White paper ahn lab trusguard utm

技术白皮书 AhnLab TrusGuard UTM

AhnLab, Inc. 上海市闵行区虹井路185号虹淞大厦2A10室 86-21-6095-6780 www.ahn.com.cn

AhnLab TrusGuard UTM 白皮书

Table of Contents

Ⅰ. Introduction --------------------------------------------------------------- 3

Ⅱ. 安全威胁的近动向 --------------------------------------------------------- 3

Ⅲ. Network Security的发展过程 -------------------------------------------------- 3

Ⅳ. 何为UTM（Unified Threat Management） --------------------------------------- 4

Ⅴ. UTM Technology ------------------------------------------------------------- 5

UTM H/W Technology ---------------------------------------------------------- 5

UTM设备所要具备的网络基础技术------------------------------------------------ 5

UTM设备所要具备的重点安全技术 ----------------------------------------------- 6

防火墙技术 --------------------------------------------------------------- 7

VPN技术 ------------------------------------------------------------------ 7

IDS/IPS技术 -------------------------------------------------------------- 8

Anti-Virus/Spam、防危险站点技术 -------------------------------------------9

End-Point Security技术 --------------------------------------------------- 11

Web Application Security技术 ---------------------------------------------- 11

Ⅵ. UTM Advantages ------------------------------------------------------------ 12

Ⅶ. Deployment of UTM --------------------------------------------------------- 13

Ⅷ. Evolution of UTM ---------------------------------------------------------- 16

Ⅸ. Conclusion ---------------------------------------------------------------- 17

2

Copyrightⓒ2008 AhnLab, Inc. All Rights Reserved.


