首先跟大家分享一部电影，电影名字是《来电惊魂》，这个电影讲述的是在郊外湖边有一栋别墅，这栋别墅有非常好的安防设施。

　　一个女学生在这座别墅里做兼职保姆，这位保姆在主人走后，频繁接到骚扰电话，她觉得不安全于是报警。警察就跟踪打电话的人的具体方位，过了一会儿警察告诉这位保姆赶快逃离别墅，因为打电话的人就在别墅里面。事后我在想一个问题，别墅的安保设施这么全，这个杀手究竟如何进入别墅?最后真相大白，保姆的朋友去看望她时，开车进去的时候忘记关车库了，这给了杀手趁虚而入的机会。

　　内网安全需要统一管理网关终端

　　这部电影让我想到了传统的内网安全模型，传统的内网安全模型可以看作是一个城堡，防火墙相当于这个城堡的大门，守护着内网的安全。但是事情在变化，这个城堡已经出现很多小道，这些小道是因为技术的发展，包括云计算、移动介质，包括其他的网络接口、3G网卡，包括移动办公，合作伙伴的移动设备等等。

　　这些技术的应用对内网来说就相当于打开了车库的门，整个城堡就不再安全了。所以，如果用刚才的模型来看，我们会发现终端已经成为新的内网边界，保护内网安全需要我们对网关和终端进行统一防护。

　　UTM2简化操作提升安全

　　启明星辰UTM2是什么呢?UTM2由三位一体构成，包括统一安全网关、统一终端安全和统一管理配制，三者构成一个整体，就构成了UTM2。其出发点就是要同时管理网关和终端两个边界，让内网重新变得安全。

　　UTM2如何使内网安全部署变得简单?我们调研了很多客户，典型行业客户在部署内网安全时，普遍反馈内网安全部署太复杂。复杂体现在什么地方呢?第一是有很多系统需要安装，包括主机、服务器和网络设备，设备之间调试对技术水平要求很高，同时各个组件之间有很复杂的通信协议，协议比较复杂就会产生一些问题，比如内网安全软件和网络设施之间是不是可以兼容。其次就是终端上有一个代理，终端代理安装过程非常麻烦，管理员手工安装大概需要30 min才能装好一台计算机，一天一个管理员只能装20个终端，如果一个企业有上千个终端，这个部署过程就会非常漫长。

　　UTM2的思想是把逻辑上多个功能组件，物理上集成在一个硬件设备里面。这个硬件设备上集成了终端代理安装程序;同时这台硬件本身是UTM网关，可作为策略强制点;同时上面也集成了策略控制点，即策略服务器。

　　以UTM2部署过程为例，第一步只需把一台USG机部署在网络路径上，然后配置网关准入控制，终端访问网络时，USG会检查，如果没有安装桌面代理就会弹出一个页面，告诉用户怎么安装代理，这是非常自助式的服务，可以帮助普通终端用户自助完成客户端安装。

　　客户端装好之后，企业会统一下发一个终端安全策略，这样就非常迅速地把内网安全体系部署下来，并且马上实现一个全面管控，实现对网关和终端同时防护。同时，这样一个架构可以开放支持其他产品，例如可以在这个体系上面把加密产品作为必选要求。

　　网关终端需要协同防御

　　也有用户会问，统一安全套件是统一网关安全和终端安全，那么是否部署一套单独的USG，再部署一套单独的终端安全，安全效果一样呢?答案是不一样。

　　假设一个场景：一个外部黑客想攻击内网，当黑客从外面发起连接时，比如发起一个木马控制连接时，他会被USG网关阻止。当黑客发现用户部署了网关，他会采取一个反弹木马方式，让内网主动发起连接实现木马控制。从网络设备来说，是很难阻止这个反弹木马的。针对反弹木马，信息安全管理员可以通过在终端上部署一个终端安全软件(例如AV软件)来阻止。面对终端安全软件，黑客也会更新其攻击手段，其中包括AV终结者。我们知道，病毒和反病毒软件在操作系统上是一个层面的，都在争夺系统控制权，这个时候有可能防病毒软件胜利，也可能病毒把杀毒软件干掉。黑客通过集成的方式，采用AV终结者捆绑一个反弹木马，就可以实现各个击破，通过AV终结者击败用户的终端安全，再用反弹木马击破用户的网关安全。

　　UTM2则不同。它需要在网关和终端之间有一个蓝线，这个蓝线表示协同，这个协同表现在什么地方呢?还是以上文例子为例，安全网关会检查终端安全软件的状态，就是说网关会检查用户终端安全软件是不是在工作，是不是工作良好，通过这样的方式网关保护了终端安全软件去对抗AV终结者，另一方面，通过终端安全软件可以对抗反弹木马，网关安全和终端安全就形成了一个互相保护，协同防护的效应。