首先跟大家分享一部電影，電影名字是《來(lái)電驚魂》，這個(gè)電影講述的是在郊外湖邊有一棟別墅，這棟別墅有非常好的安防設(shè)施。

　　一個(gè)女學(xué)生在這座別墅里做兼職保姆，這位保姆在主人走后，頻繁接到騷擾電話，她覺得不安全于是報(bào)警。警察就跟蹤打電話的人的具體方位，過了一會(huì)兒警察告訴這位保姆趕快逃離別墅，因?yàn)榇螂娫挼娜司驮趧e墅里面。事后我在想一個(gè)問題，別墅的安保設(shè)施這么全，這個(gè)殺手究竟如何進(jìn)入別墅?最后真相大白，保姆的朋友去看望她時(shí)，開車進(jìn)去的時(shí)候忘記關(guān)車庫(kù)了，這給了殺手趁虛而入的機(jī)會(huì)。

　　內(nèi)網(wǎng)安全需要統(tǒng)一管理網(wǎng)關(guān)終端

　　這部電影讓我想到了傳統(tǒng)的內(nèi)網(wǎng)安全模型，傳統(tǒng)的內(nèi)網(wǎng)安全模型可以看作是一個(gè)城堡，防火墻相當(dāng)于這個(gè)城堡的大門，守護(hù)著內(nèi)網(wǎng)的安全。但是事情在變化，這個(gè)城堡已經(jīng)出現(xiàn)很多小道，這些小道是因?yàn)榧夹g(shù)的發(fā)展，包括云計(jì)算、移動(dòng)介質(zhì)，包括其他的網(wǎng)絡(luò)接口、3G網(wǎng)卡，包括移動(dòng)辦公，合作伙伴的移動(dòng)設(shè)備等等。

　　這些技術(shù)的應(yīng)用對(duì)內(nèi)網(wǎng)來(lái)說(shuō)就相當(dāng)于打開了車庫(kù)的門，整個(gè)城堡就不再安全了。所以，如果用剛才的模型來(lái)看，我們會(huì)發(fā)現(xiàn)終端已經(jīng)成為新的內(nèi)網(wǎng)邊界，保護(hù)內(nèi)網(wǎng)安全需要我們對(duì)網(wǎng)關(guān)和終端進(jìn)行統(tǒng)一防護(hù)。

　　UTM2簡(jiǎn)化操作提升安全

　　啟明星辰UTM2是什么呢?UTM2由三位一體構(gòu)成，包括統(tǒng)一安全網(wǎng)關(guān)、統(tǒng)一終端安全和統(tǒng)一管理配制，三者構(gòu)成一個(gè)整體，就構(gòu)成了UTM2。其出發(fā)點(diǎn)就是要同時(shí)管理網(wǎng)關(guān)和終端兩個(gè)邊界，讓內(nèi)網(wǎng)重新變得安全。

　　UTM2如何使內(nèi)網(wǎng)安全部署變得簡(jiǎn)單?我們調(diào)研了很多客戶，典型行業(yè)客戶在部署內(nèi)網(wǎng)安全時(shí)，普遍反饋內(nèi)網(wǎng)安全部署太復(fù)雜。復(fù)雜體現(xiàn)在什么地方呢?第一是有很多系統(tǒng)需要安裝，包括主機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備，設(shè)備之間調(diào)試對(duì)技術(shù)水平要求很高，同時(shí)各個(gè)組件之間有很復(fù)雜的通信協(xié)議，協(xié)議比較復(fù)雜就會(huì)產(chǎn)生一些問題，比如內(nèi)網(wǎng)安全軟件和網(wǎng)絡(luò)設(shè)施之間是不是可以兼容。其次就是終端上有一個(gè)代理，終端代理安裝過程非常麻煩，管理員手工安裝大概需要30 min才能裝好一臺(tái)計(jì)算機(jī)，一天一個(gè)管理員只能裝20個(gè)終端，如果一個(gè)企業(yè)有上千個(gè)終端，這個(gè)部署過程就會(huì)非常漫長(zhǎng)。

