网络防护技术

3.5.1　网络防护技术

1.防火墙

（1）防火墙概述

人们在定义防火墙时使用很多描述。防火墙最初的用途不是网络安全，而是控制实际的火灾。防火墙是建筑墙的一种方法，以便当真正的火灾爆发时，火灾易于被控制在建筑物的一部分中，而不会蔓延到其他部分。

在网络安全领域，防火墙这个术语意味着不同的概念，但是其最初的本质被保留下来了：它用来保护网络免受恶意的侵害，并在定义的边界点停止他们的非法行为。防火墙有时也称为因特网防火墙。在1994年William Cheswick和Steve Beilovin定义防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：允许本地安全策略授权的通信信息通过；双向通信信息必须通过防火墙；防火墙本身不会影响信息的流通。

防火墙是位于两个信任程度不同的网络之间（如企业内部网络和因特网之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

防火墙具有以下一些功能：

①集中管理。因特网防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户（如黑客、网络破坏者等）进入内部网络；禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。因特网防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

②访问控制。防火墙是在两个网络通信时执行一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

③内容控制。内容控制实质还是关键字过滤，内容过滤的速度取决于关键字模式的查找速度。内容过滤的关键就在于发现异常模式而切断连接，至于连接的切断模式也有各种方式，最好是能让用户知道是为什么被切断的。

④日志。网络管理员可以记录所有通过防火墙的重要信息。

⑤流量控制。流量控制是几乎任何防火墙都具备的功能，但各种防火墙的流量控制的实现各种各样，能实现的控制能力也各有千秋。可以从流量限制、流量保障、QoS三方面评价防火墙的流量控制能力。

（2）防火墙的分类

根据防火墙的组成、实现技术和应用环境等方面的不同，我们可以对防火墙进行分类理解。

根据防火墙自身的体系结构，可以将防火墙分为以下种类：包过滤防火墙、应用网关、状态检测防火墙、电路级网关等。通过后面防火墙体系结构和实现技术的描述，我们可以进一步理解这些内容。

①包过滤防火墙

防火墙最简单的形式是包过滤防火墙。一个包过滤防火墙通常是一台有能力过滤数据包某些内容的路由器。当执行包过滤时，包过滤规则被定义在防火墙上，这些规则用来匹配数据包内容以决定哪些包被允许和哪些包被拒绝。当流量被拒绝通过时，可以采用两个操作：通知流量的发送者其数据将丢弃，或者没有任何通知直接丢弃这些数据。使用第一个操作时，用户将知道流量被防火墙过滤了，如果这是一个试图访问内部资源的内部用户，该用户可以与管理员联系。如果包过滤防火墙不返回一个消息，用户将由于不知道为什么不能建立连接而花费更多的时间和精力解决这个问题。当然，前者对黑客也有一定的价值。

包过滤防火墙能过滤以下类型的信息：

·源IP地址；

·目的IP地址；

·源端口；

·目的端口；

·协议类型；

·ACK字段。

包过滤防火墙有两个主要的优点：

·实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中；能以更快的速度处理数据包；易于匹配绝大多数网络层和传输层报文头的域信息，在实施安全策略时提供许多灵活性。

·包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。

因为包过滤防火墙只检查网络层和/或传输层信息，所以很多路由产品支持这种过滤类型。由于路由器通常是在网络的边界提供WAN接入，所以能利用包过滤来提供额外层面的安全。这些路由器通常称为边界路由器。即使使用最简单的网络层和传输层过滤，包过滤防火墙也能提供针对多种攻击的保护，包括某些类型的拒绝服务攻击。

包过滤防火墙具有以下一些缺点：

·维护比较困难（需要对TCP/IP了解）；

·安全性低（无法防范IP欺骗等）；

·不提供有用的日志，或根本就不提供；

·不能防范数据驱动型攻击；

·不能根据状态信息进行控制；

·不能处理网络层以上的信息；

·无法对网络上流动的信息提供全面的控制。

正如前面提到的，包过滤防火墙的缺点之一是涉及其设计其规则集时，必须熟悉各种TCP/IP的操作和它们报头中的域，包括IP、TCP、UDP和ICMP等，否则有可能造成阻塞应该允许流量或允许应该被禁止流量的后果。

