首先跟大家分享一部電影，電影名字是《來電驚魂》，這個電影講述的是在郊外湖邊有一棟別墅，這棟別墅有非常好的安防設施。

　　一個女學生在這座別墅里做兼職保姆，這位保姆在主人走后，頻繁接到騷擾電話，她覺得不安全于是報警。警察就跟蹤打電話的人的具體方位，過了一會兒警察告訴這位保姆趕快逃離別墅，因為打電話的人就在別墅里面。事后我在想一個問題，別墅的安保設施這么全，這個殺手究竟如何進入別墅?最后真相大白，保姆的朋友去看望她時，開車進去的時候忘記關車庫了，這給了殺手趁虛而入的機會。

　　內網安全需要統一管理網關終端

　　這部電影讓我想到了傳統的內網安全模型，傳統的內網安全模型可以看作是一個城堡，防火墻相當于這個城堡的大門，守護著內網的安全。但是事情在變化，這個城堡已經出現很多小道，這些小道是因為技術的發(fā)展，包括云計算、移動介質，包括其他的網絡接口、3G網卡，包括移動辦公，合作伙伴的移動設備等等。

　　這些技術的應用對內網來說就相當于打開了車庫的門，整個城堡就不再安全了。所以，如果用剛才的模型來看，我們會發(fā)現終端已經成為新的內網邊界，保護內網安全需要我們對網關和終端進行統一防護。

　　UTM2簡化操作提升安全

　　啟明星辰UTM2是什么呢?UTM2由三位一體構成，包括統一安全網關、統一終端安全和統一管理配制，三者構成一個整體，就構成了UTM2。其出發(fā)點就是要同時管理網關和終端兩個邊界，讓內網重新變得安全。

　　UTM2如何使內網安全部署變得簡單?我們調研了很多客戶，典型行業(yè)客戶在部署內網安全時，普遍反饋內網安全部署太復雜。復雜體現在什么地方呢?第一是有很多系統需要安裝，包括主機、服務器和網絡設備，設備之間調試對技術水平要求很高，同時各個組件之間有很復雜的通信協議，協議比較復雜就會產生一些問題，比如內網安全軟件和網絡設施之間是不是可以兼容。其次就是終端上有一個代理，終端代理安裝過程非常麻煩，管理員手工安裝大概需要30 min才能裝好一臺計算機，一天一個管理員只能裝20個終端，如果一個企業(yè)有上千個終端，這個部署過程就會非常漫長。

　　UTM2的思想是把邏輯上多個功能組件，物理上集成在一個硬件設備里面。這個硬件設備上集成了終端代理安裝程序;同時這臺硬件本身是UTM網關，可作為策略強制點;同時上面也集成了策略控制點，即策略服務器。

　　以UTM2部署過程為例，第一步只需把一臺USG機部署在網絡路徑上，然后配置網關準入控制，終端訪問網絡時，USG會檢查，如果沒有安裝桌面代理就會彈出一個頁面，告訴用戶怎么安裝代理，這是非常自助式的服務，可以幫助普通終端用戶自助完成客戶端安裝。

　　客戶端裝好之后，企業(yè)會統一下發(fā)一個終端安全策略，這樣就非常迅速地把內網安全體系部署下來，并且馬上實現一個全面管控，實現對網關和終端同時防護。同時，這樣一個架構可以開放支持其他產品，例如可以在這個體系上面把加密產品作為必選要求。

　　網關終端需要協同防御

　　也有用戶會問，統一安全套件是統一網關安全和終端安全，那么是否部署一套單獨的USG，再部署一套單獨的終端安全，安全效果一樣呢?答案是不一樣。

　　假設一個場景：一個外部黑客想攻擊內網，當黑客從外面發(fā)起連接時，比如發(fā)起一個木馬控制連接時，他會被USG網關阻止。當黑客發(fā)現用戶部署了網關，他會采取一個反彈木馬方式，讓內網主動發(fā)起連接實現木馬控制。從網絡設備來說，是很難阻止這個反彈木馬的。針對反彈木馬，信息安全管理員可以通過在終端上部署一個終端安全軟件(例如AV軟件)來阻止。面對終端安全軟件，黑客也會更新其攻擊手段，其中包括AV終結者。我們知道，病毒和反病毒軟件在操作系統上是一個層面的，都在爭奪系統控制權，這個時候有可能防病毒軟件勝利，也可能病毒把殺毒軟件干掉。黑客通過集成的方式，采用AV終結者捆綁一個反彈木馬，就可以實現各個擊破，通過AV終結者擊敗用戶的終端安全，再用反彈木馬擊破用戶的網關安全。

　　UTM2則不同。它需要在網關和終端之間有一個藍線，這個藍線表示協同，這個協同表現在什么地方呢?還是以上文例子為例，安全網關會檢查終端安全軟件的狀態(tài)，就是說網關會檢查用戶終端安全軟件是不是在工作，是不是工作良好，通過這樣的方式網關保護了終端安全軟件去對抗AV終結者，另一方面，通過終端安全軟件可以對抗反彈木馬，網關安全和終端安全就形成了一個互相保護，協同防護的效應。