統(tǒng)一威脅管理(Unified Threat Management)，2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡(jiǎn)稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測(cè)等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動(dòng)了以整合式安全設(shè)備為代表的市場(chǎng)細(xì)分的誕生。

由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。從這個(gè)定義上來看，IDC既提出了UTM產(chǎn)品的具體形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看，眾多安全廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備等產(chǎn)品都可被劃歸到UTM產(chǎn)品的范疇；而從后半部分來看，UTM的概念還體現(xiàn)出在信息產(chǎn)業(yè)經(jīng)過多年發(fā)展之后，對(duì)安全體系的整體認(rèn)識(shí)和深刻理解。

目前，UTM常定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，同時(shí)將多種安全特性集成于一個(gè)硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。

雖然UTM集成了多種功能，但卻不一定要同時(shí)開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級(jí)別。也就是說，如果用戶需要同時(shí)開啟多項(xiàng)功能，則需要配置性能比較高、功能比較豐富的產(chǎn)品。

UTM重要特點(diǎn)

1.建一個(gè)更高，更強(qiáng)，更可靠的墻，除了傳統(tǒng)的訪問控制之外，防火墻還應(yīng)該對(duì)防垃圾郵件，拒絕服務(wù)，黑客攻擊等這樣的一些外部的威脅起到綜檢測(cè)網(wǎng)絡(luò)全協(xié)議層防御。真正的安全不能只停留在底層，我們需要構(gòu)成治理的效果，能實(shí)現(xiàn)七層協(xié)議保護(hù)，而不僅僅局限與二到四層。

2.要有高檢測(cè)技術(shù)來降低誤報(bào)。作為一個(gè)串聯(lián)接入的網(wǎng)關(guān)設(shè)備，一旦誤報(bào)過高，對(duì)擁護(hù)來說是一個(gè)災(zāi)難性的后果，IPS就是一個(gè)典型例子。采用高技術(shù)門檻的分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，因此，針對(duì)不同的攻擊，應(yīng)采取不同的檢測(cè)技術(shù)有效整合可以顯著降低誤報(bào)率。

3.要有高可靠，高性能的硬件平臺(tái)支撐。對(duì)于UTM時(shí)代的防火墻，在保障網(wǎng)絡(luò)安全的同時(shí)，也不能成為網(wǎng)絡(luò)應(yīng)用的瓶頸，防火墻/UTM必須以高性能，高可靠性的專用芯片及專用硬件平臺(tái)為支撐，以避免UTM設(shè)備在復(fù)雜的環(huán)境下其可靠性和性能不佳帶來的對(duì)用戶核心業(yè)務(wù)正常運(yùn)行的威脅。

為什么需要UTM

隨著時(shí)間的演進(jìn)，信息安全威脅開始逐步呈現(xiàn)出網(wǎng)絡(luò)化和復(fù)雜化的態(tài)勢(shì)。無論是從數(shù)量還是從形式方面，從前的安全威脅和惡意行為與現(xiàn)今都不可同日而語。僅僅在幾年之前，我們還可以如數(shù)家珍的講述各種流行的安全漏洞和攻擊手段，而現(xiàn)在這已經(jīng)相當(dāng)困難。現(xiàn)在每天都有數(shù)百種新病毒被釋放到互聯(lián)網(wǎng)上，而各種主流軟件平臺(tái)的安全漏洞更是數(shù)以千計(jì)。我們遇到的麻煩更多的表現(xiàn)為通過系統(tǒng)漏洞自動(dòng)化攻擊并繁殖的蠕蟲病毒、寄生在計(jì)算機(jī)內(nèi)提供各種后門和跳板的特洛伊木馬、利用大量傀儡主機(jī)進(jìn)行淹沒式破壞的分布式拒絕攻擊、利用各種手段向用戶傳輸垃圾信息及誘騙信息等等。這些攻擊手段在互聯(lián)網(wǎng)上肆意泛濫，沒有保護(hù)的計(jì)算機(jī)設(shè)備面臨的安全困境遠(yuǎn)超從前。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問通信進(jìn)行過濾，而入侵檢測(cè)系統(tǒng)只能被用來識(shí)別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問題的炸彈隨時(shí)都有爆炸的可能用戶必須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。而且，一個(gè)類型全面的防御體系也已經(jīng)無法保證能夠使用戶免受安全困擾，每種產(chǎn)品各司其職的方式已經(jīng)無法應(yīng)對(duì)當(dāng)前更加智能的攻擊手段。我們面對(duì)的很多惡意軟件能夠自動(dòng)判斷防御設(shè)施的狀態(tài)，在一個(gè)通路受阻之后會(huì)自動(dòng)的嘗試?yán)@過該道防御從其它位置突破，并逐個(gè)的對(duì)系統(tǒng)漏洞進(jìn)行嘗試。一個(gè)防御組件成功屏蔽了惡意行為之后，攻擊程序在調(diào)整自身的行為之后，已經(jīng)發(fā)現(xiàn)該攻擊活動(dòng)的組件無法通知其它類型的防御組件，使得該攻擊仍有可能突破防御體系。防御更具智能化的攻擊行為，需要安全產(chǎn)品也具有更高的智能，從更多的渠道獲取信息并更好的使用這些信息，以更好的協(xié)同能力面對(duì)日益復(fù)雜的攻擊方法。這就是為什么整合式安全設(shè)備日益受到用戶的歡迎，也是為什么有大量行業(yè)人士認(rèn)為UTM類型的產(chǎn)品將成為信息安全新的主流。

UTM的技術(shù)架構(gòu)[解釋1]

UTM的架構(gòu)中包含了很多具有創(chuàng)新價(jià)值的技術(shù)內(nèi)容，IDC將Fortinet公司的產(chǎn)品視為UTM的典型代表，我們就結(jié)合Fortinet公司采用的一些技術(shù)來分析一下UTM產(chǎn)品相比傳統(tǒng)安全產(chǎn)品到底有哪些不同。

完全性內(nèi)容保護(hù)（Complete Content Protection）簡(jiǎn)稱CPP，對(duì)OSI模型中描述的所有層次的內(nèi)容進(jìn)行處理。這種內(nèi)容處理方法比目前主流的狀態(tài)檢測(cè)技術(shù)以及深度包檢測(cè)技術(shù)更加先進(jìn)，目前使用該技術(shù)的產(chǎn)品已經(jīng)可以在千兆網(wǎng)絡(luò)環(huán)境中對(duì)數(shù)據(jù)負(fù)載進(jìn)行全面的檢測(cè)。這意味著應(yīng)用了完全性內(nèi)容保護(hù)的安全設(shè)備不但可以識(shí)別預(yù)先定義的各種非法連接和非法行為，而且可以識(shí)別各種組合式的攻擊行為以及相當(dāng)隱秘的欺騙行為。

