统一威胁管理

旨在提供全面的威胁防护和安全管理

UTM是由传统防火墙观念进化而成，它将多种安全功能都整合在单一的产品之上，其中包括了网络防火墙，防止网络入侵（IDS），防毒网关（gateway antivirus，AV），反垃圾信件网关（gateway anti-spam），虚拟私人网络（VPN），内容过滤（content filtering），负载平衡，防止资料外泄，以及设备报告等。

该UTM方案是由美国公司提出，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。

UTM与下一代防火墙的区别：

虽然UTM与下一代防火墙有一些交集，但二者还是有本质区别。UTM只是将防火墙、IPS、AV进行简单的功能堆砌，其致命缺陷就是采用串行扫描方式，包括吞吐量问题。特别是在较大的网络中，在功能全部开放时的处理效率非常低下，而下一代防火墙自设计之初，就采用了一体化的引擎，它会一次性的对数据流完成识别、扫描，因而可以达到更高的性能。

UTM工作原理：

是将多个安全功能集成到一个设备中，以提供综合的威胁防护和安全管理。

1. 流量检测与过滤：UTM设备通过监控网络流量，对传入和传出的数据包进行检测和过滤。它可以根据预定义的规则和策略，对数据包的源地址、目标地址、端口号、协议类型等进行匹配和判断。

2. 安全策略与访问控制：UTM设备实施安全策略和访问控制，用于管理网络流量的进出。这些策略和控制规则可以基于特定的安全需求和组织政策来配置，以允许或阻止特定类型的流量。

3. 威胁检测与防御：UTM设备内置威胁检测和防御机制，用于识别并应对各种威胁。它可以使用病毒扫描引擎、恶意软件检测、入侵检测和防御系统（IDS/IPS）等技术来发现和阻止恶意活动。

4. VPN 加密与隧道建立：UTM设备通常支持虚拟专用网络（VPN），用于建立安全的远程访问和数据传输。通过使用加密协议和身份验证机制，UTM设备能够建立加密的隧道，确保远程用户和分支机构之间的通信是安全和可靠的。

5. 日志记录与报告生成：UTM设备会记录关键的安全事件和活动，并生成详细的安全日志和报告。这些日志和报告提供了监视、审计和分析网络安全状态的重要信息，有助于发现潜在的威胁或异常行为。

作用：

1. 综合安全功能：UTM设备集成了多个安全功能于一体，如防火墙、入侵检测和防御系统（IDS/IPS）、虚拟专用网络（VPN）、反病毒、反垃圾邮件等。它提供了一站式的安全管理，免去了部署和管理多个独立安全设备的复杂性。

2. 威胁检测与阻止：UTM设备通过实施各种安全机制和算法，能够检测并阻止多种威胁，包括病毒、恶意软件、入侵行为、垃圾邮件、DDoS攻击等。它可以帮助企业及时发现和应对不同类型的威胁，保护网络和数据的安全。

3. 简化管理和部署：UTM提供统一的管理界面和控制台，使得企业可以更轻松地配置、监控和管理整个网络的安全策略和规则。通过UTM，企业可以简化安全设备的部署和维护，提高安全管理的效率和一致性。

4. 减少成本和复杂性：UTM的集成设计可以帮助企业降低成本和减少复杂性。通过将多个安全功能整合到一个设备中，企业无需购买和维护多个独立的安全设备，同时简化了网络架构和配置。

5. 提供远程访问安全：UTM通常支持虚拟专用网络（VPN），为远程用户和分支机构提供安全的访问通道。这使得用户可以通过Internet安全地连接到企业网络，并访问内部资源和数据。

