随着单位业务的发展，更多的业务应用（例如办公自动化等）依赖于IT信息系统来实现，在业务运转过程中，不断面临病毒、木马和间谍软件的严重威胁。当内网用户在浏览网页，收发电子邮件等操作时，就很容易招致病毒木马的入侵，严重干扰单位的正常运作。

传统的桌面型防病毒软件无法阻止病毒的泛滥，对网络攻击行为无法防范。虽然外部的攻击威胁性很大，不过最关键的还是个人的安全意识单薄，这才是最危险的环节。即使网络安全配置的很合理，但是管理员安全意识薄弱，警惕性很低，很容易在黑客社会工程学的诱骗下，泄漏各种管理密码，那么网络安全还是脆弱不堪的。例如员工滥用P2P、IM等随意访问非法网站。如果内部员工对外部访问不受控制的话，就会被不安全的网络链接，恶意下载植入代码，轻则感染病毒重则使机构变成了僵尸网络。

根据以上分析，可以发现网络攻击逐渐从网络层向应用层以及业务层延伸，对资源以及内容的优化管理，成为很重要的主题。即越来越重视技术（例如Service Awareness，业务感知技术等）上和内容上的安全，即从网络安全向安全网络转化，而不局限于传输层、网络层、链路层等底层安全，以适应客户从设备需求到服务需求的转化。为了有效对抗网络威胁，网络产品和安全产品日益相互融合。

对于广域网的安全来说，对多台网络设备进行集中管理，将路由器和安全产品进行融合，来建立安全的网络。对于一些具有轰动性的泄密事件来说，不仅和相关的网络设备有关，也和数据库等软件产品有关。因此，对网络威胁的防御，需要建立软硬件一体化的方法机制。利用UTM（统一威胁管理）技术，就可以对网络安全进行全面保护。

UTM融合了IPS入侵防御系统、防病毒、上网行为管理、防止DDOS攻击等特性，有效解决了来自单位内部和外部的攻击威胁，可以防御诸如非法网站、钓鱼、P2P、病毒、木马、间谍软件、蠕虫、DDOS攻击等入侵行为。对于下一代防火墙来说，UTM技术已经融合在其中了。

激活防火墙UTM防护机制

例如，在华为某款支持UTM功能的防火墙上先申请并激活License(因为UTM功能是需要Licese支持的)并升级知识库和病毒库，因为在使用反病毒、IDS、入侵防御系统、URL分类、应用控制等功能前，必须指定所需的病毒库、IDS签名库、URL热点库和知识库。申请License的过程并不复杂，先通过查看License授权证书获取LAC授权码，在购买设备时会提供该LAC信息。在设备标签上或者管理界面中可以获得ESN号，之后在设备官网上进行License自助服务，来获取License文件。将该文件上传进来，进行激活即可。

利用UTM防火墙，实现入侵检测功能

当激活UTM功能后，在“License资源”列表中可以看到诸如虚拟系统、内部安全组合、SSL VPN、入侵防御、反病毒、URL过滤等模块均处于“已授权”状态。要想发挥UTM防火墙的威力，需要对其支持的入侵检测和防护以及网关防病毒功能进行合理的配置。对于前者来说，包括新建入侵防御配置文件、过滤签名过滤器、配置例外签名，将入侵防御配置文件引入到安全策略中等步骤。在入侵防御配置文件管理界面显示设备自带的安全配置文件，可以适用于不同的应用场景。

例如可以保护Web服务器、文件服务器、DNS服务器以及邮件服务器等。点击“新建”按钮，输入其名称，描述信息，选择“抓包”项，表示当检测到网络入侵行为后，抓取包含网络流量入侵特征码的数据包，可以在日志中查看抓包内容，便于对入侵报文进行分析。在“签名过滤器”栏中点击“新建”按钮，输入签名过滤器的名称，选择签名所监测的对象（包括服务器和客户端），选择操作系统（包括Windows、Unix/Linux/HP_Unix/AIX/Sun等），选择严重性类型（包括高/中/低），如果默认不选，则表示选用所有项目。选择合适的协议（包括网络文件类协议、网络服务类协议、邮件类协议、聊天类协议、数据库类协议、其他类型等）。