Ⅰ. 前言

现在，互联网的影响波及到从个人的生活方式到事业领域的各个方面。在我们周围，我们不

难发现通过网上社区共享彼此的信息或利用PDA享受无线网络的乐趣的人们。基于互联网的门户

网站、在线游戏、网络商城等成为了热门的行业。而传统的Off-line产业与互联网结合，衍

生出线银行交易/证券交易及在线教育等更具新附加值行业模式。但当互联网在事业中的地位变

得越来越重要之后，随之而来的是呈几何增加的安全威胁的种类和以此造成的损害。从起初单

纯的黑客攻击或病毒，如今演变成了蠕虫、间谍软件、特洛伊木马、DDoS、网络钓鱼、攻击应

用程序漏洞等，技法的复杂性和破坏力大大增强。

本文将阐述关于作为上述安全威胁的对策而逐渐受到重视的UTM的定、作用及今后的发展方向

等。

II. 安全威胁的近动向

进来，互联网上的威胁及攻击形式呈多样化、智能化、恶性化及复杂化的趋势。过去，主要

以病毒、蠕虫、间谍软件、Bot、特洛伊木马、网络钓鱼、DDoS等单一形式的攻击为主，而现金

出现间谍软件+蠕虫、特洛伊木马+病毒等形式。另外，过去主要是为了炫耀个人的能力及满足

成就感而制作恶意代码，但现在作为取得金钱的利益的手段，其危害变得更大。尤其是，随着

企业对在线商务的依赖性和重要性的提高，出现了很多利用Web/IE等特定应用程序的漏洞进行

的攻击。另外，对公司网站主页的DDoS的攻击也日渐增多。近，发生过几个大型金融机构或

在线商务企业的网站遭到DDoS攻击而瘫痪的事情，也发生过国家之间的虚拟攻击事件。当前流

行的安全威胁的类型有如下几种。

　网络攻击增加：利用网络应用程序的漏洞进行黑客攻击或DDoS（Distributed Denial of

Service；分布式拒绝服务）攻击呈增加的趋势。因为很多网站没有安全措施，因此

面对攻击非常脆弱。很多网站在毫无防备的情况下受到攻击。另外，通过上述方式散

布恶意代码和间谍软件或引向特定站点的情况时有发生。预计通过DDoS攻击取得金钱

的利益的事情将出现的更多。

　利用应用程序漏洞的攻击增加：现在利用MS的操作系统或应用程序漏洞的攻击多，但

呈下降趋势。与此相反，对PDF、苹果Mac OS X、Active X、多媒体播放器、图片浏览器、

Messenger等用户使用较多的应用程序的攻击有所增加。预计这样的趋势将持续一段时间。

　特洛伊木马、蠕虫及间谍软件增加：特洛伊木马、变形蠕虫及间谍软件呈增加的趋势。

以位于东北亚的韩国为例，因为中国特洛伊木马的盛行，2008年上半年全部恶意代码中的

70%为特洛伊木马，而紧接着就是Dropper类型的间谍软件。在东欧的罗马尼亚，以广告为

目的的恶意广告软件类型的特洛伊木马占全部恶意代码的第一位。在俄罗斯，多的是变

形蠕虫类型的Netsky蠕虫和Brontok Worm蠕虫。

　　虚拟黑市活跃：将虚拟物品交换成现金的“虚拟黑市”的规模呈增长趋势。主要交易

品种为个人信息、信用卡信息及网游帐户等，也有恶意代码交易，还有有偿提供DDoS攻击

等。为了取得金钱的利益，抛弃攻击不确定多数用户的方式而采用攻击特定目标的局部攻

击方式。

III. 网络安全的发展过程

3



随着安全威胁呈多样化、智能化、复杂化及恶性化的趋势，基于网络的安全应用的技术及功

能也得到了发展。第一代为基于S/W的单纯包过滤水平的防火墙。此时的主要防御对象是基于

Layer 3/4的未经许可的非法访问。随着互联网的发展和通过网络的信息交换的快速增加，现有

的单纯包过滤不能胜任日益增加的流量和安全威胁。因此出现了第二代基于专用硬件Appliance

的高性能Stateful防火墙和能够观察Packets的Payload的IDS/IPS。第二代产品利用

multi-core/专用Chipset等达到能够处理大容量Traffic的目的，超越基于Layer 3/4的包过滤

的水平，发展成基于Layer 7的包检测，从而能够阻止入侵至内部网络的基于网络的攻击。

随着在线商务成长为主要产业，通过网络的金钱交易日渐活跃之后，安全威胁也的形式也逐渐

演变成通过给企业间的交易或在线商务带来实际破坏的同时获取经济利益的形式。主要是结合

蠕虫和特洛伊木马窃取内部信息或利用特定应用程序的漏洞关闭系统或窃取内部信息的攻击。

为了应对这样复杂而多样的攻击，第三代的Network Security有机地整合从Layer2至Layer7的

各种防御机制，发展成UTM(Unified Threats Prevention)系统。第三代网络安全通过基于Layer

3/4的防火墙、DDoS防御，基于Layer 7的IDS/IPS，基于内容过滤的病毒、垃圾邮件、网址过滤

等功能的相互联动，有效防御复杂的恶意代码及网络攻击，从而成为市场的主要产品。