ASIC是被廣泛應(yīng)用于性能敏感平臺(tái)的一種處理器技術(shù)，在UTM安全產(chǎn)品中ASIC的應(yīng)用是足夠處理效能的關(guān)鍵。由于應(yīng)用了完全性內(nèi)容保護(hù)，需要處理的內(nèi)容量相比于傳統(tǒng)的安全設(shè)備大大增加，而且這些內(nèi)容需要被防病毒、防火墻等多種引擎所處理，UTM產(chǎn)品具有非常高的性能要求。將各種常用的加密、解密、規(guī)則匹配、數(shù)據(jù)分析等功能集成于ASIC處理器之內(nèi)，才能夠提供足夠的處理能力使UTM設(shè)備正常運(yùn)作。Fortinet不但成功的在自己的產(chǎn)品內(nèi)應(yīng)用了ASIC這一具有高度尖端性的芯片技術(shù)，而且還進(jìn)行了很多開創(chuàng)性的工作，推出了FortiASIC技術(shù)，令老牌的ASIC廠商也不得不刮目相看。

除了硬件方面有獨(dú)特的設(shè)計(jì)之外，UTM產(chǎn)品在軟件平臺(tái)上也專門針對(duì)安全功能進(jìn)行了定制。專用的操作系統(tǒng)軟件提供了精簡(jiǎn)而高效的底層支持，可以最大限度的發(fā)揮硬件平臺(tái)的能力。UTM產(chǎn)品的操作系統(tǒng)及周邊軟件模塊可以對(duì)目標(biāo)數(shù)據(jù)進(jìn)行智能化的管理，并具有專門的實(shí)時(shí)性設(shè)計(jì)，提供實(shí)時(shí)內(nèi)容重組和分析能力，可以有效地發(fā)揮防病毒、防火墻、VPN等子系統(tǒng)功能。

緊湊型模式識(shí)別語言（Compact Pattern Recognition Language）簡(jiǎn)稱CPRL，是為了快速執(zhí)行完全內(nèi)容檢測(cè)而設(shè)計(jì)的。這種語言可以在同樣的軟硬件平臺(tái)下提供高得多的執(zhí)行效能，并且可以使防病毒、防火墻、入侵檢測(cè)等多種安全功能的安全威脅辨識(shí)工作獲得更好的協(xié)同能力。另外，這種實(shí)現(xiàn)方式還有利于集成更先進(jìn)的啟發(fā)式算法以應(yīng)對(duì)未知的安全威脅。

動(dòng)態(tài)威脅防護(hù)系統(tǒng)（Dynamic Threat Prevention System），是在傳統(tǒng)的模式檢測(cè)技術(shù)上結(jié)合了未知威脅處理的防御體系。動(dòng)態(tài)威脅防護(hù)系統(tǒng)可以將信息在防病毒、防火墻和入侵檢測(cè)等子模塊之間共享使用，以達(dá)到檢測(cè)準(zhǔn)確率和有效性的提升。這種技術(shù)是業(yè)界領(lǐng)先的一種處理技術(shù)，也是對(duì)傳統(tǒng)安全威脅檢測(cè)技術(shù)的一種顛覆。

UTM采用的技術(shù)[解釋2]

實(shí)現(xiàn)UTM需要無縫集成多項(xiàng)安全技術(shù)，達(dá)到在不降低網(wǎng)絡(luò)應(yīng)用性能的情況下，提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護(hù)。以下為一些典型的技術(shù)。

1．完全性內(nèi)容保護(hù)（CCP）

CCP提供對(duì)OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。這種方法比防火墻狀態(tài)檢測(cè)（檢查數(shù)據(jù)包頭）和深度包檢測(cè)（在狀態(tài)檢測(cè)包過濾基礎(chǔ)上提供額外檢查）等技術(shù)先進(jìn)。

它具備在千兆網(wǎng)絡(luò)環(huán)境中，實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象（如文件和文檔）的能力，而且重組之后的應(yīng)用層對(duì)象可以通過動(dòng)態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。CCP還可探測(cè)其他各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙。

2．ASIC 加速技術(shù)

ASIC 芯片是UTM產(chǎn)品的一個(gè)關(guān)鍵組成部分。為了提供千兆級(jí)實(shí)時(shí)的應(yīng)用層安全服務(wù)（如防病毒和內(nèi)容過濾）的平臺(tái)， 專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)是必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時(shí)內(nèi)容分析處理能力， 提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。由于CCP需要強(qiáng)勁的處理能力和更大容量的內(nèi)存來支持，僅利用通用服務(wù)器 和網(wǎng)絡(luò)系統(tǒng)要實(shí)現(xiàn)內(nèi)容處理往往在性能上達(dá)不到要求。

3．定制的操作系統(tǒng)OS

專用的強(qiáng)化安全的OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)。基于內(nèi)容處理加速模塊的硬件加速，加上智能排隊(duì)和管道管理，OS使各種類型流量的處理時(shí)間達(dá)到最小，從而給用戶提供最好的實(shí)時(shí)系統(tǒng)，有效地實(shí)現(xiàn)防病毒、防火墻、VPN、反垃圾郵件、IDP等功能。

4．緊密型模式識(shí)別語言 (CPRL)

這一智能技術(shù)是針對(duì)完全的內(nèi)容防護(hù)中大量計(jì)算程式所需求的加速而設(shè)計(jì)的。 狀態(tài)檢測(cè)防火墻、防病毒檢測(cè)和入侵檢測(cè)的功能要求，引發(fā)了新的安全算法包括基于行為的啟發(fā)式算法，利用在安全要素之間共享信息的優(yōu)勢(shì)。這無疑是對(duì)付零日攻擊、提升檢測(cè)威脅能力的好辦法。

UTM的優(yōu)點(diǎn)

