浅析UTM(统一威胁管理)技术及其在公安机关应用.docVIP

浅析UTM(统一威胁管理)技术及其在公安机关应用 　　[摘 要]随着网络的发展，网络安全受到的威胁也日益严重。UTM作为一种全新的网关安全设备，能够实现精准防控。本文通过多种灵活的方式介绍了UTM的实现原理、关键技术和主要功能，同时阐述了其在公安机关中的实际应用。 　　[关键词]UTM 统一威胁管理 网络安全 公安机关 　　中图分类号：TN915.08 文献标识码：A 文章编号：1009-914X（2014）24-0116-01 　　一、引言（产生背景） 　　随着网络的日益发展，传输速度、通信协议、用户数量和应用软件都呈现指数增长。繁多的应用软件更新带来了多种形态的网络攻击和垃圾流量，网络安全管理遇到严重威胁。 　　传统的防护方式（防火墙、VPN网关、防DOS攻击网关等）在一定程度上解决了网络边界的安全问题，但也存在管理维护复杂、存在性能瓶颈、难以应对混合型攻击等问题和缺陷。 　　为了有效地防御目前的混合型威胁，企业需要求助于新型的安全设备。这些安全设备能够通过简单的配置和管理，以较底的维护成本为用户提供一个高级别保护的安全岛。 　　二、定义 　　2002年，为了满足用户对防火墙、IDS、VPN、防病毒等产品的集中部署与管理需求，一些安全厂商提出将多种安全技术整合在同一个产品中，这便是UTM的雏形。2004年，IDC正式提出UTM的概念：通过安全策略的统一部署，融合多种安全能力，针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。 　　作为一个安全网关设备，UTM包含三个要素： 　　2.1 面对的威胁 　　UTM部署在网络边界的位置，针对2-7层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。 　　对网络自身与应用系统进行破坏的威胁：此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威???。利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。 　　2.2 处理的方式 　　UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御（IPS）、防病毒（AV）、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。站在用户角度，面对的是整个网络、所有业务的安全，整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键，各自为战是不能实现整体安全策略的。因此在UTM处理方式中，需要特别考虑策略的协调性、一致性。 　　2.3 达成的目标 　　有了面对的威胁对象和处理方式之后，就要看UTM能达成的目标了，也就是价值。UTM设备保护的是网络，能精确识别所有的威胁，根据相应策略进行控制，或限速、或限流、或阻断，保持网络畅通，业务正常运转是最好的结果，“精确识别和控制”是最为关键的。 　　同时，UTM整合多种安全能力后，仍然需要保持比较高的性能，因此性能不能有明显下降；安全网关设备的可靠性要求毋庸置疑的；此外，由于设备的功能多，对网管员的要求高，管理方便、配置简单当然也是UTM类设备要达成的目标。 　　三、关键技术 　　在UTM的发展过程中产生了两代UTM：叠加式UTM和一体化UTM。叠加式UTM是在原有技术和设备的基础上不断增加新的技术或模块，很容易受到原有设计思路的限制，产生的UTM效果并不理想。一体化UTM完全是站在实际需求出发设计的，包括设计一体化、策略一体化和管理一体化。 　　3.1 UTM的硬件平台 　　3.1.1 X86架构 　　X86架构，也称为CPU架构，采用通用的X86CPU作为整个系统的转发核心，具有很高的灵活性和可扩展性，一直是安全网关开发的主要平台。但是，该架构的性能发展受到CPU体系结构的制约，作为通用的计算平台，X86的结构层次较多，不易优化，特别是在小包处理中，X86的进程调度、中断处理等都会大幅降低整机吞吐量。同时，X86作为通用CPU，没有为网络转发及安全计算进行优化，因此基于X86的硬件平台仍很难达到千兆速率。 　　3