IV. 何为UTM（Unified Threats Management）

UTM的词是2004年IDC第一次开始使用的，之前叫做整合部分功能的网络整合安全设备。IDC

对UTM的定义为将防火墙和VPN整合成一个设备并添加IDS/ IPS、Anti-Virus、Anti-Spam等各种

功能。UTM为整合的设备并能够添加危险流量分类、阻止URL、防间谍软件、防网络钓鱼等功能。

在此，值得注意的一点是UTM并不是单纯地将各种安全功能整合在一起，而是将各种安全功能

有机地结合在一起，从而防御各种水平的攻击。UTM Architecture如图1所示。

[图 1] UTM Architecture

4



下面来了解一下UTM安全功能之间有机结合的实例。流入企业内部的Packets首先通过DDoS引

擎接受是否为DDoS攻击的判断，之后只有正常通过的Packets才能进行Stateful Inspection方

式的Filtering。此时，非法访问或未得到认可的Packets大部分被过滤掉，而只有少数正常

Packets通过IPS引擎接受是否带有恶意代买的检查。通过IPS引擎之后，经Contents Filtering

Process的检查，带有基于File的病毒/恶意代码的Packets或Spam被过滤掉，只有正常的Packets

流入内部网络。

通过上述各功能间的有机结合及相互联动，可有效防御各Layer的许多攻击。各网络Layer的

典型共计有：Layer 2的ARP Spoofing；Layer 3的IP spoofing、ICMP攻击、DHCP攻击；Layer 4

的flooding及D（D）oS攻击、Scanning；Layer 7的病毒、蠕虫、间谍软件、特洛伊木马、对OS

及应用程序的漏洞的攻击等。为了有效防御上述各种安全威胁，UTM的必要性显得越来越重要。

V. UTM 技术

1. UTM H/W技术

基于Muti-Core的支持H/W的UTM设备提供各种防御功能，那么其性能是否比单独安全解决方案

差？但是，一般而言，1Gbps以下的SMB市场只通过基于CPU的Processing也能处理相应的流量，

而在Multi-Giga级流量的情况下，只要选择基于NP（Network Processor）或Multi-Core CPU

的系统，则不会对其性能带来影响。因此，UTM为了保证S/W的佳性能而支持SMP（symmetric

multiprocessing）。SMP是两个或以上进程使用一个共享内存的多线程计算机architecture。

现在使用的大部分多线程系统遵循SMP architecture。为了有效分配系统负荷，SMP系统允许使

用者调整进程之间的工作计划。

2. UTM设备所要具备的网络基础技术

因为UTM设备是网络环境下工作的网络安全设备，因此当安装到现有网络上之后需与现有的网络

兼容。因此，UTM设备需提供开关、路由器所提供的基本的网络基础技术。

▪ 网络界面技术：UTM设备通常连接于基于Ethernet的开关、路由器进行工作，因此需要提供

Secondary IP、VLAN、Link Aggregation等基本界面功能。

- Secondary IP：需能够在一个物理/逻辑界面分配多个带宽的IP。

-VLAN（Virtual LAN）：VLAN为在Ethernet Frame中插入VLAN ID，从而将注册人小组用虚拟

Lan进行Grouping的技术，在IEEE中标准化成为802.1Q。在UTM中，需能够进行关于802.1Q的不

同的VLAN控制及过滤。

-Link Aggregation：Duplicate界面的技术，是将两个以上的物理界面捆绑为一个逻辑界面的

技术。Link Aggregation不仅能够用于单纯的界面带宽扩展及界面Duplicate，还可用于

Duplicate的网络的工作。

▪ UTM设备的运行模式及相关技术：UTM设备需能够Route（+NAT）、Transparent（or

Bridge）模式运行。

第一、Route模式是分离网络Segment，从而是UTM设备与路由器同步工作的模式。即，需包括路

由器的基本运行并为了 UTM 的三个 Layer 的路由器的运行而支持路由协议。

路由协议可分为静态路由（Static Routing）和动态路由（Dynamic Routing）协议。另外，静

5



态路由又可分为不同目的的路由和不同出发地的路由。而动态路由可分为RIP v1/v2、OSPF、

IS-IS 等 Interior Routing Protocol 和 BGP 、 EGP 等 Exterior Routing Protocol 。