整合所帶來的成本降低

將多種安全功能整合在同一產(chǎn)品當(dāng)中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮作用，相比于單個(gè)功能的累加功效更強(qiáng)，頗有一加一大于二的意味。現(xiàn)在很多組織特別是中小企業(yè)用戶受到成本限制而無法獲得令人滿意的安全解決方案，UTM產(chǎn)品有望解決這一困境。包含多個(gè)功能的UTM安全設(shè)備價(jià)格較之單獨(dú)購買這些功能為低，這使得用戶可以用較低的成本獲得相比以往更加全面的安全防御設(shè)施。

降低信息安全工作強(qiáng)度

由于UTM安全產(chǎn)品可以一次性的獲得以往多種產(chǎn)品的功能，并且只要插接在網(wǎng)絡(luò)上就可以完成基本的安全防御功能，所以無論在部署過程中可以大大降低強(qiáng)度。另外，UTM安全產(chǎn)品的各個(gè)功能模塊遵循同樣的管理接口，并具有內(nèi)建的聯(lián)動(dòng)能力，所以在使用上也遠(yuǎn)較傳統(tǒng)的安全產(chǎn)品簡(jiǎn)單。同等安全需求條件下，UTM安全設(shè)備的數(shù)量要低于傳統(tǒng)安全設(shè)備，無論是廠商還是網(wǎng)絡(luò)管理員都可以減少服務(wù)和維護(hù)工作量。

降低技術(shù)復(fù)雜度

由于UTM安全設(shè)備中裝入了很多的功能模塊，所以為提高易用性進(jìn)行了很多考慮。另外，這些功能的協(xié)同運(yùn)作無形中降低了掌握和管理各種安全功能的難度以及用戶誤操作的可能。對(duì)于沒有專業(yè)信息安全人員及技術(shù)力量相對(duì)薄弱的組織來說，使用UTM產(chǎn)品可以提高這些組織應(yīng)用信息安全設(shè)施的質(zhì)量。

UTM的缺點(diǎn)

網(wǎng)關(guān)防御的弊端

網(wǎng)關(guān)防御在防范外部威脅的時(shí)候非常有效，但是在面對(duì)內(nèi)部威脅的時(shí)候就無法發(fā)揮作用了。有很多資料表明造成組織信息資產(chǎn)損失的威脅大部分來自于組織內(nèi)部，所以以網(wǎng)關(guān)型防御為主的UTM設(shè)備目前尚不是解決安全問題的萬靈藥。

過度集成帶來的風(fēng)險(xiǎn)

將所有功能集成在UTM設(shè)備當(dāng)中使得抗風(fēng)險(xiǎn)能力有所降低。一旦該UTM設(shè)備出現(xiàn)問題，將導(dǎo)致所有的安全防御措施失效。UTM設(shè)備的安全漏洞也會(huì)造成相當(dāng)嚴(yán)重的損失。

性能和穩(wěn)定性

盡管使用了很多專門的軟硬件技術(shù)用于提供足夠的性能，但是在同樣的空間下實(shí)現(xiàn)更高的性能輸出還是會(huì)對(duì)系統(tǒng)的穩(wěn)定性造成影響。目前UTM安全設(shè)備的穩(wěn)定程度相比傳統(tǒng)安全設(shè)備來說仍有不少可改進(jìn)之處。

UTM發(fā)展趨勢(shì)

總體來看，UTM產(chǎn)品為信息安全用戶提供了一種更加實(shí)用也加易用的選擇。用戶可以在一個(gè)更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品聯(lián)動(dòng)性等問題也能夠得到極大的緩解。相對(duì)于提供單一的專有功能的安全設(shè)備，UTM在一個(gè)通用的平臺(tái)上提供了組合多種安全功能的可能，用戶既可以選擇具備全面功能的UTM設(shè)備，也可以根據(jù)自己的需要選擇某幾個(gè)方面的功能。更加可貴的是，用戶可以隨時(shí)在這個(gè)平臺(tái)上增加或調(diào)整安全功能，并且無論如何組合這些安全功能都可以很好的進(jìn)行協(xié)同。現(xiàn)在UTM在安全產(chǎn)品市場(chǎng)上一路高歌猛進(jìn)，除了引發(fā)出的新市場(chǎng)需求之外，UTM還侵蝕了防火墻設(shè)備和VPN產(chǎn)品的很多市場(chǎng)份額。按照目前的發(fā)展態(tài)勢(shì)估計(jì)，UTM產(chǎn)品很可能代替目前傳統(tǒng)的一些信息安全產(chǎn)品，成為信息安全市場(chǎng)上新的主流。根據(jù)IDC的數(shù)據(jù)，UTM產(chǎn)品市場(chǎng)在近幾年會(huì)維持高速的增長(zhǎng)態(tài)勢(shì)，在2008年之前將維持平均接近百分之八十的年成長(zhǎng)率，并于2008年成長(zhǎng)成為一個(gè)容量達(dá)到20億美元的市場(chǎng)細(xì)分。

早在2003年，在市場(chǎng)上銷售UTM類型產(chǎn)品的廠商還只有不到十家，而截止至2004年底，僅推出UTM產(chǎn)品的知名廠商就已經(jīng)達(dá)到了2003年的3倍以上。這些廠商既有老牌的網(wǎng)絡(luò)安全設(shè)備廠商，也有防病毒、防火墻等領(lǐng)域的技術(shù)巨頭，其它一些中小型的UTM廠商更是多不勝數(shù)。被認(rèn)為是最早在市場(chǎng)上推出UTM類型安全產(chǎn)品的Fortinet公司仍舊占據(jù)著該市場(chǎng)的領(lǐng)先地位，但是這種領(lǐng)先已經(jīng)受到了很多后來者的威脅。例如SonicWall公司在2005年第一個(gè)季度的營(yíng)收與去年同期相比已經(jīng)實(shí)現(xiàn)翻翻，而銷售數(shù)量則接近去年該季度的3倍，成為UTM市場(chǎng)崛起的一股新的領(lǐng)導(dǎo)力量。國內(nèi)的天融信能夠連續(xù)數(shù)年成為國內(nèi)安全設(shè)備占有率最高的廠商也同樣證明了一個(gè)道理，持續(xù)的創(chuàng)新和對(duì)用戶需求動(dòng)向的把握是在安全市場(chǎng)成功的重要因素。