能防什么：

1. 病毒和恶意软件：UTM设备通常配备了反病毒和恶意软件防护功能，可以检测并阻止传播病毒、恶意软件和其他恶意代码的行为。

2. 入侵和入侵检测：UTM设备可以实施入侵检测和防御系统（IDS/IPS），监视网络流量并识别潜在的入侵行为，及时响应并阻止恶意活动。

3. 垃圾邮件和垃圾信息：UTM设备通常具备反垃圾邮件和垃圾信息过滤功能，可以检测并过滤掉大量的垃圾邮件和垃圾信息，减少对网络和用户的干扰。

4. DDoS 攻击：UTM设备可以实施分布式拒绝服务（DDoS）防护机制，检测和缓解来自分布式攻击的流量，保护网络免受服务不可用或过载的影响。

5. Web 应用程序漏洞和攻击：UTM设备可以对Web应用程序进行防护，检测并阻止潜在的安全漏洞和攻击，保护Web应用程序及其用户数据的安全。

6. VPN 安全：UTM设备通常支持虚拟专用网络（VPN），提供安全的远程访问和数据传输，确保敏感数据在互联网上的安全性和隐私。

部署模式：

1. 网关模式（Gateway Mode）：在网关模式下，UTM设备作为网络边界的主要入口点，位于网络与外部互联网之间。它负责监控和管理进出网络的所有流量，并提供防火墙、入侵检测与防御、反病毒、反垃圾邮件等多个安全功能。这种部署模式可提供对整个网络的统一威胁防护和安全控制。

2. 透明模式（Transparent Mode）：透明模式下，UTM设备被插入到网络中，并通过桥接模式或虚拟局域网（VLAN）将其与网络相连，而无需更改现有网络设备的IP地址或配置。UTM设备对网络流量进行实时检测和过滤，无需显式改变网络拓扑。透明模式适用于不希望改动网络配置的情况下，提供对流量的透明保护。

3. 路由模式（Router Mode）：在路由模式下，UTM设备充当网络的主要路由器，处理流经网络的数据包，并提供安全策略的执行和流量控制。UTM设备与其他网络设备建立路由连接，并使用静态路由或动态路由协议进行数据包转发。这种模式适用于需要在网络层面实施安全策略和流量控制的情况。

4. 分段模式（Segmentation Mode）：分段模式下，UTM设备将网络划分为多个安全区域或子网，每个区域有独立的安全策略和访问控制规则。UTM设备可以监视并保护不同区域之间的流量，提供区域间的隔离和安全性。分段模式适用于具有不同安全级别需求的组织，以确保灵活且精细的安全管理。

部署方式：

1. 硬件设备：UTM可以作为一个独立的硬件设备部署在网络中。这种部署方式涉及将UTM设备直接连接到网络边界或关键网络节点，以提供综合的威胁防护和安全管理。硬件设备通常具有高性能和专门设计的硬件加速功能，以处理大量的网络流量。

2. 软件部署：UTM功能作为软件应用程序运行在通用服务器或虚拟机上，而不是依赖于专门的硬件设备。这种部署方式可以通过安装UTM软件来为网络提供综合的威胁防护和安全管理

3. 虚拟化部署：UTM可以以虚拟化的形式在虚拟化环境中进行部署。这种方式通过在虚拟化平台上创建虚拟机来实现UTM功能，从而节省物理硬件成本、简化管理和灵活扩展。虚拟化部署适用于基于虚拟化技术构建的企业网络和云环境。

4. 云服务：UTM也可以作为云服务提供，即UTM功能由云提供商托管和管理。在这种部署方式下，组织无需购买和维护自己的UTM硬件设备，而是订阅云服务，并通过云提供商的管理控制台来配置和管理UTM功能。云服务部署适用于需要快速部署和弹性扩展的企业。

5. 混合部署：混合部署是指同时使用多种UTM部署方式的组合。例如，将硬件设备部署在关键网络节点，虚拟化部署用于支持内部网络，而云服务用于远程办公用户的安全访问。这种混合部署方式可以根据不同的网络区域和需求选择最适合的部署方式。

工作位置：

• 网络边界处前置UTM设备进行基本的入侵检测、流量过滤和访问控制；

• 而在服务器与内部网络之间后置UTM设备进行更深层次的安全检测和防护。

厂商：

1. 深信服（Sangfor） - Cyber Security | Enterprise Cloud | Sangfor Technologies

2. 绿盟科技（Venustech） - 启明星辰

3. 烽火科技（Fiberhome） - https://www.fiberhomegroup.com/

4. 华为技术有限公司（Huawei） - https://e.huawei.com/cn/solutions/business-needs/enterprise-network/security/unified-threat-management

5. 东软集团（Neusoft） - Neusoft

6. 清华同方（Tongfang） - http://www.tfsq.com.cn/

7. 数字王国（Digital China） - https://www.digitalchina.com.cn/