UTM通常需要支持Interior Routing Protocol和经常使用的OSPF等协议。

第二、 Transparent 模式是不分离网络 Segment 而与 Bridge 设备一同使用的模式。

与Route模式不同， Transparent模式具有无需改变现有网络的优点。

第三、NAT模式是利用能够修改网络地址的功能的模式，通常用于Route模式，也可以在

Transparent模式中提供NAT功能。

▪ Duplicate及网络管理技术

UTM需支持作为路由器的Duplicate技术广为人知的VRRP（Virtual Router Redundancy

Protocol）协议。在服务及网络的稳定性方面设备及网络的Duplicate是非常重要的因素。与

Router不同，因为UTM设备进行数据包过滤，因此需要默认支持能够在Duplicate的设备上相互

共享已通过过滤的数据包的Session信息的技术。这样才能在一个设备或网络出现异常时提供不

间断的服务。一般而言，大部分的网络设备提供通过SNMP（Simple Network Management

Protocol）进行网络管理的功能，而UTM设备也需提供利用SNMP进行管理的功能。

[图 2] Full-Mesh Network 结构图

3.UTM设备所要具备的重点安全技术

UTM需具备防网络攻击的Firewall/IPS，能够在multi-layer阻止病毒/蠕虫/垃圾邮件/网络钓鱼

/危险站点的防Proxy、DDoS攻击引擎，能够保证从不安全的区域安全地进行连接的VPN功能等。

6



▪ 防火墙技术

防火墙作为基本的网络安全系统，走过了ACL（Access Control List）->SPI（Stateful

Packet Inspection）->DPI（Deep Packet Inspection）方式的发展过程。DPI作为SPI的发展，

能够检查Application Layer，即Layer 7的Payload内容。在防火墙中，除了基本的数据包过滤

功能之外，还具有NAT（Network Address Translation）、QoS（Quality of Service）、按不

同的时间应用不同策略Scheduling功能。NAT功能能够完成1:1，M:N等各种IP、Port地址变更，

而QoS可按不同的策略或服务限制流量。

▪ VPN技术

VPN为Virtual Private Network的缩略语，是能够将公共网作为内部网使用的技术。默认使用

为过滤而进行的encapsulation、加密及认证，能够一并达到所见专网建设费用及保证安全的目

的。根据不同的Layer，实现VPN的方式有PPTP/L2TP、L2F、GRE、Ipsec、SSL VPN等，而进来主

要使用Ipsec和SSL VPN。

- IPsec VPN

Ipsec是在IP Layer中进行加密的方式，有为交换密钥的IKE（Internet Key Exchange）及为数

据包的加密及完整性的ESP（Encapsulating Security Payload）和AH（Authentication Header）

协议，而根据Ipsec运行方式分为Transport及Tunnel模式。

Ipsec通讯是利用AH、ESP，给需要保护数据添加加密或完整性检查功能进行的传送。传送的方

式可分为Tunnel模式和Transport模式，可在原来的数据包中利用新的IP Head确定是否进行封

装。因为作为网络设备的UTM是Gateway设备，因此主要提供Tunnel模式。

[图 3] Tunnel 模式 IPsec VPN

- SSL VPNSSL

7



VPN是利用SSL（Secure Sockets Layer）协议给数据重复加密。SSL为网络服务器和网络浏览器

之间的安全通讯而使用的协议，当今的Internet Explorer、Firefox等大部分网页浏览器采用

上述技术。因此，与IPsec VPN不同，无需安装另外的程序及无需对程序进行另外的设置也可以

使用。但是，因为在没有Client S/W的情况下允许外部PC的内部访问，因此所访问的PC的安全

状态非常重要。所以，在使用SSL VPN之前，必需结合使用另外的安全措施。例如，在连接SSL VPN

之前，需要对用户PC进行黑客工具检查、键盘敲击检查、运行计算机防火墙等预先安全检查。

另外，在结束SSL VPN连接之后，需删除所连接的用户PC的Cookies及Cache信息等。上述安全措

施需与SSL VPN一起提供，这样才能在安全地保护内部网络的同时提供VPN访问环境。当我们访