當(dāng)前的整合式安全理念呈現(xiàn)出兩種不同的發(fā)展方向，一是在統(tǒng)一威脅管理的框架下融合多個(gè)廠商的多種技術(shù)和產(chǎn)品，二是組合多種功能形成整合化的UTM安全設(shè)備。雖然整合式的UTM安全設(shè)備更加簡(jiǎn)單易用并具有更多先進(jìn)的設(shè)計(jì)元素，但是整合多種現(xiàn)有產(chǎn)品形成有效的解決方案仍然會(huì)在UTM市場(chǎng)中占有重要的地位。首先是因?yàn)槟壳坝写罅康募夹g(shù)和設(shè)備資源是在UTM框架之前形成，我們不可能跨越這些資源從頭建構(gòu)各種安全設(shè)施，而且這樣做也是沒有任何必要的。UTM的先進(jìn)性更多的體現(xiàn)在它的框架理念上，而并非局限于某種具體的產(chǎn)品。我們有足夠的理由和能力將UTM的先進(jìn)理念應(yīng)用于其它形式和模式的安全設(shè)施之上。真正意義上的UTM產(chǎn)品應(yīng)該象我們所提出的UTM概念的后半部分所描述的那樣，形成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)，只有這樣才能提供足夠強(qiáng)壯的安全防御產(chǎn)品滿足用戶的需求。真正深究統(tǒng)一威脅管理的內(nèi)涵我們會(huì)發(fā)現(xiàn)，這既是安全產(chǎn)品不斷向著整合化發(fā)展的直接結(jié)果，同時(shí)更是對(duì)信息安全體系化的不斷精化和反哺歸真。

目前市場(chǎng)上出現(xiàn)的各種UTM產(chǎn)品和UTM解決方案更多的是在已有產(chǎn)品或已有解決方案的基礎(chǔ)上進(jìn)行整合和創(chuàng)新而成，統(tǒng)一威脅管理真正的威力尚沒有被完全發(fā)揮出來。以UTM安全設(shè)備為例，很多廠商的產(chǎn)品仍舊是以防火墻系統(tǒng)為核心，并且在引導(dǎo)用戶認(rèn)知的過程中也體現(xiàn)出方式。這一方面是因?yàn)橛脩魧?duì)防火墻產(chǎn)品的認(rèn)同度較高，另一方面也體現(xiàn)了廠商在技術(shù)實(shí)現(xiàn)方面的一些脈絡(luò)。完全以高于安全功能的更抽象層次進(jìn)行設(shè)計(jì)的產(chǎn)品還不很多見，而只有這樣才能最大限度的從UTM框架中獲得最大的產(chǎn)品價(jià)值提升。同時(shí)延續(xù)對(duì)網(wǎng)關(guān)防御的擔(dān)憂，目前市場(chǎng)上更加具有分布式和具有更高適應(yīng)性的UTM解決方案同樣稀少。所以我們認(rèn)為目前UTM等整合式安全產(chǎn)品的出現(xiàn)仍停留在對(duì)傳統(tǒng)產(chǎn)品的改善和顛覆，尚沒有真正開啟信息安全新時(shí)代的大幕。

展望未來的幾年時(shí)間，UTM陣營(yíng)將在很多方面取得突破，信息安全新格局的產(chǎn)生也有賴于此。用不了很久，UTM產(chǎn)品中就將集成進(jìn)更多的功能要素，不僅僅是防病毒、防火墻和入侵檢測(cè)，訪問控制、安全策略等更高層次的管理技術(shù)將被集成進(jìn)UTM體系從而使組織的安全設(shè)施更加具有整體性。UTM安全設(shè)備的大量涌現(xiàn)還將加速催生各種技術(shù)標(biāo)準(zhǔn)、安全協(xié)議的產(chǎn)生。在UTM理念尚沒有被接受之前，眾多安全廠商就已經(jīng)在積極的尋找使不同廠商的產(chǎn)品可以互通合作的方式。例如CheckPoint發(fā)起的OPSEC聯(lián)盟以及天融信倡導(dǎo)的TOPSEC聯(lián)盟等等，都是在產(chǎn)品互操作性方面的積極努力，并且受到了大量廠商的擁護(hù)和支持。即使UTM安全產(chǎn)品被推出之后，這種對(duì)戶操作標(biāo)準(zhǔn)的渴求應(yīng)該得到延續(xù)，而不能因?yàn)閁TM產(chǎn)品的出現(xiàn)就放棄了對(duì)不同廠商產(chǎn)品可互操作的追求。未來的信息安全產(chǎn)品不僅僅需要自身具有整合性，更需要不同種類不同廠商產(chǎn)品的整合，以最終形成在全球范圍內(nèi)進(jìn)行協(xié)同的安全防御體系。在未來不但會(huì)制訂出更加完善的互操作標(biāo)準(zhǔn)，還會(huì)推出很多得到業(yè)內(nèi)廣泛支持的協(xié)議和語言標(biāo)準(zhǔn)，以使不同的產(chǎn)品盡可能擁有同樣的“交談”標(biāo)準(zhǔn)。最終安全功能經(jīng)過不斷的整合將發(fā)展得象網(wǎng)絡(luò)協(xié)議一樣“基礎(chǔ)”，成為一種內(nèi)嵌在所有系統(tǒng)當(dāng)中的對(duì)用戶透明的功能。而這才是信息安全新時(shí)代到來的真正標(biāo)志，我們期待著UTM為我們吹響向這一目標(biāo)邁進(jìn)的號(hào)角。

UTM問答

什么是UTM？
UTM 的全稱是Unified Threat Management，中文翻譯是統(tǒng)一威脅管理。UTM設(shè)備是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，它將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。UTM起源于為防止混合型、應(yīng)用型攻擊的快速蔓延而對(duì)靈活的、整合各種功能的設(shè)備的需求。

為保護(hù)單位網(wǎng)絡(luò)，在只能購買一臺(tái)產(chǎn)品的前提下，應(yīng)該選擇防火墻還是UTM？
UTM。因?yàn)橥�脅的發(fā)展趨勢(shì)表明，攻擊主要來自于兩個(gè)方面，一是混和攻擊，二是對(duì)應(yīng)用層的攻擊，要抵御這樣的攻擊，單臺(tái)防火墻的防護(hù)能力是不夠的，只有選擇基于防火墻的UTM產(chǎn)品，才能提供全面的保護(hù)功能。UTM可以配置成防火墻，而防火墻不能配置成UTM。

