2弥补传统UTM管理短板'> 启明星辰:UTM2弥补传统UTM管理短板

传统的UTM只是整合了企业IT网络的边界安全，在内部终端的控制与管理方面存在短板。UTM2实现了UTM网关和终端的协同配合，大大增强了各自的安全防护能力，实现了一体化的纵深防御。

4月15日，启明星辰了网关和终端安全相结合的统一安全防护产品――UTM2网关・终端统一安全套件。使用该套件，用户只需安装一台安全网关，即可简单快捷地实现对网络边界和内网终端的全面防护。

UTM2的平方论

启明星辰副总裁、产品管理中心总监张建军解释说，传统的UTM只是整合了企业IT网络的边界安全，在内部终端的控制方面存在短板。UTM2即是UTM的平方――通过UTM网关和客户端的协同，实现各自防护效果的互相加强。

在传统的安全方案中，部署防火墙或UTM等设备可以在网关处实现网络访问控制、入侵防御、P2P控制等功能；部署防病毒软件、终端安全软件，可以对终端进行安全检查和防护。在这样的方案中，网关和终端各自独立，互相之间难以形成有效的呼应。

但实际上，随着接入方式的多样化和移动办公的日益普遍，终端正在成为新的网络边界。因此，CIO需要以网关的视角来重新审视终端安全。另一方面，网关处也存在着诸多像ARP攻击、P2P防控之类的难题。这些问题的根源都在内网，而通过网关进行控制治标不治本，只有从终端入手，才能做到精确的控制。

因此，如果能将网关和终端有机结合起来，做到协同配合，就能大大增强各自的安全防护能力，实现一体化的纵深防御。

张建军表示：“借助UTM2网关・终端统一安全套件，用户第一次拥有了在网关处掌控全网安全的能力。终端安全检查和网关准入控制的结合，可以保证不安全的终端无法接入内联网和互联网，从而彻底消除内网的隐患，确保用户资产和信息的安全。”

四大增强特性

记者了解到，启明星辰UTM2安全套件建立在天清汉马USG一体化安全网关的基础之上，内置了天内网安全风险管理与审计系统的服务器软件。它具有四大增强特性：

・ 一体化协同防护体系：通过统一的管理界面，实现对网关的配置和终端安全策略的下发，能够从网关对接入网络的所有终端进行进程管理、服务管理、网络应用管理和补丁管理。

同时，终端负责各种安全性检查，网关根据检查结果进行准入控制，彻底杜绝不安全的终端接入，保障内网合规。

・ 精确的上网行为管理：通过网关协议解析和终端进程管理的结合，可以对IM、P2P、流媒体等网络应用实现精确控制。

针对各种网络应用，在安全网关上可通过安全策略、主机或服务进行流量控制，在终端上可实现基于进程和访问端口的流量控制，两者搭配可以实现更细粒度的流量管理。

・ 全面的网络准入控制：传统防火墙只能根据5元组进行准入控制，无法实现应用层控制，而UTM2除了具备UTM的应用层安全检查功能，更可根据终端的进程检查、防病毒检查和系统补丁检查等多种安全检查结果，实现强大的进程级准入控制。

・ 增强的网络攻击防护：从终端出发准确定位ARP攻击源头，阻止本机发送、接收ARP欺骗包，解决ARP攻击难题；通过网关限制终端连接数，通过终端限制主机进程连接数，彻底防范DoS/DDoS攻击。

用户部署了UTM2安全套件并启用了内网安全策略后，内网的终端第一次通过USG访问其他安全域时，会被重定向到天客户端的下载页面，提示用户自行下载安装。安装过天客户端的终端，会自动从USG上同步安全管理策略。USG根据安全检查的结果进行准入控制，不安装客户端的终端将无法访问其他安全域。