问在线银行时能够看到上述保护方式，而上述措施能够保证强有力的安全访问环境。

▪ IDS/IPS技术

IPS（Intrusion Prevention System）为主动型安全解决方案，能够阻止因网络蠕虫/间谍软件

等恶意代码及黑客攻击所导致的危险访问。

与IPS相关的防入侵方式可大致分为如下三种：

- 基于Signature的防入侵

- 基于Behavior的防入侵

- 基于Anomaly的防入侵

基于Signature的防入侵通过数据包的Head及Payload进行防御的方式。基于Behavior的防入侵

通过数据包的行为进行扫描的方式，代表性的有包括flooding攻击的D（D）oS、Scan等。基于

Anomaly的防入侵可分为若不遵循协议则进行阻止的Protocol

anomaly和若通过自我学习（Self

Learning）掌握的平时的网络流量或Session的临界值发生突然的变化时进行阻止的Statistic

al anomaly等。

近比较受关注的DDoS防御技术是，若为利用TCP的DDoS攻击，则在UTM设备中利用使用TCP协议

的3-way hand shake的假想代理应答（又称Syn Cookie）判定攻击的主机的方式。若为TCP意外

的攻击，则利用Statistical anomaly等方式防御DDoS攻击。在防御DDoS攻击时，重要的不是单

纯地阻止相应端口，而是在受DDoS攻击点的时候也要保证正常用户的服务。尤其是，若是大部

分应用程序所使用的TCP协议，需包括这样的措施才能视为防御DDoS攻击。

8



[图 4] DDoS Filter 引擎 Flow

▪ Anti-Virus/Spam、防危险站点技术

-Anti-Virus

Anti-virus需要检查大部分文件，因此需在Application layer中进行处理。检查病毒的对象协

议主要包括与文件的传送和接受相关的SMTP、POP3、IMAP、HTTP、FTP等。

9



[图 5] Anti-Virus Filter 结构

- Anti-Spam

垃圾邮件是指未经许可给不确定多数用户发送的邮件。近，垃圾邮件不仅发送单纯的广告及

宣传资料，也用作散布病毒或恶意代码的手段。

阻止垃圾邮件的方式有过滤关键字的方式，检查注册到Black list的邮件服务器域名进行阻止

的RBL（Real-time Black List）方式，利用统计概率分析数据判定垃圾邮件与否的Bayesian

算法分析方式，利用邮件的特定模式分析数据判定垃圾邮件与否的Heuristic算法分析方式，再

次确认发件人的发件与否之后接受的Challenge/Response方式等各种方式。

10



[图 6] Anti-Spam Filter 结构

-危险站点过滤

在UTM中阻止危险站点的方式有利用包含有危险站点目录的危险信息数据库的方式和利用

PICS（Platform for Internet Content Selection）规则进行阻止的方式。

▪ End-Point Security技术

- 利用VPN的End-Point Security技术

在UTM中VPN技术和End-Point Security技术的结合显得尤为重要。VPN技术是能够将公共网作为

内部网使用的技术，而不能给使用VPN的主机提供安全保障。因此，就像我们访问网上银行一样，

需在连接VPN之前进行病毒检查、阻止键盘敲击、运行PC防火墙等预先安全检查，而结束连接之

后需删除相关使用信息。

- 利用IAC的End-Point Security技术

作为网络访问控制技术的IAC（Internet Access Control），能够从安全方面较脆弱的PC client

保护网络并隔离不安全的PC。可利用IAC功能提高PC的安全性，System/Network等内部IT

Resources的可用性并构建Intelligent的Security环境。

▪ Web Application Security技术

近，利用网络应用程序的漏洞进行的攻击呈增加的趋势。虽然不断增强网络服务器的安全，

但因为攻击的方式趋于智能化，危害程度也随之增加。UTM提供阻止利用网络应用程序的漏洞进

11



行访问及攻击的功能。利用网络应用程序漏洞的攻击方式有很多种，但UTM主要提供对如下攻击

的阻止功能。

- 阻止Command Access：阻止通过网络的文件安装及进程访问。

- 阻止Buffer Overflows：阻止利用应用程序错误的拒绝服务攻击，防止违反完整性

（integrity），阻止破坏机密性（confidentiality）.