包过滤防火墙不能阻止所有类型的攻击。例如，假设包过滤防火墙允许发送到网络中的一台特定Web服务器80端口的流量通过，这可以通过检测网络层的目的地址和报文中的目的端口号实现。使用这种方法的一个问题是包过滤防火墙不检测HTTP连接的实际内容。攻击网络的一种最流行的方式是利用在Web服务器上发现的漏洞。包过滤防火墙不能检测这些攻击，因为它们发生在已被允许的TCP连接上。

另外，包过滤防火墙不能检测和阻止某些类型的TCP/IP攻击，比如TCP SYN flood和IP欺骗。如果包过滤防火墙允许发送到内部Web服务器的流量，它不会关心这是什么类型的流量。黑客能利用这一点，用TCP SYN flood攻击Web服务器的80端口，表面上想要获得服务器上的资源，但实际上则是占用它上面的资源。另外，包过滤防火墙不能检测所有类型的IP欺骗攻击，因为对于来自外部网络的流量，包过滤防火墙只能检测在数据包中的源IP地址，它并不能确定这是否是数据包真正的源地址（或目的地址）。

②应用级网关

应用网关防火墙（Application Gateway Firewall，AGF），通常称为代理防火墙或简称为应用网关，由于它在应用层处理信息，因此绝大多数防火墙控制和过滤是通过软件来完成的，这比包过滤防火墙和状态防火墙提供了更多的流量控制。

应用网关防火墙可以支持一个应用，也可以支持有限数量的多个应用，这些应用通常包括E－mail、Web服务、DNS、Telnet、FTP、Usenet新闻、LDAP、finger等。

应用网关的一个功能是它首先对连接请求进行认证，之后再允许流量到达内部资源，这实现了对用户请求的连接而不是设备进行认证。而包过滤防火墙和状态检测防火墙只检查网络层和传输层信息，因此只能认证设备的网络层地址。

应用网关具有很多优点，包括：

·实施细粒度的访问控制；

·认证个人而非设备；

·能够监控和过滤应用层信息；

·能够提供详细的日志。

应用网关在具有很多优点同时，也存在以下局限性：

·对每一类应用需要专门的代理；

·灵活性差；

·支持的应用比较有限；

·有时要求特定的客户端软件。

③状态检测防火墙

状态检测防火墙工作在协议栈的4层、5层之上。状态检测防火墙能够实现连接的跟踪功能，比如对于一些复杂协议，除了使用一个公开的端口进行通信外，在通信过程中还会动态建立自连接进行数据传输。状态检测防火墙能够分析主动连接中的内容信息，识别出缩写上的自连接的端口而在防火墙上将其动态打开。

状态检测防火墙存在以下优势：

·了解连接的各个状态，因此可以在连接终止后及时阻止此后来自外部设备的该连接的流量，防止伪造流量通过；

·无须为了允许正常通信而打开更大范围的端口；

·通过使用状态表能够阻止更多类型的DoS攻击；

·具有更强的日志功能。

④电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，来决定该会话是否合法。电路级网关是在OSI模型的会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能：网络地址翻译（NAT）将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙，另一种是在第一个防火墙主机和第二个主机之间建立安全的连接。后一种结构的好处是当一次攻击发生时能提供容错功能。

（3）防火墙的体系结构

①双重宿主主机体系结构

如图3－26所示，一个双重宿主主机是一种防火墙，双重宿主主机至少有两个网络接口，外部网络能够与双重宿主主机通信，内部网络也能够与双重宿主主机通信，但是内部网络和外部网络之间的通信必须经过双重宿主主机的过滤和控制。这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。

图3－26　双重宿主主机防火墙

网络地址翻译（Network Address Translation，NAT）是双重宿主主机体系结构的一个关键技术，其核心思想就是将一个IP地址用另一个IP地址代替。地址翻译主要用在两个方面：一是网络管理员希望隐藏内部网络的IP地址，这样互联网上的主机无法判断内部网络的情况；二是内部网络的IP地址是无效的IP地址，这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。

在上面两种情况下，内部网对外面是不可见的，互联网不能访问内部网，但是内部网内主机之间可以相互访问。网络管理员可以决定哪些内部的IP地址需要隐藏，哪些地址需要映射成为一个对互联网可见的IP地址。地址翻译可以实现一种“单向路由”，这样不存在从互联网到内部网的或主机的路由。图3－27展示了地址翻译技术的基本原理。