　　UTM2的思想是把邏輯上多個(gè)功能組件，物理上集成在一個(gè)硬件設(shè)備里面。這個(gè)硬件設(shè)備上集成了終端代理安裝程序;同時(shí)這臺(tái)硬件本身是UTM網(wǎng)關(guān)，可作為策略強(qiáng)制點(diǎn);同時(shí)上面也集成了策略控制點(diǎn)，即策略服務(wù)器。

　　以UTM2部署過程為例，第一步只需把一臺(tái)USG機(jī)部署在網(wǎng)絡(luò)路徑上，然后配置網(wǎng)關(guān)準(zhǔn)入控制，終端訪問網(wǎng)絡(luò)時(shí)，USG會(huì)檢查，如果沒有安裝桌面代理就會(huì)彈出一個(gè)頁(yè)面，告訴用戶怎么安裝代理，這是非常自助式的服務(wù)，可以幫助普通終端用戶自助完成客戶端安裝。

　　客戶端裝好之后，企業(yè)會(huì)統(tǒng)一下發(fā)一個(gè)終端安全策略，這樣就非常迅速地把內(nèi)網(wǎng)安全體系部署下來(lái)，并且馬上實(shí)現(xiàn)一個(gè)全面管控，實(shí)現(xiàn)對(duì)網(wǎng)關(guān)和終端同時(shí)防護(hù)。同時(shí)，這樣一個(gè)架構(gòu)可以開放支持其他產(chǎn)品，例如可以在這個(gè)體系上面把加密產(chǎn)品作為必選要求。

　　網(wǎng)關(guān)終端需要協(xié)同防御

　　也有用戶會(huì)問，統(tǒng)一安全套件是統(tǒng)一網(wǎng)關(guān)安全和終端安全，那么是否部署一套單獨(dú)的USG，再部署一套單獨(dú)的終端安全，安全效果一樣呢?答案是不一樣。

　　假設(shè)一個(gè)場(chǎng)景：一個(gè)外部黑客想攻擊內(nèi)網(wǎng)，當(dāng)黑客從外面發(fā)起連接時(shí)，比如發(fā)起一個(gè)木馬控制連接時(shí)，他會(huì)被USG網(wǎng)關(guān)阻止。當(dāng)黑客發(fā)現(xiàn)用戶部署了網(wǎng)關(guān)，他會(huì)采取一個(gè)反彈木馬方式，讓內(nèi)網(wǎng)主動(dòng)發(fā)起連接實(shí)現(xiàn)木馬控制。從網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，是很難阻止這個(gè)反彈木馬的。針對(duì)反彈木馬，信息安全管理員可以通過在終端上部署一個(gè)終端安全軟件(例如AV軟件)來(lái)阻止。面對(duì)終端安全軟件，黑客也會(huì)更新其攻擊手段，其中包括AV終結(jié)者。我們知道，病毒和反病毒軟件在操作系統(tǒng)上是一個(gè)層面的，都在爭(zhēng)奪系統(tǒng)控制權(quán)，這個(gè)時(shí)候有可能防病毒軟件勝利，也可能病毒把殺毒軟件干掉。黑客通過集成的方式，采用AV終結(jié)者捆綁一個(gè)反彈木馬，就可以實(shí)現(xiàn)各個(gè)擊破，通過AV終結(jié)者擊敗用戶的終端安全，再用反彈木馬擊破用戶的網(wǎng)關(guān)安全。

　　UTM2則不同。它需要在網(wǎng)關(guān)和終端之間有一個(gè)藍(lán)線，這個(gè)藍(lán)線表示協(xié)同，這個(gè)協(xié)同表現(xiàn)在什么地方呢?還是以上文例子為例，安全網(wǎng)關(guān)會(huì)檢查終端安全軟件的狀態(tài)，就是說(shuō)網(wǎng)關(guān)會(huì)檢查用戶終端安全軟件是不是在工作，是不是工作良好，通過這樣的方式網(wǎng)關(guān)保護(hù)了終端安全軟件去對(duì)抗AV終結(jié)者，另一方面，通過終端安全軟件可以對(duì)抗反彈木馬，網(wǎng)關(guān)安全和終端安全就形成了一個(gè)互相保護(hù)，協(xié)同防護(hù)的效應(yīng)。