市面上冒出很多UTM設(shè)備，如何判斷其真?zhèn)危?br> 判別UTM設(shè)備真?zhèn)蔚年P(guān)鍵在于4W1H：全部功能（What）能否同時(shí)（When）在所有網(wǎng)卡（Where）（包括VPN隧道）上實(shí)現(xiàn)全雙工（Way），并且有相應(yīng)的功能設(shè)置界面及日志（How）。如果有些功能只能在某一網(wǎng)卡上實(shí)現(xiàn)，則和兩臺(tái)單一設(shè)備橋接在一起使用沒有本質(zhì)的區(qū)別，無法針對(duì)全部安全域?qū)崿F(xiàn)統(tǒng)一威脅管理，因此只能叫做“多功能威脅管理（MTM）”，充其量也只是“UTM 1.0”。
另外，還可以通過公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心公布的資料查看其是否通過了檢測(cè)，對(duì)于那些以“內(nèi)容過濾安全網(wǎng)關(guān)”或“小型防火墻”名義通過檢測(cè)的產(chǎn)品，選擇時(shí)要多加比較。

如何判別UTM產(chǎn)品里的一項(xiàng)功能的價(jià)值？
首先看該UTM產(chǎn)品是否模塊化，如果是，則應(yīng)判斷其所處模塊的整體價(jià)值；如果沒有模塊化，則應(yīng)把該功能單獨(dú)拿出和同類單一產(chǎn)品進(jìn)行比較，如果不能夠代替同類單一產(chǎn)品，則說明該功能還不完善，只是該UTM產(chǎn)品中的點(diǎn)綴，說的好聽是錦上添花，說的難聽是濫竽充數(shù)。另外，再看此項(xiàng)功能能否同時(shí)在全部網(wǎng)卡上生效，如果只能同時(shí)在一個(gè)網(wǎng)卡上生效，則價(jià)值至少縮水8成以上。

單位已購置了一臺(tái)防火墻，還有必要再購置了一臺(tái)UTM嗎？
有必要。為了完善您的安全，消除"安全短板"，對(duì)于安全等級(jí)高的資產(chǎn)的保護(hù)不能只依靠防火墻。在資金有限的情況下，選擇購買UTM比選擇購買IDS/IPS，防毒墻，AAA認(rèn)證設(shè)備等單一功能設(shè)備更能適應(yīng)單位發(fā)展的趨勢(shì)。

UTM可以用于上網(wǎng)行為管理，以提高用戶的生產(chǎn)率嗎？
可以，二代UTM的應(yīng)用過濾模塊包括74類10萬條URL的網(wǎng)頁過濾功能、多語種關(guān)鍵詞網(wǎng)頁內(nèi)容過濾，加上FTP過濾，郵件過濾、備份，MSN、QQ帳號(hào)級(jí)過濾，基本可以滿足一般企事業(yè)單位的上網(wǎng)管理需求。另外，應(yīng)用過濾模塊還具有防病毒、防木馬、防垃圾郵件、防網(wǎng)頁釣魚，流量攔截，VPN隧道內(nèi)仍可進(jìn)行上網(wǎng)行為管理等功能，這是一般旁路式監(jiān)聽產(chǎn)品所無法擁有的。廣義的上網(wǎng)行為管理還包括身份認(rèn)證，用戶級(jí)時(shí)間、會(huì)話數(shù)、流量、帶寬控制等，這不是只做第7層過濾就能達(dá)到的。另外，上網(wǎng)行為管理功能只是UTM的一部分，它偏重于內(nèi)網(wǎng)出外網(wǎng)的管理，因此不能叫做UTM。

單位有一套應(yīng)用系統(tǒng)準(zhǔn)備對(duì)外發(fā)布，如何對(duì)其進(jìn)行安全防護(hù)？
根據(jù)該應(yīng)用系統(tǒng)的類型及價(jià)值，可以進(jìn)行如下防護(hù)：防火墻（端口重定向、包過濾）、抗DoS攻擊（SYN洪水攻擊、IP碎片攻擊、假冒IP地址攻擊等）、時(shí)間控制（一天中的多段時(shí)間）、流量控制（每日/星期/月流量）、帶寬優(yōu)化（保障關(guān)鍵應(yīng)用的帶寬）、會(huì)話控制（保障資源合理利用）、WEB緩存（加快系統(tǒng)反應(yīng)時(shí)間）、IDS（檢測(cè)應(yīng)用攻擊）、IPS（阻攔應(yīng)用攻擊）、身份認(rèn)證（鑒別使用者身份）、應(yīng)用加密（不被竊聽）、VPN（鑒別使用者身份、加密、抗抵賴）、負(fù)載均衡（保障應(yīng)用性能）等。那種只靠防火墻＋抗DoS攻擊的防護(hù)措施只能保證應(yīng)用系統(tǒng)基本的可用性，不能保證應(yīng)用系統(tǒng)的機(jī)密性、完整性、可控性和不可抵賴性。

xx廠家既有防火墻、IDS又有UTM，怎么選擇呢？
首先，看該UTM是否是OEM國外的產(chǎn)品，若是則不如直接選擇國外品牌；其次，看該UTM包含了哪些原防火墻、IDS的功能，如果功能不全則不如選擇原防火墻＋I(xiàn)DS的組合。若資金有限，還是選擇只做UTM廠家的產(chǎn)品性價(jià)比高。

因?yàn)槟撤N原因，UTM可以不要入侵檢測(cè)與阻攔模塊嗎？
可以。對(duì)于二代UTM產(chǎn)品，您可以選擇不要除防火墻模塊外的任何其它模塊。

有無限制用戶數(shù)的UTM/防火墻嗎？
沒有。所謂的“無限制用戶數(shù)”是指：一、沒有在管理功能上做限制，二、沒有有效的控制用戶會(huì)話數(shù)的手段。由于性能上的局限，這種產(chǎn)品所能帶的用戶終究是有限制的。

流量管理就是帶寬管理嗎？
不是。單位時(shí)間（每秒）的流量是帶寬，一定時(shí)間范圍內(nèi)（每天/每星期/每月）的流量不是帶寬而是總流量。目前市面上的防火墻/UTM/流量?jī)?yōu)化設(shè)備一般只有帶寬管理功能而沒有全面的總流量管理功能，二代UTM同時(shí)具備帶寬和流量管理功能，既可以對(duì)IP又可以對(duì)用戶的不同應(yīng)用進(jìn)行管理。