选择威胁的类型，包括病毒、木马、僵尸网络、间谍软件、广告软件、CGI攻击、跨站脚本攻击等。根据需要选择具体的处理动作，包括告警（当报文命中该签名过滤器中的任意签名时，均按照告警进行处理，忽略签名本身的动作），阻断（当报文命中该签名过滤器中的任意签名时，均按照阻断进行处理，忽略签名本身的动作）等。点击“预览签名过滤结果”按钮，在配置签名过滤器后，系统自动将过滤出的签名按照入侵类型进行分类，按照ID从小到大排列，可预览过滤结果。配置签名过滤器来过滤出满足特定需求的多个签名，每个过滤器必须满足所有过滤条件才可以加入签名过滤器，签名过滤器按照配置先后顺序依次显示，显示循序匹配报文过滤的过程。

签名过滤包含一些匹配条件，来特定的应用进行对应。例如对象、严重性、操作系统、协议、威胁类型、处理动作（告警或阻断等）。在“例外签名”栏中点击“添加”按钮，可以创建例外签名项目，例外签名可以设置和签名过滤器不同的签名，能够针对特定的签名配置一个动作。如果管理员需要为某个签名设置与签名过滤器不同的动作，那么该例外签名拥有更高的优先级。例如某个签名过滤器采取的处理动作是警告，与之对应的例外签名采取的动作是阻断，那么当处理具体的入侵行为时，优先执行阻断动作。即例外签名的处理动作如果与签名过滤器不同，则以例外签名的处理动作为准，即例外签名拥有更优先的匹配权利。注意，在同一个配置文件下的签名过滤器是存在优先级的，签名过滤器按照配置的先后依次显示在界面上，显示顺序即为报文匹配顺序，签名过滤器的优先级可以手动调整。

之后点击“提交”按钮，执行编译操作，将其变成可执行文件。在安全策略管理界面中新建安全策略，设置其名称、描述信息、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务、应用、时间段等项目，源目的地址可以不进行配置，默认为处理所有IP报文。在“动作”栏中必须选择“允许”，为的是让应用的配置文件生效。在“入侵防御”栏中选择上述创建的配置文件。这样，才可以发挥入侵防御配置文件的威力，来有效抗击不法的入侵行为。

使用UTM防火墙，抵御病毒入侵

网关防病毒的配置包括新建反病毒配置文件，选择过滤协议（包括文件传输协议、邮件协议、共享协议等），配置应用例外及病毒例外，在安全策略中引用防病毒配置文件等步骤。在反病毒配置文件管理界面中显示了设备自带的默认配置文件，可以针对 HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB等协议在上传和下载方向上进行过滤，注意，默认的配置文件不能修改和删除。点击“新建”按钮，输入其名称、描述信息，选择“抓包”项，表示检测到病毒后，会抓取包含病毒的数据包，便于管理员在日志中查看数据包的内容。在“高危特征检测”栏中选择“启用”项，如果传输的文件存在潜在风险，可以将其检测出来。这适用于对安全性要求较高的环境，因为其可能会产生误报。

在“文件传输协议”、“邮件协议”、“共享协议”栏目中选择数据的上传或者下载方向，并为其设置处理动作，包括告警和阻断等。对于告警来说，虽然可以对其放行，但是会生成病毒日志，对于阻断来说，可以直接对其拦截同时也会生成病毒日志。对于SMTP和POP3协议来说，还可以选择宣告动作，可以对其放行，但是会在邮件正文中添加检测到的病毒提示信息，同时会生成病毒日志。对于病毒邮件来说，还可以自动删除包含病毒的附件，并在邮件正文中添加检测到的病毒提示信息，同时会生成病毒日志。

在配置完成后，可以创建应用例外和病毒例外。前者可以为协议中的某个应用配置不同的响应动作。对于病毒例外来说，可以放过可能为误报的情况。例如对于某个常用的工具软件来说，其本身不是病毒，但是可能被误报为病毒，为其创建病毒例外，可以防止产生误报。方法是从病毒日志中找到相关的ID信息，将其输入到病毒例外的编辑栏中，点击添加按钮，使其摆脱检测操作。之后新建安全策略项目，设置其名称、描述信息、源安全区域（选择“untrust”）、目的安全区域（选择“ytust”）、源地址/地区、目的地址/地区、用户、服务、应用、时间段等项目，在“动作”栏中必须选择“允许”项，在“反病毒”列表中选择上述配置文件。这样，可以全方面的对病毒进行防御。