- 阻止Cross-Site Scripting漏洞：阻止攻击者向其他用户安装恶意代码（阻止个人信息的泄

露）。

- 阻止Injection：阻止对数据输入值的插入。

- 阻止应用程序下载及文件上传：阻止利用HTTP/FTP协议的数据下载及上传。

VI. UTM Advantages

1. 除Firewall-based Security之外，能够有效应对各种安全威胁

保证安全的Basic

Infrastructure为在Gateway端对流向内部/外部的Traffic进行控制的防火墙。防火墙根据规

定的内部安全策略区分合法访问和非法访问并对非法访问进行有效的控制。但是，不能对隐藏

在合法访问内的非正常安全威胁进行防御。为了防御上述隐藏在合法Traffic的恶意代码或基于

网络的攻击而应运而生的就是IDPS（Intrusion Detection & Prevention System）/Anti-Virus

/内容过滤系统（Anti-Spam，站点过滤）/DDoS防御系统等。在UTM中，在防火墙的基础上有机

结合和上述Security Features，从而提供更加完善的Network Security。

Worm是渗入内部网络并通过自我复制及传播导致内部系统瘫痪的致命的恶意代码。Worm通过根

据防火墙策略合法开放的端口入侵，因此单凭防火墙很难阻止。UTM可利用IPS及Anti-Virus功

能扫描/删除通过防火墙入侵内部的Worm。

近，利用网络漏洞窃取内部信息及用户帐户的SQL Injection黑客行为日益猖獗，但也很难单

凭防火墙阻止其攻击。UTM因为在IPS Signatures中保存有SQL Injection攻击方式的Patterns，

因此可以有效防御其攻击。

除了利用网络漏洞的攻击之外，向系统瞬间灌入大容量Traffic而导致系统及网络瘫痪的（D）

DoS攻击的危害也不可小视。除了基于IPS Signature的对（D）DoS的防御功能之外，UTM还包括

DDoS防御引擎，从而能够有效应对各种类型的DDoS攻击。

2. 通过除去垃圾信息节省内部IT资源并提供业务效率

近，围绕着防火墙所产生的大量的非业务性或垃圾信息降低企业的业务效率。产生上述

Traffic的原因除了恶意代码或基于网络的攻击之外，还有垃圾邮件、P2P、Messenger、证券/

赌博/成人网站等。尤其是，垃圾邮件不仅影响正常的邮件发送和接受，也通过垃圾邮件传播病

毒和蠕虫，其危害性不可低估。

UTM提供对企业内部有可能产生的各种垃圾信息的统一的控制环境。提供利用IPS/Ant-Virus

的防止恶意代码流入内部的功能和利用内容过滤阻止垃圾邮件及危险站点访问限制功能，从而

12



不仅提高内部IT资源的有效使用率，也提高企业内部的业务效率。

3. 无需购买价格昂贵的Point Solution，从而大大缩减构建及运营的成本

若向购买除防火墙之外的IPS、Anti-Spam Gateway、Anti-Virus

Gateway等解决方案，其初期投入相当可观。除了初期费用之外，还需要大量的费用和人历来维

护各种解决方案，增加企业的负担。根据企业的实际情况，若无需购买各个单独的Point

Solution，则UTM将大大降低企业的开支。

UTM利用基于License的方式根据企业的需要提供各种安全功能。因为只需购买一台设备，不

仅可以节省初期投入，而且因为采用基于S/W License的运营方式，其维护也相对容易。另外，

因为只用一台设备提供各种安全功能，因此比起多个Point Solution，具有节省企业电力消耗

的优点。

4. 可对网络进行综合管理

若采用Point

Solution，则为了管理防火墙/IPS/内容过滤等的综合设置及综合日志，另外还需要ESM（Ente

rprise Security

Management）解决方案。否则，企业安全负责人需要熟悉各解决方案提供的Log

Server及Manager的使用方法和各解决方案的日志类型及日志所表达的含义。另外，还需要打开

多个监视器对各个解决方案所发生的事件进行监控。与此相比，UTM提供对各种安全功能的综合

设置和综合日志环境。通过综合管理，不仅可以设置各设备的安全功能，也可设置多个设备共

同策略。另外，利用统一的格式显示安全功能所发生的日志，而且提供各安全功能日志之间的

关联报告。

VII. Deployment of UTM

1. 中小企业/机关安全环境构建方案

13



[图 7] 中小企业企业中 UTM 适用（例）

通常而言，中小规模企业/机关仅仅采用防火墙构建安全环境，因此对各种安全威胁的防御能力

较弱。利用UTM替代单纯的防火墙之后，可得到具备如下功能的强有力的安全环境。

1）利用基于Stateful的Packet Filtering阻止非法访问及Scanning攻击

2）阻止利用防火墙无法阻止的各种恶意代码/基于网络的攻击

3）有效防御通过网络漏洞对网页/网络DB的攻击

4）无需购买价格昂贵的专用设备也能有效防御DDoS攻击

5）通过控制垃圾邮件及垃圾内容构建有效的网络环境

6）提供利用SSL VPN的安全及富有弹性的远程访问环境

2. 总部-分部结构的企业VPN构建方案

14



[图 8] 总部-分公司形式企业的 VPN 结构（例）

若为总部下面设有多个分部的企业/机关，则可利用VPN专用设备构建总部-分部之间的安全的通

讯渠道。但VPN只提供单纯加密的通讯方式，而不能判断数据的恶意代码感染与否或非法访问与

否。若利用UTM构建总部-分部之间的VPN网络，则可得到具备如下功能的强有力的安全环境。

1）可构建与总部具有相同水平的分部安全环境：防火墙、VPN、IPS、Anti-Virus、内容过滤

等

