。由于UTM安全設(shè)備通常會同時運行多個功能模塊，對系統(tǒng)性能的要求要遠(yuǎn)遠(yuǎn)大于單純的防火墻或入侵檢測系統(tǒng)。比如，普通的路由器需要10個指令就可以處理的封包數(shù)據(jù)，在基于七層防毒功的UTM設(shè)備上就需要9000個指令，這意味著UTM產(chǎn)品必須使用相對高端的硬件技術(shù)。
ASIC（專用集成電路）是被廣泛應(yīng)用于性能敏感平臺的一種處理器技術(shù)，在防火墻安全產(chǎn)品中,ASIC的應(yīng)用是處理效能是否足夠的關(guān)鍵。將各種常用的加密、解密、規(guī)則匹配、數(shù)據(jù)分析等功能集成于ASIC處理器之內(nèi)，才能夠提供足夠的處理能力使UTM設(shè)備正常運作。除了基于ASIC硬件架構(gòu)之外，還有很多UTM安全設(shè)備使用了近年來興起的NP（Net Processor，網(wǎng)絡(luò)處理器）架構(gòu)。NP是為了緩解ASIC設(shè)計周期長、成本高等問題而推出的處理器技術(shù)，同時NP能夠提供趨近于ASIC的運算效能。
目前市場許多以特征字符串比對技術(shù)為核心UTM ASIC方案，可能導(dǎo)致系統(tǒng)效能不夠穩(wěn)定與緩慢，僅能提供有限的安全防護(hù)與網(wǎng)絡(luò)速度的瓶頸。這類框架系統(tǒng)要求在特征字符串比對前，需要先將封包重組，而現(xiàn)在的病毒或蠕蟲，通常會偽裝為正常的文件名稱與大小，切割為幾百，乃至上千個封包。而封包重組后的檔案越大在系統(tǒng)內(nèi)存占用的空間也越大，當(dāng)檔內(nèi)存空間被占滿以后，必然導(dǎo)致忽略或擁塞現(xiàn)象發(fā)生，病毒或蠕蟲也會趁隙溜到內(nèi)部網(wǎng)絡(luò)中。
面對特征字符串比對與封包重組的問題，現(xiàn)在有的UTM廠商提出DFA（Deterministic Finite Automata決定式有限自動機)的技術(shù)。DFA最大的特色，就是掃瞄封包時不會受到數(shù)據(jù)包大小的限制，因為其通過“Reassembly Free”的方式順序的將傳送的封包一一比對，不需先儲存于系統(tǒng)內(nèi)存中重組，所以特征掃瞄時是不需儲存整個完整字符串，而是針對每個封包中字段進(jìn)行比對，將有嫌疑的封包標(biāo)記，并且將后續(xù)關(guān)聯(lián)性封包一并標(biāo)記處理，這可讓有問題的病毒文件無法重組或開啟。