劉勝華 金志平 劉云龍

1廣州從興電子開發(fā)有限公司 廣東 510275 2中山職業(yè)技術學院 廣東 528400 3廣東有線廣播電視網(wǎng)絡股份有限公司 廣東 510275

0 引言

隨著網(wǎng)絡的日益發(fā)展和和應用軟件的變化，信息安全威脅開始逐步呈現(xiàn)出網(wǎng)絡化和復雜化的態(tài)勢，威脅對象由主機資源轉變?yōu)榫W(wǎng)絡資源、數(shù)量呈現(xiàn)爆炸式增長、形式多種多樣，混合型攻擊層出不窮。

單一的防火墻、入侵防御網(wǎng)關、防病毒網(wǎng)關、反垃圾郵件網(wǎng)關、防DoS攻擊網(wǎng)關等安全設備，在面對這種復雜的混合型攻擊時存在著巨大的安全問題。而把多種安全設備簡單的組合起來，則可能出現(xiàn)管理復雜，高成本，低性能等問題。

2004年 9月，IDC提出統(tǒng)一威脅管理(Unified Threat Management, UTM)的概念。隨后，UTM成為了應對網(wǎng)絡化和復雜化的安全威脅趨勢的一個有效解決方案。UTM是指由硬件、軟件和網(wǎng)絡技術組成的具有專門用途的設備，主要提供一項或多項安全功能，將多種安全特性集成于一個硬設備里，構成一個標準的統(tǒng)一管理平臺。

UTM設備應該具備的基本功能包括網(wǎng)絡防火墻，網(wǎng)絡入侵檢測，防病毒等。

1 UTM技術

UTM設備具有多種安全檢測功能，這就要求UTM設備具有強大的報文數(shù)據(jù)處理能力，以達到網(wǎng)絡應用對性能的要求。為了提高UTM的性能，可采取以下兩種途徑：

（1）選擇高性能的硬件；

（2）對軟件體系進行架構上的優(yōu)化。

1.1 UTM硬件平臺

目前，常見的UTM的硬件平臺技術主要有：

（1）x86架構：使用通用的x86 CPU對報文數(shù)據(jù)進行處理，包括報文數(shù)據(jù)的接收，報文的分發(fā)，安全規(guī)則檢測等。由于采用的是通用 CPU架構，以上所述的各個報文處理環(huán)節(jié)，設備各個功能模塊均由軟件實現(xiàn)，因此網(wǎng)絡性能較低。

（2）ASIC架構：ASIC加速芯片能對報文數(shù)據(jù)處理進行硬件加速，從而大大提升了設備的數(shù)據(jù)處理能力。但是ASIC架構的產(chǎn)品開發(fā)周期長，無法應對層出不窮的安全威脅。在實際應用中，ASIC加速器只是用來做報文轉發(fā)。

（3）多核架構：多核處理器中具有多個完整的計算引擎，能夠使得服務器并行處理任務，且易于擴展。 相對單核處理器，其處理能力大大提高。多核處理器還可以集成各種網(wǎng)絡加速，加密/解密等協(xié)處理器，進一步的提高了網(wǎng)絡數(shù)據(jù)的處理能力。

（4）混合架構：基于以上幾種架構的優(yōu)勢，把多種架構結合起來，各個架構的處理器放置到其具有優(yōu)勢的處理場景中。例如ASIC芯片可以用來報文轉發(fā)，多核處理器則用于安全策略匹配計算等。各硬件架構按照分布式的方式結合起來，達到一種最佳的UTM硬件平臺。

1.2 UTM軟件架構技術

UTM產(chǎn)品采用的軟件平臺一般是定制的OS系統(tǒng)，且是多種OS系統(tǒng)的聯(lián)合體。VxWork操作系統(tǒng)實時性能好，可用于數(shù)據(jù)報文接入層；開源的Linux操作系統(tǒng)具有很好的開放性，可集成多種開源的功能模塊，可用于安全功能層(如圖 1)。

圖1 UTM軟件架構示意圖

2 系統(tǒng)功能

UTM設備應該具備的基本功能包括網(wǎng)絡防火墻，網(wǎng)絡入侵檢測，防病毒等功能。

2.1 防火墻

防火墻是網(wǎng)絡安全系統(tǒng)的重要組成部分。它構筑了可信網(wǎng)絡和外部網(wǎng)絡的安全屏障，可控制外部對受保護網(wǎng)絡的非法訪問，同時也可防止內部網(wǎng)絡非法向外部網(wǎng)絡傳輸敏感數(shù)據(jù)。

