UTM 一把尚未开封的“瑞士军刀”

　　UTM是由硬件、软件和网络技术组成的具有专门用途的设备，由于媒体及UTM厂商的大力宣传，用户往往对UTM期望很高，以为UTM是万能的。通常来说，UTM需要具备防火墙、VPN、防病毒、入侵检测与阻断、流量分析、内容过滤、P2P协议过滤、3A认证等众多功能。UTM往往被称为网络安全的“瑞士军刀”，然而事实的情况是用户在实际使用时，发现这把军刀非常钝，甚至到了无法使用的程度：比如在启用防病毒功能后，绝大多数UTM产品性能都会下降到一个用户不能接受的程度－启用防毒功能前的十分之一甚至更低，这在当今千兆网络日益普及，大步向万兆迈进的时候，UTM低得可怜的性能显然难当网络安全防护的重任。

　　UTM的问题在哪里？UTM的问题在于，UTM所需的硬件平台远没有到成熟的水平。UTM的关注点是在应用层安全，然而，真正实现应用层安全，无论是相应的硬件技术，还是应用层深度检测的软件架构，以及两者的紧密结合，技术上还有很长的路要走。

　　UTM无疑是定位在网关安全防护，我们来看一下网关安全产品的发展过程：最早的交换机的访问控制是在二层，路由器的访问控制是在三层，由于路由器的CPU处理能力很低，因此路由器上做状态检查和三层的访问控制会严重影响路由器的性能，因此逐渐出现了防火墙产品，两者在硬件体系结构上最大的差别就是CPU的处理能力，即使是基于ASIC技术的防火墙，其使用的CPU的处理性能也远高于路由器的CPU，这是因为，相对于路由处理，防火墙的计算是一个计算密集型的任务，因此，必须有相应的具有强大计算能力的硬件支持。

　　我们回过头看一下UTM，以病毒过滤为例，通常处理的都是七层数据（SMTP、HTTP等等）。要准确地检测应用层的攻击，单包检测的准确率是很低的，必须进行协议级数据的还原以保证检测的准确性，降低漏报率。网络中常用的应用协议在数十种，与状态检测相比，不同应用层协议重组的计算量提升了一个数量级以上，即使是目前计算能力最强的CPU在进行数百兆流量的协议还原时也会造成性能瓶颈，并大大增加网络延迟。因此，目前的硬件体系结构还不足以支持深度的应用检测和过滤。多核CPU，包括RMI、CAVIUM等公司的多核平台是一个突破的方向，但目前产品还处于市场导入期，价格昂贵，大规模普及并成为主流尚待时日。多核平台是UTM性能满足部署要求的前提条件，如果多核技术走向成熟，比如INTEL的80核的CPU产品实现量产，完全可以突破目前硬件平台的处理瓶颈。

　　硬件的问题解决后，软件上最大的挑战在于计算任务的并行化以及攻击防御开发的模式上。一个UTM产品必须能够在协议、漏洞、攻击以及业务等多个层次上进行检测，才能提供全方位的防护，否则，针对一个漏洞的攻击理论上可以开发出无数种攻击工具，只针对攻击特征进行检测难免挂一漏万。同样道理，协议层次上的安全防护及安全性增强也是UTM必须的功能。

　　东软在五年就开始进行深度防御的基础研究工作，在多引擎/多核并行计算以及深度检测语言平台（NEL）都取得了重大的突破，下一步的工作将是NEL平台与领先的多核计算平台进行紧密的集成。通过与INTEL等硬件厂商的合作，预计在2008年左右就可以解决目前UTM所存在的性能瓶颈，以及漏报率和误报率居高不下的问题。

　　东软的NEL是一个开发的平台，在这个平台之上可以进行比较复杂的计算。NEL在五个层面上考虑了攻击防御的问题：第一个层面是协议异常检测。为什么放在最前面呢？因为对于特定的协定，比如说HTTP、SMTP、FTP等等都可以找到规律，哪些协议交互数据是正常的，哪些交互或数据包是RFC规范所不允许的。通过这样的方式，在协议上的层次上就可以拦截很多的攻击和非法访问。

　　第二个层次是基于漏洞特征的攻击检测规则。漏洞规则核心的想法是基于漏洞特征而不依赖于攻击者使用漏洞的方式来做检测。这个检测最大的好处是可以非常高效地防御众多的攻击变种，而且可以在攻击者实施攻击之前就可以把这些东西检测出来。

　　第三个层次是基于攻击签名的规则。签名的规则实际上有一个最大的好处就是能够比较清晰地了解攻击具体实施的方式，了解攻击者利用的到底是一些自己的编码或工具，还是利用了一些固定的攻击工具来实施攻击。

　　UTM在具体部署和实施当中，用户会根据自己特有的需要，制定一些个性化、定制化的应用级安全防御规则。这就需要用自定义的方式来做的，也就是第四个层次上的用户自定义规则。

　　第五个层次上的规则也是与具体部署环境相关的，不过是自动化的，即系统通过学习，了解正常的访问模式，通过正常访问模式与异常访问模式的对比，在攻击发生的时候及时发现并有效地进行拦截。

　　NEL最主要的革命性思想，就是它实现了一个攻击检测、协议分析以及NEL平台本身完全独立的分层体系结构。使用NEL可以多次不断扩充协议或检测规则，而不会影响到另外层次上的代码。同时，在NEL还可以完全复用大量的C语言代码。这是攻击检测方法学上的一个全新的突破和方向。

　　在多核硬件平台以及多层次的防御体系之外，UTM还需要集成高性能的安全协处理器以保证加解密，压缩/解压缩等安全防护外围处理的性能，否则，这些外围处理可能会造成UTM的性能瓶颈。这三方面的问题解决后，UTM才会真正成熟和普及，高效地检测各种类型的网络攻击和非法流量，包括检测未知的新型攻击和零日攻击，真正成为网络安全防护的利器。