图3－27　NAT技术基本原理

②被屏蔽主机体系结构

屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接，而不让它们直接与内部主机相连。屏蔽主机防火墙由包过滤路由器和堡垒主机组成。这个防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务），如图3－28所示，所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和因特网之间，在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其他主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问因特网，或者是要求使用堡垒主机上的代理服务来访问因特网由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接收来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。

图3－28　屏蔽主机防火墙结构

③被屏蔽子网体系结构

被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为因特网）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”，如图3－29所示。

（4）防火墙的局限性

目前的防火墙技术主要存在以下局限性：

·防火墙不能防范不经防火墙的攻击；

·防火墙不能防止感染了病毒的软件传播；

·防火墙不能防范内部攻击；

·端到端加密可以绕开防火墙；

·防火墙不能提供细粒度的访问控制。

图3－29　被屏蔽子网体系结构

2.VPN

（1）VPN概述

网络层或网络层以下实现的安全机制对应用有较好的透明性。因此，通常意义下称网络层或网络层以下实现的安全通信协议为虚拟专网技术（Virtual Private Network，VPN）。常用的VPN协议包括：IPSec、PPTP等。随着网络安全通信技术的发展，传输层的安全通信协议SSL也用作VPN。VPN利用这些安全协议，在公众网络中建立安全隧道，提供专用网络的功能和作用。

为了保障信息在互联网上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证信息在传输中不被偷看、篡改和复制。由于使用国际互联网进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过互联网既安全又经济地传输私有的机密信息成为可能。

图3－30是一个典型VPN系统的具体组成。

（2）VPN的分类

VPN技术按用途可分为3类：远程访问VPN、内联网VPN和外联网VPN。按照隧道协议又可分为4种实现方式：PPTP、L2F、L2TP、IPSec和SSL/TLS。具体如图3－31所示。

图3－30　典型VPN系统具体组成

图3－31　VPN技术按照隧道协议分类

（3）IPSec协议

IPSec（Security Architecture for IP Network）是IETF IPSec工作组为了在IP层提供通信安全而指定的一套安全算法和总体框架，允许一对通信实体利用其中的一个算法为通信提供安全性。IPSec提供了如何使敏感数据在开放的网络（如因特网）中传输的安全机制。IPSec协议可以在主机和网关（如路由器、防火墙）上进行配置，对主机与主机间、安全网关与安全网关间、安全网关与主机间的路径进行安全保护，主要是对数据的加密和数据收发方的身份认证。IPSec的体系结构如图3－32所示。

图3－32　IPSec体系结构

在图中，IPSec结构的第一个主要的部分是安全结构。因特网草案文件《IP协议的安全结构》描述了用于IPv4和IPv6的安全机制和服务，它提供了对IPSec的介绍并且描述了结构的每一个组件。IPSec的安全结构由三个主要的协议组成，它由图3－33的第二层以及加密和认证算法组成。

AH提供无连接的数据完整性认证（hash校验）、数据源身份认证（带密钥的hmac）和防重放攻击（AH头中的序列号）。ESP比AH多了两种功能，数据包加密和数据流加密。数据包加密可以加密整个IP包，也可以只加密IP包的载荷，一般用于计算机端；数据流加密用于路由器，源端路由把整个IP包加密后传输，目的端路由解密后转发。AH和ESP可以同时使用也可以单独使用。

IKE负责密钥管理和策略协商，定义了通信实体之间进行身份认证、协商加密算法和生成会话密钥的方法。协商结果保存在SA中。解释域（DOI）为使用IKE进行协商SA的协议统一分配标识符。

IPSec有两种运行模式：传输模式和隧道模式。AH和ESP都支持两种使用模式。传输模式只保护IP载荷，可能是TCP/UDP/ICMP，IP头没有保护。隧道保护的内容是整个IP包，隧道模式为IP协议提供安全保护。通常IPSec的双方只要有一方是网关或者路由，就必须使用隧道模式。路由器需要将要保护的原始IP包看成一个整体，在前面添加AH或者ESP头，再添加新的IP头，组成新的IP包之后再转发出去。两种模式下的数据包如图3－33所示。

图3－33　IPSec两种传输模式数据包对比

（4）SSL协议

SSL（Secure Socket Layer）是由Netscape设计的一种开放协议。它指定了一种在应用程序协议（例如Http、Telnet、NNTP、FTP）和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL协议是在因特网基础上提供的一种保证私密性的安全协议，主要采用公开密钥密码体制和X.509数字证书技术，其目标是保证两个应用间通信的保密性、完整性和可靠性。

