网络威胁催生安全网关

UTM是网关安全必然趋势
混合威胁的出现让我们认识到病毒在攻击方法和效果上其实并不是单一的，而是多样的。经过跟踪研究发现，黑客正在运用新型的组合进攻手段威胁IT基础设施安全。因此，单纯的、针对网关安全的单点解决方案已不足以化解这些攻击，于是人们想到从多层面安全防护出发，选择针对网关防护的多种安全产品。首先想到的是防火墙、网关杀毒、IDS、VPN和内容过滤。

但所产生的问题是，企业（尤其是中小型企业或分支机构）是否有足够的资金配备各种安全功能？即使配备了，它们彼此之间能否紧密集成？出了问题究竟应该找谁负责？因此，当需要将上述多种安全产品部署到位时，从一开始就需要花至少5次资金针对不同的网段进行多种产品的安装、配置，更重要的是还要在随后的应用中投入人力对不同的产品进行更新、实时响应。先不论由此造成的资金与人力重复投入，且说这些配置、管理、更新等手续稍有差池，即可能为外围的入侵敞开大门。

构建安全系统是一个非常复杂的过程，用户需要投入大量财力、物力和精力，除网络信息安全涉及的技术门槛高、产品昂贵的因素之外，主要原因在于大部分安全产品如防火墙、VPN、IPS、防病毒等功能单一，每个设备在购买之前都需要货比三家，购买总价高。为了集中管理、记录存储日志或及时更新产品，可能还需要为各家不同的产品分配策略服务器、日志服务器或更新服务器，这些附加的投入会随着安全产品的引进而成倍增加。可见，对用户来说，非常迫切希望降低在安全建设上的投入，希望能省时、省心、省力地完成安全建设。

在相当一段时间内，对PPDR模型的理解被简化为IDS联动，这从侧面反应了用户对安全效果的不满：防火墙有控制能力但不能做深度检查，IDS可以检查应用安全但没有控制能力。单一功能安全设备的防范效果肯定是有限的，随着防垃圾邮件、防钓鱼欺骗等更多安全设备的出现，用户对安全设备整合、联动的需求更加强烈，只有做到真正的融合和互动，才能进行全面的安全过滤和防范。

首先，大部分网络安全系统是在原有的信息系统基础上增加的，在增加的安全设备与原有网络设备、安全设备之间都可能遇到产品兼容性问题，在部署实施中会相互冲突，安全设备越多，冲突的机会就越多，这在客观上增加了部署实施的难度。有时，个别安全设备可能导致系统验收推迟数月之久。其次，每个安全设备都有一套自己的配置管理方法，因此，很多用户要求厂家派人安装调试，包括配置安全策略，自己基本不改动。在实际应用中，安全策略必须根据实际情况不断调整，如果固定不变，系统的安全保障效果将会大打折扣。最后，在安装调试完成后，如果设备出现问题，用户还需要联系不同厂商来解决，有时甚至需要协调相关的几家厂商同时到场分析解决。可见，从安全系统运行维护的角度看，在不牺牲功能、性能的前提下，用户希望安全设备越少越好。

防火墙、IDS、防病毒技术经过多年发展，现在已经逐渐成熟并稳定下来，开始相互渗透，相互补充。近两年来出现了一个明显的趋势：防火墙、IDS、防病毒甚至内容过滤厂商分别从自有产品出发，通过增加不同的安全功能模块发展UTM。实际上，这主要得益于硬件技术的发展。为了解决深度检查大量耗费CPU资源，除ASIC加速芯片外，一批新的硬件解决方案出现了，如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI，这些硬件能大幅度加速内容匹配，使UTM从概念变成了可用的产品。

从UTM定义可以看出，UTM集中了多种安全功能，但这些安全功能不一定同时应用，可能只使用某一个功能。因此，可以预测，在未来，UTM完全有可能取代防火墙、网络入侵检测等单一功能的安全产品。综上所述，不论是从用户需求来看，还是从技术发展和技术支撑来看，UTM作为网络安全整体解决方案的重要组成部分是必要的，也是可行的，是网关安全发展的必然趋势。