如何選擇帶寬（QoS）管理設(shè)備？
可以考慮兩個(gè)標(biāo)準(zhǔn)：一、帶寬管理功能和包過濾功能在同一條策略中設(shè)置；二、能針對(duì)源IP及目的端口的組合進(jìn)行設(shè)置。如果帶寬管理功能和包過濾策略分離，就不能做到統(tǒng)一帶寬管理；如果只能針對(duì)源IP或目的端口進(jìn)行設(shè)置就不能實(shí)現(xiàn)對(duì)每一客戶端的精細(xì)控制，就有可能導(dǎo)致受控IP的所有應(yīng)用同時(shí)變慢等副作用。

UTM可以被托管嗎？
可以。二代UTM設(shè)有多個(gè)不同角色的用戶，可以將策略管理員的職責(zé)外包給專業(yè)機(jī)構(gòu)，如MSSP，在建立好安全策略后，還可以將此職責(zé)收回，也可以將審計(jì)員的職責(zé)外包給信息安全審計(jì)機(jī)構(gòu)，同時(shí)，統(tǒng)一威脅管理也使得管理者的工作大大簡(jiǎn)便。

為安全起見，可以有多個(gè)DMZ區(qū)，一個(gè)DMZ區(qū)放一臺(tái)服務(wù)器嗎？
可以。您可以將任何網(wǎng)卡配置成DMZ區(qū)。

為了提高出網(wǎng)效率，可以有多個(gè)WAN連接嗎？
可以。您可以將任何網(wǎng)卡配置成WAN連接，用于連接電信、網(wǎng)通、教育網(wǎng)等不同的網(wǎng)絡(luò)。

內(nèi)網(wǎng)控制（或某一其它）功能只能在LAN口處才有嗎？
不是，根據(jù)需求及配置，您可以在任意網(wǎng)卡處擁有全部或部分功能，從而不影響內(nèi)網(wǎng)安全域細(xì)化。

多WAN口的設(shè)備好還是多LAN口的設(shè)備好？
多LAN 口的設(shè)備更能保護(hù)內(nèi)網(wǎng)安全，它相當(dāng)于內(nèi)置了一臺(tái)三層交換機(jī)，各個(gè)LAN口所在的網(wǎng)絡(luò)之間是缺省隔離的，并受到UTM的保護(hù)，這使得內(nèi)網(wǎng)安全域可以細(xì)化，例如財(cái)務(wù)部、高級(jí)管理人員的網(wǎng)絡(luò)可以和其它部門的網(wǎng)絡(luò)分開，保障其不受內(nèi)部人員或網(wǎng)絡(luò)蠕蟲的攻擊（據(jù)美國FBI統(tǒng)計(jì)70～85％的攻擊來自于內(nèi)部），這是用網(wǎng)卡別名生成不同網(wǎng)段所不能比擬的。多WAN口設(shè)備主要用于業(yè)務(wù)連續(xù)性要求高的單位，不能解決內(nèi)部的安全問題。多MDZ口的設(shè)備和多LAN口的設(shè)備類似，可以更進(jìn)一步保障DMZ網(wǎng)絡(luò)的安全。

只能有LAN、WAN、DMZ三種安全域嗎？
不是，根據(jù)需求及配置，您可以擁有2～N個(gè)不同的安全域，相當(dāng)于同時(shí)擁有N/2臺(tái)UTM防火墻，其中N等于網(wǎng)卡的數(shù)量。那些號(hào)稱有1LAN、1DMZ、 2WAN網(wǎng)卡的設(shè)備，由于網(wǎng)卡角色固定，擴(kuò)展性及靈活性不高，不能滿足變化多端的實(shí)際用戶網(wǎng)絡(luò)環(huán)境，所能實(shí)現(xiàn)的安全等級(jí)也不會(huì)很高。

為方便管理及節(jié)約投資起見，可以將管理員主機(jī)設(shè)在任意安全域內(nèi)嗎？
可以。您可以將管理員主機(jī)設(shè)在任意安全域內(nèi)以方便管理。與此相反，您也可以將某一安全域?qū)ｉT用于管理以加強(qiáng)安全性。

內(nèi)網(wǎng)的計(jì)算機(jī)是裝備了可信計(jì)算技術(shù)的安全計(jì)算機(jī)，還需要老三樣（防火墻、防病毒、入侵檢測(cè)）的保護(hù)嗎？
需要。可信計(jì)算技術(shù)只解決了用戶及終端可信的問題（正確的用戶使用正確的計(jì)算機(jī)），它不能保證用戶及終端不受病毒（除了BIOS病毒）等外界攻擊，也不能保證經(jīng)過驗(yàn)證的用戶及終端不攻擊其他用戶及終端。實(shí)踐證明，在只裝備了可信技術(shù)的計(jì)算機(jī)上安裝windows操作系統(tǒng)，將100％被黑，若是被網(wǎng)絡(luò)蠕蟲侵犯，這臺(tái)可信計(jì)算機(jī)還將充當(dāng)傀儡攻擊其它計(jì)算機(jī)。因此，可信計(jì)算技術(shù)和"老三樣"不是代替的關(guān)系而是互補(bǔ)的關(guān)系。

UTM可以用于內(nèi)網(wǎng)安全嗎？
可以。中神通內(nèi)網(wǎng)安全網(wǎng)關(guān)是UTM在內(nèi)網(wǎng)安全領(lǐng)域的實(shí)踐，它在防御外部攻擊的同時(shí)，也可以防御內(nèi)網(wǎng)之間的竊聽和攻擊。

綁定IP及MAC地址可以用來解決身份認(rèn)證問題嗎？
不能，即使在一級(jí)接入交換機(jī)的端口上綁定，也不能根據(jù)IP及MAC地址來判定一臺(tái)計(jì)算機(jī)是否合法，這是因?yàn)橛?jì)算機(jī)的IP和MAC地址可以同時(shí)改變，在Windows下這種改變更加簡(jiǎn)便易行。

有更好的辦法用來解決內(nèi)網(wǎng)IP地址盜用的問題嗎？
可以。您可以啟用身份認(rèn)證功能，將內(nèi)網(wǎng)的安全域細(xì)化。

有更好的辦法用來解決內(nèi)網(wǎng)用戶私設(shè)代理、路由逃避收費(fèi)嗎？
可以。一般用戶機(jī)器和網(wǎng)關(guān)的不同在于同時(shí)連接數(shù)的不同，可以將內(nèi)網(wǎng)用戶的同時(shí)連接數(shù)設(shè)為一個(gè)合理值，并對(duì)連接會(huì)話的流量進(jìn)行排序，流量排在前幾名的連接可能是代理發(fā)出的。還可以檢測(cè)同一IP的QQ、MSN帳號(hào)，多個(gè)帳號(hào)表明可能是代理。