目前防火墻的主要技術有以下幾種：

包過濾技術：根據(jù)用戶定義的服務訪問規(guī)則，檢測每個通過防火墻的網(wǎng)絡報文包，判斷是否允許其通過。包過濾的效果高，且對用戶透明。不足之處在于其不能徹底防止地址欺騙。

應用層網(wǎng)關技術：在TCP/IP協(xié)議棧中的“應用層”上，根據(jù)預先定義的安全策略，攔截某些特定應用的數(shù)據(jù)包，譬如說攔截FTP，HTTP，TELENT等應用層協(xié)議的數(shù)據(jù)包。

電路層網(wǎng)關技術：建立應用層網(wǎng)關的一種更加靈活和一般的方法。雖然它們可能包含支持某些特定 TCP/IP應用程序的代碼，但通常要受到限制。如果支持應用程序，那也很可能是 TCP/IP應用程序。在電路層網(wǎng)關中，可能要安裝特殊的客戶機軟件，用戶可能需要一個可變用戶接口來相互作用或改變他們的工作習慣。

2.2 入侵檢測

入侵檢測是對入侵行為的檢測。它是通過收集和分析網(wǎng)絡行為，系統(tǒng)日志，網(wǎng)絡流量信息等來檢測是否存在違反安全策略的行為和被攻擊的對象。入侵檢測系統(tǒng)是防火墻的有效補充，既能檢測到外部網(wǎng)絡的攻擊，又能防止內部網(wǎng)絡的攻擊。

常用的入侵檢測技術有以下幾種：

（1）模式匹配：基于已經(jīng)網(wǎng)絡入侵的模式數(shù)據(jù)庫，對收集到的分析數(shù)據(jù)作模式匹配。匹配成功則認為存在入侵行為，否則認為網(wǎng)絡活動時安全可靠的。

（2）異常檢測：針對監(jiān)控的網(wǎng)絡對象，創(chuàng)建一個統(tǒng)計描述，建立對象的一個正?；顒訑?shù)據(jù)范圍。當系統(tǒng)檢測到對象的活動數(shù)據(jù)超出這個范圍，則認為存在威脅。

2.3 防病毒

計算機病毒的破壞性大，自我繁衍和傳播能力強，且傳播途徑多種多樣。計算機網(wǎng)絡應用的高速發(fā)展更是為計算機病毒傳輸提供了便利的條件。因此在UTM安全網(wǎng)關處對病毒進行過慮和查殺則顯得尤為重要。

目前UTM病毒檢測技術多種多樣，最流行的包含有特征碼檢測，校驗和計算，行為檢測，啟發(fā)式檢測等等。

3 發(fā)展趨勢

未來，UTM將朝以下幾個方面發(fā)展：

高度的功能整合。簡單功能的堆砌會在性能，管理，成本等方面存在嚴重的問題。只有將各安全功能高度整合到UTM設備中，應用一體化設計的概念設計整個UTM系統(tǒng)，確保各安全功能的無縫集成，才能發(fā)揮出UTM產(chǎn)品的最大功效。

高性能。網(wǎng)絡應用的發(fā)展對網(wǎng)絡產(chǎn)品的性能要求也相應提高，UTM產(chǎn)品作為一個多功能的安全檢測設備，其性能直接影響到用戶的應用。采用優(yōu)化硬件平臺和軟件架構的方式可以大大提高設備的性能，也是將來一段時間內提高UTM性能的主要方向。

4 總結

本文從硬件平臺和軟件系統(tǒng)架構兩個方面介紹了 UTM的關鍵技術，全面而簡要的介紹了UTM系統(tǒng)功能，最后指出了UTM發(fā)展的方向。

[1]陳勝權,任平,陳杰.UTM(統(tǒng)一威脅管理)技術概論.北京.電子工業(yè)出版社.2009.

[2]唐鈺.讓軍刀更鋒利 市場需求驅動 UTM 革新.通信世界.2006.

[3]費宗蓮.統(tǒng)一威脅安全管理技術.計算機安全.2005.

[4]博佳科技.Linux防火墻技術探秘.北京.國防工業(yè)大學出版社.2002.

[5]http://www.huaweisymantec.com/cn/Product_Solution/Produ ct/Security/FW_UTM/Secospace_USG/Secospace_USG9300/.