2）控制通过VPN Tunnel的Traffic传播的恶意代码

- 对VPN Traffic的防火墙策略应用及对恶意代码的扫描、阻止功能

3）通过High Availability（Active-Active, Active-Standby）结构的总部安全设备Duplicate

结构-Session同步方式及无L4开关的Duplicate构成方式

15



3. 校园网络构建方案

[图 9] Campus Network 结构（例）

若为由Backbone Network和多个Distribution Network构成的大学校园（或类似结构的企业），

则通常只在与互联网的连接点设置网络安全措施。对于具有大学校园或类似结构/规模的网络的

企业/机关而言，除了得到认可的内部PC或内部用户之外，还有许多未得到认可的PC或外部用户

频繁地访问内部网络。因此，若未得到认可PC感染了恶意代码，则对整个网络产生影响。即使

是得到认可的PC，也会因为诸如USB的使用等感染恶意代码，从而对内部网络产生影响。对于上

述结构的网络，所推荐的UTM构建方案是在Distribution Network（院系）端设置UTM并分配

Security Domain。通过上述构建方案可得到具备如下功能的强有力的安全环境。

1） Distribution Network（院系）可构建单独的Security Domain

-不同的院系应用不同的安全策略（防火墙、IPS、内容过滤等）

2）防止恶意代码从各院系内部向整个Backbone Network扩散

- Security威胁的局部化效果（限制在院系网络内部）

3）与安装在PC/服务器的防病毒软件联动时，可提供NAC（Network Access Control）环境

- 执行对被恶意代码感染的PC的隔离及自动治疗

- 确认PC/服务器Security状态及未达到标准时阻止网络访问并引导解决问题

VIII. Evolution of UTM

16



17


1. 需把重点放在通过与UTM-End-point Security联动所构建的综合安全环境

UTM和End-point安全联动是指通过网络安全设备和安装在PC/服务器的防病毒软件的联动相互

补充彼此的安全功能。例如，对PC/服务器端的防病毒软件安装与否和防病毒软件Signature更

新状态及PC/服务器的安全状态进行检查，并在存在问题的PC/服务器试图访问网络时，由UTM

阻止其访问并引导解决问题。另外，若UTM检测到特定PC中的恶意代码，则隔离被感染的PC并利

用安装于PC的防病毒软件进行强制性自动治疗。另外，若与企业内部使用的认证服务器联动提

供对试图访问网络的PC的认证控制功能，则即使不使用价格昂贵的NAC解决方案，也能构建综合

的NAC环境。

2. 需提供对进来基于网络的攻击主要类型的DDoS攻击的有效防御功能

预计DDoS攻击将是今后2~3年内基于网络的攻击的主要类型。换言之，将会出现各种DDoS变种方

式，其危害更加危险。作为防火墙的替代品，UTM必需在Gateway端提供对这样的攻击的有效防

御方法。为此，就像在IPS引擎中定期更新对新的攻击的防御Signature一样，需在DDoS引擎中

需定期更新对新发现的DDoS攻击的防御Pattern。UTM将会成为无力购买间隔昂贵的专用DDoS防

御设备的中小企业防御DDoS攻击的首选产品。

3. 需摆脱中小企业/机关专用解决方案的形象，为打进大规模Enterprise、金融、公共市场而

持续改善性能

阻碍UTM发展的一个重要的偏见就是认为因一个设备提供多种安全功能，因此会降低其性能。虽

然因为在一个设备中驱动各种安全功能而降低性能，但随着硬件技术的飞速发展，UTM的性能也

得到了长足的发展。随着multi-core技术的发展，出现了搭载Quad Core的UTM设备，而且在有

可能降低性能的Packet Filtering或Packet Classification进程中使用专用Chip-Set来保证优

良性能的技术也取得了可惜的发展。已在市场上出现IPS 5G级别的UTM设备，预计因性能方面的

考虑而曾选用Point solution的大型企业也会逐渐采用UTM设备。

4. 需具备有能够适用于实际网络的IPv6支持功能

现在，美国/欧洲/日本/韩国等互联网产业发达的部分国家为中心掀起是否需要转换到IPv6的讨

论。专业机构的调查显示，正在使用的IPv4的使用率已达到85%，而快到2011年IPv4地址将枯

竭。因此，各国以政府机关为中心向IPv6转换的动向比较明显，预计在今后1~2年内，支持IPv4

& IPv6 Dual Stack的安全设备将以公共机关为中心得到迅速发展。而在不久的将来，企业市场

中也会出现相应情况。因此，UTM也不能单纯地支持IPv6，而需要在实际的网络中提供像IPv4

水平的安全/性能。

IX. Conclusion

根据IDC的报告，到2010年全世界UTM市场的规模将达到2,800百万美元。UTM市场的年增长率将

达到25%，将形成达到防火墙/VPN市场2.5倍的庞大的市场规模。UTM成长的基础是中小企业/机

关的综合安全需要。UTM在替代中小企业/机关的防火墙和VPN的过程中逐渐扩大了市场，而这样

的发展趋势将持续。在今后2~3年内，UTM市场的发展的关键是看能够在High-end级市场中能够

占领多大的份额。已有许多UTM Vendors挑战High-end市场领域，也出现了不少渠道不俗的成绩

的Vendor。这样的UTM的成果显示，“综合”不仅意味着安全功能的综合，还能提供更多的利益。

另外，这样的价值将在今后相当长的一段时间内成为主导网络安全市场的核心概念。

Education

White paper ahn lab trusguard utm