SSL协议中有两个重要概念：SSL连接和SSL会话。一个SSL连接（connection）是一个提供一种合适类型服务的传输，由OSI分层的定义。SSL的连接是点对点的关系，并且是暂时性的，每一个连接和一个会话关联。一个SSL会话（session）是在客户与服务器之间的一个关联。会话由SSL握手协议创建。会话定义了一组可供多个连接共享的加密安全参数。会话的目的是避免为每一个连接提供新的安全参数所需昂贵的谈判代价。

SSL协议的实现属于SOCKET层，处于应用层和传输层之间，由SSL记录协议（SSL Record Protocol）、SSL握手协议（SSL Hand－Shake Protocol）、SSL更改密码规范协议（SSL Change Cipher Spec ProtocoL）、SSL警报协议（SSL Alert Protocd）等协议组成，其结构如图3－34所示。

图3－34　SSL协议结构

SSL可分为两层，一是握手层，二是记录层。SSL握手协议了描述了建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能。SSL记录协议则定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样，应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了TCP/IP协议安全性较差的弱点。

SSL的主要目的是在两个通信应用程序之间提供私密性和可靠性。这个过程通过3个元素来完成：

握手协议。这个协议负责协商被用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法，选择相互认证，并使用公钥技术来生成共享密钥。

记录协议。这个协议用于交换应用层数据。应用程序消息被分割成可管理的数据块，还可以压缩，并应用一个MAC（消息认证代码），然后结果被加密并传输。接收方接收数据并对它解密，校验MAC，解压缩并重新组合它，并把结果提交给应用程序协议。

警报协议。这个协议用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSL协议的整体过程可由图3－35描述。

图3－35　SSL协议流程

整体流程：

（1）交换Hello消息，对于算法、交换随机值等协商一致；

（2）交换必要的密码参数，以便双方得到统一的预备主密钥（premaster secret）；

（3）交换证书和相应的密码信息，以便进行身份认证；

（4）产生主密钥（master secret）；

（5）把安全参数提供给TLS记录层；

（6）检验双方是否已经获得同样的安全参数。

3.入侵检测/入侵防御

（1）入侵检测概述

入侵检测系统（Intrusion Detection Systems，IDS）是从计算机网络或计算机系统中的若干关键点处搜集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和遭到攻击的迹象的一种机制。入侵检测采用旁路侦听的机制，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切的知道受到的攻击并采取相应的措施。

CIDF（Common Intrusion Detection Framework）阐述了一个入侵检测系统的通用模型，如图3－36所示。

图3－36　CIDF入侵检测模型

图3－36的模型中，入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。其中的事件是指IDS需要分析的数据。这四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个进程。这些组件以GIDO（统一入侵检测对象）格式进行数据交换。从功能的角度，这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据分析、行为响应和数据管理，因此具有通用性。事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库是以文件或数据流的形式出现。GIDO数据流可以是发生在系统中的审计事件或对审计事件的分析结果。

事件产生器的任务是从入侵检测系统之外的计算环境中收集事件但并不分析它们，并将这些事件转换成CIDF的GIDO格式传送给其他组件。事件分析器分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件。事件数据库用来存储GIDO，以备系统需要的时候使用。响应单元处理收到的GIDO，并根据处理结果，采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。

（2）入侵检测系统分类

主机IDS与网络IDS体现了IDS不同的体系结构，本节分别进行介绍。

①基于主机的入侵检测系统

主机入侵检测系统主要是对该主机的网络连接行为以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。作为对主机系统的全面防护，主机入侵检测通常包括网络监控和主机监控这两个方面。

基于主机的入侵检测系统在发展过程中融入了其他技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的。主机文件检测包括：

·系统日志检测：系统日志文件记录了各种类型的信息。如果日志文件中存在异常记录，就可以认为发生了网络入侵。

·文件系统检测：恶意的网络攻击者会修改网络主机上的各种数据文件。如果入侵检测系统发现文件系统发生了异常的改变，就可以怀疑发生了网络入侵。

·进程记录检测：黑客可能使程序终止，或执行违背用户意图的操作。如果入侵检测系统发现某个进程存在异常行为，就可以怀疑有网络入侵。

·系统运行控制：针对操作系统的特性，采取措施防止缓冲区溢出，增加对文件系统的保护。

尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实具有基于网络的系统无法比拟的优点。这些优点包括：

·检测准确度较高；

·可以检测到没有明显行为特征的入侵；

·成本较低；

·不会因为网络流量影响性能；

·适用于加密和交换环境。

同时，它也有部分不可避免的缺陷：

·实时性较差；

·无法检测数据包的全部；

·检测效果取决于日志系统；

·占用主机资源性能；

·隐蔽性较差。

②基于网络的入侵检测系统

基于网络的入侵检测系统（NIDS）使用原始的网络分组数据报作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。大多数的攻击都有一定的特征，入侵检测系统将实际的数据流量记录与入侵模式库中的入侵模式进行匹配，寻找可能的攻击特征。基于网络的入侵检测系统的典型部署方式如图3－37所示。