可以通過封閉端口來阻止BT、P2P下載嗎？
不能。BT、P2P的端口可以在全部65535個(gè)端口中變換，不能指定某個(gè)端口就是BT、P2P所用的端口。如果只保留80、53等常用端口而封掉1024以上端口將影響FTP等常見軟件的使用，好的控制方法是在全開的前提下進(jìn)行的，這樣不會(huì)影響正常工作。

通過特征值來阻攔聊天、游戲、BT、P2P軟件好嗎？
不一定，可以用特征值來阻攔的網(wǎng)絡(luò)軟件只是很少的一部分，面對(duì)層出不窮、日新月異的此類軟件，與其封堵不如限制使用，這樣才能在不妨礙正常工作的前提下管好網(wǎng)絡(luò)，即應(yīng)該將工作重點(diǎn)放在優(yōu)化正常工作流量上，而不是相反。

限制了源端IP的最大同時(shí)會(huì)話數(shù)是否能夠解決BT下載等資源濫用的問題？
不能。關(guān)鍵在于不好確定具體的取值，如果小了，例如，100，從整體上講，單個(gè)用戶的濫用行為不會(huì)影響到整個(gè)網(wǎng)絡(luò)的性能，但是每個(gè)用戶可用的資源將受到固定的限制，即在限制BT下載的最大同時(shí)會(huì)話數(shù)的同時(shí)也限制了正常工作用的最大同時(shí)會(huì)話數(shù)，最終結(jié)果是工作效率的下降，這可能比因BT下載而導(dǎo)致的損失更大更持久；反之，如果大了，例如，1000，則不足以限制因多個(gè)IP同時(shí)BT下載而導(dǎo)致的資源濫用。總之，這種方法是一種似是而非的解決方案，二代UTM可以做到基于會(huì)話的最大同時(shí)會(huì)話數(shù)的控制，即對(duì)源IP＋目的IP＋目的端口＋協(xié)議組合的控制，可以完美的解決BT下載等資源濫用的問題，同時(shí)不會(huì)影響正常工作效率。

可以查看同時(shí)連接數(shù)嗎？
可以。您可以查看客戶端的同時(shí)連接數(shù)，也可以查看服務(wù)器的同時(shí)連接數(shù)，并且可以按多種條件進(jìn)行查詢，查到的連接可以馬上中斷，即所見即所斷。

設(shè)置時(shí)間策略后，當(dāng)時(shí)間到時(shí)可以將已建立的連接中斷嗎？
可以。狀態(tài)檢測(cè)防火墻的基本功能不僅包括建立、維護(hù)新連接狀態(tài)，還包括定時(shí)或手工中斷已建立的連接，如果只做到前者而做不到后者就會(huì)導(dǎo)致安全策略只能控制新連接而不能控制已建立的連接，使得防火墻形同虛設(shè)。

針對(duì)應(yīng)用的用戶認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA）可以不只限于WEB應(yīng)用嗎？
可以。您可以針對(duì)任何應(yīng)用啟用用戶認(rèn)證、授權(quán)、計(jì)費(fèi)（AAA）功能，但只有WEB應(yīng)用才有認(rèn)證重定向功能。如果只對(duì)WEB應(yīng)用（一種應(yīng)用）做用戶認(rèn)證（一個(gè)A）則意義不大。

WEB重定向需要修改網(wǎng)站的網(wǎng)頁嗎？
不需要。您不用修改任何網(wǎng)站的網(wǎng)頁。

針對(duì)應(yīng)用的流量控制可以不只限于WEB或P2P應(yīng)用嗎？
可以。您可以針對(duì)任何應(yīng)用啟用流量控制功能。那些只針對(duì)P2P應(yīng)用的流量控制沒有普遍性，不能控制所有的應(yīng)用，適用于ISP方的控制而不適用于終端客戶的使用。

可以不讓用戶通過WEB郵件、網(wǎng)盤等上傳文件嗎？
可以。您可以通過WEB代理的"最大上下載文件大小"參數(shù)進(jìn)行控制。

可以提供過濾URL來阻止用戶瀏覽黃色網(wǎng)站嗎？
不一定，目前全世界的黃色網(wǎng)站有3.7億之多（截止2007年6月），而廠家的URL數(shù)據(jù)庫最多也就是千萬級(jí)的，且不談不能覆蓋全部黃色網(wǎng)站，就是把現(xiàn)有 URL全都過濾一遍，其上網(wǎng)速度也將慢得出奇。另外，加密隧道的使用將逃避所有的URL過濾設(shè)備的檢查，對(duì)此用戶應(yīng)該有心理準(zhǔn)備。

如何設(shè)置網(wǎng)頁的內(nèi)容過濾？
在設(shè)置關(guān)鍵詞之前請(qǐng)先確定網(wǎng)頁編碼的格式，同樣是顯示簡(jiǎn)體中文，網(wǎng)頁的編碼格式就有GB2312和Unicode兩種，因此要查看網(wǎng)頁源代碼，確定網(wǎng)頁編碼的格式后，再設(shè)置關(guān)鍵詞及其權(quán)重。

為什么內(nèi)網(wǎng)裝了防病毒軟件仍然病毒、木馬泛濫？
因?yàn)楝F(xiàn)在的病毒、木馬在釋放出來前都是經(jīng)過各種防病毒軟件的檢測(cè)，在做到基本“免疫”之后才會(huì)放出來搗亂，各種防病毒軟件只有取得病毒、木馬樣本之后才能做到防病毒（參看：CCW報(bào)道：熊貓燒香病毒幕后黑手曝光）。這種結(jié)構(gòu)性的缺陷導(dǎo)致各種病毒、木馬泛濫成災(zāi)，性能再高的內(nèi)容過濾設(shè)備對(duì)此也無能為力。二代UTM可以從病毒、木馬的源頭防止這種情況的發(fā)生，起到了治標(biāo)又治本的作用。

