安全功能一览

2004年，当国际数据公司（IDC）分析师克罗齐（Kolodgy）杜撰出新术语“统一威胁安全应用设备”时，他只是在阐述一种趋势，并不是真的想创造一类新的产品。那时防火墙正在加入各种各样的功能，克罗齐最初定义的UTM包括防火墙、入侵侦测和防御、病毒扫描等功能。目前的UTM产品不仅包含了以上功能，还具有很多其它功能。摘要如下：

◎ 防火墙：最近这种随处可见的安全产品已经失宠了。尽管如此，在真正默认阻止的配置中，使用防火墙仍然是可靠的安全措施。另外，UTM设备的原型是防火墙，这就说明了一个合理的部署模式：网络上任何便于安装防火墙的地方都可以安装其它安全功能。另外，防火墙厂商并没有驻足不前。在最近的防火墙体系中，原本用于第1到第3层OSI网络模型的理念现在已经瞄准了整个堆栈，允许为数据和程序设立相应的规则，而不须考虑具体的端口或协议。

◎ 入侵检测和防御系统：入侵检测系统和防御系统基本上没什么区别， 它们对传统防火墙的价值体现在探测内部数据包的能力，而不仅仅是探测数据包头。可惜的是，入侵防御系统采用的是默认允许的规则：也就是说，系统只会阻挡网络攻击和可疑行为，对其他任何数据都会默认通过。

虽然正确配置的入侵防御系统总体上能够抵挡多数的恶意网络攻击，但随着网络攻击的突破口从服务器转向客户端，系统厂商们就有点应付不了了。网关入侵防御系统通常有一个盲点，它很难以发现那些不以网络套接字为目标的攻击。例如，在SSL交易内部有经过加密的HTTP内容编码，而在该编码中则压缩有加密过的JavaScript，浏览器插件病毒便可潜伏于其中。除非在终端电脑上装有安全软件，或者系统具有几近完美的终端仿真能力，否则任何网络入侵防御系统都无法阻止上述类型的攻击。

◎ 防病毒：最初定义的UTM包括以SMTP和HTTP病毒扫描为代表的网关防病毒功能。某些防病毒软件把点对点协议、文件传输协议或聊天客户端也列入了防护对象。目前，在最新的UTM产品中，已经不存在单一的防病毒功能了，反间谍软件、反垃圾邮件和反恶意软件等各种功能统统都有。最新的技术使用了针对文件传输的行为扫描，以此来侦测潜在威胁，而不再依赖于静态的数字指纹数据库。当然，无论是行为侦测还是指纹侦测，采用的都是默认允许策略。

随着UTM技术的不断发展，UTM产品又配备了各种新的功能，其中包括：

◎ 网络基础组建功能：在UTM体系下，将诸如虚拟专用网络（VPN）等其它网络功能集成到防火墙产品中已经成为了一种广泛的潮流，在此前提下，许多UTM设备已经完全具备了独立组建内部网络基础的功能，包括NAT、服务质量（QoS）及VPN等。UTM产品中的VPN功能包括站点到站点VPN连接、SSL或其他客户端——服务器VPN技术，从而使远程工作的员工可以访问公司内部资源。

◎ 内容过滤：一提到这项功能，多数人会自然联想到基于网址黑名单（需要申请授权以获得升级的众多UTM功能之一）的网络内容过滤。软件厂商经常吹嘘说内容过滤能够提高生产力。然而，用户们只要动动脑子就总能获得自己想看的内容。

◎ 数据丢失防护（DLP）：数据丢失防护产品在近几年风靡一时，传统的UTM设备中也集成了这项功能。现在，有些UTM产品已经具备了简单的数据丢失防护机制，例如电子邮件关键字过滤或是附件拦截。IBM走在了其他厂商的前面，它推出的Proventia系列产品率先具备了整套数据丢失防护功能。