图3－37　NIDS的典型部署方式

基于网络的入侵监测系统可以实现如下功能：

·对数据包进行统计，详细地检查数据包；

·检测端口扫描；

·检测常见的攻击行为；

·识别各种各样可能的IP欺骗攻击；

·当检测到一个不期望的活动时，入侵检测系统可以重新配置防火墙以拦截从入侵者发来的数据。

基于网络的系统具有基于主机的系统无法比拟的优点。这些优点包括：

·可以提供实时的网络监测行为；

·可以同时保护多台网络主机；

·具有良好的隐蔽性；

·有效保护入侵证据；

·不影响被保护主机的性能。

同时，它也有部分不可避免的缺陷：

·防入侵欺骗的能力较差；

·在交换式网络环境中难以配置；

·检测性能受硬件条件限制；

·不能处理加密后的数据。

（3）入侵防御系统

和入侵检测系统相比，入侵防御系统（Intrusion Prevent Systems，IPS）的目的是为了提供资产、资源、数据和网络的保护。而入侵检测系统的目的是提供网络活动的监测、审计、证据以及报告。IDS和IPS之间最根本的不同在于确定性，即IDS可以使用非确定性的方法从现有的和以前的通信中预测出任何形式的威胁，而IPS所有的决策必须是正确的、确定的。

入侵防御系统的典型部署方式如图3－38所示。

图3－38　IPS的典型部署方式

和IDS相比，IPS具有下列优势：

·迅速终止入侵；

·更准确和可靠的检测；

·积极防御。

IPS的设计需求包括：

·能够准确、可靠地检测，精确地阻断攻击；

·IPS的运行对网络的性能和可用性没有负面影响；

·可以有效地安全管理；

·可以容易地实现对未来攻击的防御。

4.安全网关

安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。早期的网关就是指路由器。现在主要有三种网关，即协议网关、应用网关和安全网关。其中安全网关布置在内部网络和外部网络之间。现在的网关多数都是集多种功能为一体的集成网关。

UTM是安全网关的典型代表，它通过对各种安全技术的整合，为信息网络提供全面动态的安全防护体系。UTM主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备之中，构成一个标准的统一管理平台。

UTM是统一威胁管理的缩写，由IDC提出的定义是：由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备中，构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。

UTM安全设备也可能包括其他特性，例如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和报告带宽管理等。不过，其他特性通常都是为主要的安全功能服务的。其部署方式如图3－39所示。

图3－39　UTM部署方式

信息安全威胁开始逐步呈现出网络化和复杂化的态势，以前的安全威胁和恶意行为与现今不可同日而语，现在每天都有数百种新攻击手段被放到互联网上，而各种主流软件平台的安全漏洞更是数以千计，计算机设备面临的安全困境远超从前。

传统的防病毒软件只能用于防范计算机病毒，防火墙只能对非法访问通信进行控制，而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中，安全问题的炸弹随时都有爆炸的可能，用户必须针对每种安全威胁部署相应的防御手段，这样复杂度和风险性都难以下降，而且不同产品各司其职的方式已经无法应对当前更加智能的攻击手段。整合式安全设备UTM可从不同的方式获取信息，综合使用这些信息，防御更具智能化的攻击行为，实现主动识别，自动防御的能力。因此UTM类型的产品成为信息安全的一种新的潮流。

UTM产品对于中小企业用户，既可以应付资金比较薄弱的问题，也可以简化管理，大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足，同时也可以使企业在信息安全方面的安全级别得到真正的提升。

和传统的安全设备相比，UTM统一威胁管理安全设备具有以下优点：

·成本较低；

·统一管理，降低人力投入；

·技术复杂度低。

UTM的不足之处包括：

·功能单一，性能较低；

·稳定性需要提升；

·功能过度集中，出现故障影响较大。