现今在网络安全行业,UTM已经露出成熟的形态,不仅功能越来越强大,而且从迁移到多核平台,比如cavirm后,性能已经向万兆靠近。

从功能上说,UTM囊括了传统防火墙的所有功能,在业内几家国产厂商,如启明、绿盟、天融信、网御、网神来看,从核心功能来说,UTM=防火墙+IPS+AV。这样做起来也简单,成本也小,无论从哪一个模块起家,把三功能做一块,用 license控制一下,客户要UTM,我就把三个模块都打开,要其中一个功能,就把另两个关掉就行。

展开来说,UTM几乎具有其它网络产品的所有形态,只是侧重点不同,依侧重程序,我从以下八方面来概括它:

1。网络接入功能。这是所有网络设备基本的功能,也是传统网络设备的最初实现的功能,如交换、路由,NAT。当然这块不是重点,满足基本可用就行。交换这一块,支持将物理接口放到桥下面,实现UTM透明接入;支持透传带DOT1Q封装的数据;支持参与STP的协商,或者简单的一点,让别人去协商,我放过BPDU就不管了。路由这一块,可以实现静态路由,单臂路由,策略路由,RIP,OPSF标准区域。

2。防火墙功能,此处指传统防火墙功能,它定义网络中的合法数据。如二、三、四层过滤功能;基于协议状态的控制功能;×××功能;防DOS功能等。

3。IPS功能,主要是根据各类已知的应用或协议缺陷实现的DPI技术,框架基于源于SNORT,其中核心是DPI特征库。

4。AV功能,对以公共协议如HTTP,FTP,SMTP、POP,IMAP传输的文件进行特征码匹配,比较流行的是流扫描技术。

5。内容控制功能:主要实现对公共协议如http、ftp、smtp、pop、imap,以及私有协议如常用IM,P2P,流媒体,网流,股票等进行过滤或者控制。

6。流量控制:即QOS功能,目前实现较广的从三层到七层(或者说基于用户、基于应用)的流量控制。可以针对某部分流量做到物理接口限速,流量监管,流量×××,拥塞控制。

7。内网管理:对内网用户进行认证,授权,审计

8。设备UI和统计分析功能:设备UI目录主要是WEB和CLI,集中管理平台。统计分析功能如日志、报表、审计系统等。

UTM可以把以上8种功能加进去,重点是防火墙,IPS,AV。不过全加进行性能又是个矛盾,所以某些功能会酌情弱化,到专用设备上去做。功能1和功能2是所有设备必须的。这种功能都可以做成一种单独的网络设备,3为***检测系统;4单独做是防病毒网关,5单独做是上网行为管理,6单独做是流量控制网关,7单独做可以是内网管理平台或计费网关,8中的统计分析功能单独做是安全审计系统。