网络安全 频道

浅谈统一威胁管理(UTM)

随着互联网的发展以及宽带接入的普及,网络已经走进了千家万户,改变着人们的工作和生活。然而正当互联网给人们带来极大便利的同时,网络安全问题也日益严重起来,就其根源,是来自互联网通信所使用的协议:TCP/IP协议。

在互联网上,不论是各种版本的UNIX,Linux,还是越来越普及的Windows系统,他们都遵守TCP/IP协议。目前网络上运行的基本上都是TCP/IP版本4。不幸的是TCP/IP协议本身的设计并没有充分考虑安全问题,因此随着网络应用的普及,针对TCP/IP协议漏洞的攻击日益显现,如DDoS分布式拒绝服务攻击,非授权用户对网络的访问。

为满足安全需求,防火墙产品应运而生。传统防火墙主要是针对IP头,TCP头,UDP头中的源IP地址,目的IP地址,通信协议和使用的端口进行规则设置,允许或者禁止数据包的通过。然而随着微软公司Windows的普及和各种各样应用,如邮件,电子商务,CRM,ERP,VoIP的出现,网络上的安全问题的重点已经转移。绝大多数入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQL Server等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。这样一来,符合防火墙规则的数据包被放过,但它们可能就是针对操作系统和应用设计的病毒、木马,也可能是用户被恶意网站欺骗下载的间谍软件。

病毒可能造成系统的崩溃,数据被篡改甚至丢失,间谍软件会窥视用户的电脑操作,包括网络银行的帐号,电子邮件的帐号和密码,甚至用户操作的屏幕拷贝。另外,层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。客户不得不在网络上部署除了防火墙之外的其他的安全设备,如IDS,防病毒网关等等。对于大型的企业和机构,它们可能有足够的资金和人力购买并管理来自不同厂家的各种不同功能的安全设备。然而对占企业总数99%的SMB,即中小企业的用户来讲,购买并管理多个设备无论从资金到人力上都无力承担。中小型企业迫切希望有一种能集防火墙,入侵防御,网关防病毒等多种功能于一身安全设备,价格能够接受,降低管理负担,UTM由此而来。

IDC集团的Charles Kolodgy于2003年最早提出UTM这个概念,即一体化的安全管理。按照Charles Kolodgy的定义,UTM设备至少包含三种功能:防火墙,入侵防御和防病毒功能。目前市面上大多数第三代状态检测防火墙的产商都集成VPN的功能,受到技术及性能的影响,能够同时集成网关防病毒和IPS功能的厂商却寥寥无几。实际上声称支持UTM的厂家的技术实现有很大的区别。有些厂家仅仅是防火墙/VPN设备加上防病毒,防间谍软件的功能,有些仅仅是防火墙/VPN设备加上入侵防御功能,如Cisco ASA系列,网关防病毒/防间谍软件和IPS需要不同的硬件模块,因此不能同时使用。还有些厂家只在个别产品型号上支持防病毒功能,如Juniper的Netscreen 5GT。还有些厂家的全线产品支持防火墙,VPN,网关防病毒,入侵防御,反间谍软件功能,反垃圾邮件功能等等,如SonicWALL。

UTM要做到应用层数据扫描以检测病毒和入侵,无疑对主处理器是一个沉重的负担,为了平衡性能与功能的需求,通常网关防病毒引擎扫描的协议种类非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP等5种协议。而且,它们对同时扫描的文件的数目和大小都依硬件平台的不同而有明显的限制,其主要原因在于目前网关防病毒基本上都是基于先缓存要扫描的数据文件,再进行扫描,然后做病毒和入侵特征码的匹配,因此它们把待扫描的文件缓存在从有限的内存空间所分配的缓冲区内,通常用于存储等待扫描的数据的缓存空间按设备内存大小的一定比例分配,例如分配内存的10% 作为缓存空间。硬件资源是有限的,这样就限制了能够同时下载和扫描的文件的数目和大小,例如Fortinet.目前业界唯一不同的是SonicWALL UTM产品,专利技术的DPI引擎不需要缓存扫描的数据就可以进行25000种病毒和2000多种入侵的扫描和签名的匹配,因此消除了待扫描的文件大小和能同时扫描的文件的数目的限制,从UTM技术上是一个突破。

仅仅对于网关防病毒而言,各个厂家实现的方式和效果也不尽相同,除了上面提到的扫描文件大小和同时扫描文件数目有无限制之外,能够查杀病毒的数量和病毒签名自动升级的速度也对网关防病毒的实际效果有重要的影响。有些厂家的病毒库只有10,000个左右病毒签名。对于入侵防御,能够防御的入侵的数量也很重要,有些厂家能防御几百种,有些能防御上千种。

除了防病毒能力和防御入侵的能力之外,控制即时消息和对等应用的需求也日益增长,如控制即时消息软件如MSN、QQ、Skype和BT下载、eMule下载等影响工作效率的对等应用软件。此外,扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散,限制带有宏的Office文件、密码保护的压缩文件和“加壳”的可执行文件的传输等功能也对SMB中小型企业显得尤为重要。间谍软件的日益泛滥对企业及个人的信息安全造成极大的威胁,网络银行帐号被盗事件也时有发生,因此支持间谍软件的扫描,阻断间谍软件通过网络下载,FTP传输以及电子邮件的传播方式,监测自动安装的ActiveX控件,阻止已经感染间谍软件的电脑通过网络向黑客泄露私密信息似乎已经成为UTM设备必备的功能。

随着网络技术的发展,各种入侵的行为也会曾出不穷,UTM概念也会不断延伸,UTM设备会集成越来越多的功能。从性能上来讲,UTM对数据做到应用层的安全扫描,比传统的防火墙消耗更多的处理器资源,因此性能上还不能和单纯的状态检测防火墙相比。想一想UTM设备要处理整个数据包,而传统防火墙只处理几十个字节的包头,对一个1500个字节的数据包,UTM设备要多处理98%的内容。然而随着NP技术的不断进步,性能越来越强大的多内核网络处理器不断出现,相信在2005年底到2006年初,高性能,功能更加丰富的UTM设备即将闪亮登场。

目前UTM设备的领先厂商均是美国公司,据IDC统计,2005年Q2至今,美国的SonicWALL从UTM设备出货数量到销售金额均排在全球先进位。
 

0
相关文章