網(wǎng)關(guān)防病毒和網(wǎng)絡(luò)版防病毒軟件有什么區(qū)別？
網(wǎng)關(guān)防病毒是對(duì)內(nèi)網(wǎng)所有網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)的過濾，協(xié)議有HTTP、POP3、SMTP等，網(wǎng)絡(luò)版防病毒軟件的控制方式是網(wǎng)絡(luò)的，執(zhí)行端還是在各個(gè)終端處。在桌面防病毒軟件不起作用的時(shí)候，網(wǎng)關(guān)防病毒可以幫助這些機(jī)器抵御來自網(wǎng)絡(luò)的病毒，因此是桌面防病毒軟件的最佳拍檔。如果您要保護(hù)Windows共享資源，請(qǐng)選用IDS/IPS模塊，它具備5000多條針對(duì)windows漏洞的防御規(guī)則，可以讓您放心打開PC防火墻共享Windows資源。

有更好的辦法用來阻攔MSN、QQ聊天嗎？
有。您不必在客戶端安裝任何控制軟件，不必讓客戶端加入域，不必阻攔客戶端的IP，也不必上網(wǎng)查詢MSN、QQ服務(wù)器IP地址，因?yàn)槎�代UTM只針對(duì)MSN、QQ帳號(hào)進(jìn)行阻攔，而且可以為您找出最新的MSN、QQ服務(wù)器IP地址。IM過濾的三重境界是：端口過濾、協(xié)議過濾和帳號(hào)過濾，帳號(hào)級(jí)過濾可以對(duì)客戶端設(shè)施更加靈活的訪問控制策略，可以避免因封MSN、QQ而帶來的工作上的不便，是目前最好的控制方法。

P2P、HTTP TUNNEL如何檢測(cè)？
首先，在打開的端口中不包括常見的P2P服務(wù)端口，這將導(dǎo)致P2P通過Port 80通訊。然后，啟用Port 80過濾功能，通過查看日志找到P2P、HTTP TUNNEL軟件留下的痕跡，在Port 80過濾規(guī)則中拒絕這些特征，這樣可以將大部分P2P、HTTP TUNNEL通訊阻攔。

所有模塊都打開，網(wǎng)速變慢怎么辦？
首先，查看DNS服務(wù)器設(shè)置是否是本地ISP提供的，IE瀏覽器是否中毒等，可以通過IP地址訪問一個(gè)穩(wěn)定、快速的站點(diǎn)（例如百度等），確認(rèn)不是所有網(wǎng)站同時(shí)出了問題。另外一種情況是網(wǎng)絡(luò)內(nèi)有ARP病毒，注意查看ARP、系統(tǒng)日志，及時(shí)了解ARP請(qǐng)求的異常情況。其次，查看是否是因?yàn)橛布�處理能力不夠而�?dǎo)致網(wǎng)速變慢，如果是這樣，建議增強(qiáng)硬件配置，或?qū)�安全模塊分散在多臺(tái)優(yōu)強(qiáng)UTM中使用。

性能是防火墻、UTM最重要的因素嗎？
不全是。防火墻、UTM是控制設(shè)備，其最重要的因素依次為安全、穩(wěn)定、性能、擴(kuò)展性，路由器、交換機(jī)是連接設(shè)備，其最重要的因素依次為性能、穩(wěn)定、擴(kuò)展性、安全。例如，當(dāng)無法檢測(cè)網(wǎng)絡(luò)蠕蟲的攻擊而導(dǎo)致其在網(wǎng)上蔓延時(shí)，一臺(tái)高性能的防火墻、UTM所具有的"同時(shí)連接數(shù)"及"每秒新建連接數(shù)"的性能指標(biāo)在幫助它長(zhǎng)時(shí)間不當(dāng)機(jī)的同時(shí)，也幫助了網(wǎng)絡(luò)蠕蟲大面積的傳播，與此相反，一臺(tái)馬上當(dāng)機(jī)的低性能的防火墻、UTM反到能阻止這種情況的發(fā)生。

利用虛假IP地址進(jìn)行攻擊會(huì)使入侵阻攔（IPS）產(chǎn)生負(fù)面影響嗎？
不會(huì)。入侵阻攔利用多項(xiàng)技術(shù)盡量減輕這種影響。首先，每條規(guī)則均可自定義，其次，使用IP地址白名單方式，然后，可以將阻攔限制在發(fā)生攻擊所在的網(wǎng)卡處，再次，可以將阻攔時(shí)間設(shè)為一段較短的時(shí)間。

IPSEC中可以用證書認(rèn)證而不用CA嗎？
可以。請(qǐng)使用RSA證書認(rèn)證，它比共享口令認(rèn)證安全，比X.509證書認(rèn)證簡(jiǎn)便，適用于10個(gè)連接以內(nèi)的IPSEC虛擬專用網(wǎng)。

用戶遠(yuǎn)程訪問必須使用VPN嗎？
不一定。VPN的優(yōu)勢(shì)之一是加密，若遠(yuǎn)程訪問的應(yīng)用有加密措施，則使用優(yōu)強(qiáng)UTM的基于用戶認(rèn)證的安全策略（應(yīng)用）就可以滿足客戶的需求。

用戶遠(yuǎn)程接入的首選是SSL VPN嗎？
不一定。SSL VPN的起源是為了多種應(yīng)用（HTTP、FTP、終端服務(wù)、X11、VNC等）只通過80或443端口訪問遠(yuǎn)程服務(wù)器，可是當(dāng)客戶端方網(wǎng)關(guān)進(jìn)行內(nèi)容過濾時(shí)，這種連接將被攔截。反之，若不檢測(cè)則這種或其它隧道技術(shù)也可以利用80或443端口逃避網(wǎng)關(guān)的檢查，成為網(wǎng)關(guān)上的一個(gè)"洞"。若SSL VPN喪失配置便利的優(yōu)勢(shì)，則二代UTM的PPTP VPN可以成為用戶遠(yuǎn)程接入的理想選擇。所以，SSL VPN作為內(nèi)部的工作門戶比作為遠(yuǎn)程接入更合適。

PPTP用戶可以改口令嗎？
可以。二代UTM提供WEB Portal，用戶可以在其上修改口令，而且不需要任何第3方的軟件或服務(wù)（CA、RADIUS等）。一個(gè)不能讓用戶自己修改口令的VPN產(chǎn)品，其可用性幾乎為零。

IPSEC、PPTP VPN加密隧道內(nèi)可以進(jìn)行并發(fā)連接數(shù)、帶寬、流量管理、內(nèi)容過濾以及入侵檢測(cè)與阻攔（IDS/IPS）嗎？
可以。二代UTM可以對(duì)VPN隧道進(jìn)行全功能的控制，能夠提供比所謂的“Clear VPN”更全面的控制。