硬件架构的演变
硬件架构的演变
目前,整合式安全设备从形态上来说更多的是以防火墙为核心整合其它安全功能,这与防火墙产品在安全领域的核心地位是密不可分的。由于UTM安全设备通常会同时运行多个功能模块,对系统性能的要求要远远大于单纯的防火墙或入侵检测系统。比如,普通的路由器需要10个指令就可以处理的封包数据,在基于七层防毒功的UTM设备上就需要9000个指令,这意味着UTM产品必须使用相对高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于性能敏感平台的一种处理器技术,在防火墙安全产品中,ASIC的应用是处理效能是否足够的关键。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(Net Processor,网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
目前市场许多以特征字符串比对技术为核心UTM ASIC方案,可能导致系统效能不够稳定与缓慢,仅能提供有限的安全防护与网络速度的瓶颈。这类框架系统要求在特征字符串比对前,需要先将封包重组,而现在的病毒或蠕虫,通常会伪装为正常的文件名称与大小,切割为几百,乃至上千个封包。而封包重组后的档案越大在系统内存占用的空间也越大,当档内存空间被占满以后,必然导致忽略或拥塞现象发生,病毒或蠕虫也会趁隙溜到内部网络中。
面对特征字符串比对与封包重组的问题,现在有的UTM厂商提出DFA(Deterministic Finite Automata决定式有限自动机)的技术。DFA最大的特色,就是扫瞄封包时不会受到数据包大小的限制,因为其通过“Reassembly Free”的方式顺序的将传送的封包一一比对,不需先储存于系统内存中重组,所以特征扫瞄时是不需储存整个完整字符串,而是针对每个封包中字段进行比对,将有嫌疑的封包标记,并且将后续关联性封包一并标记处理,这可让有问题的病毒文件无法重组或开启。
多种安全技术的集成
●? 专有操作系统:
传统防火墙都是采用的基于WINDOWS、UNIX、LINUX或BSD的通用操作系统,这些通用操作系统其漏洞是人所共知的。定制的操作系统在安全功能上进行了特别处理,形成了适用于UTM的软件平台。有的UTM产品使用专用的安全系统部件开发操作系统,并且舍去了内部硬盘,所以系统的可靠性很高。另外在规则算法、模式识别语言等方面也进行了特别的设计,这为UTM的平台化目标提供了最有力的基石。
●? 防火墙技术的加深
传统的防火墙设备从第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙,性能单一成为一个主要缺陷,即便采用了一种基于状态和面向TCP连接的安全设计,可以基于源和目的地地址创建一个会话流,根据随机生成的TCP序列号的检查规则,避免黑客利用篡改TCP序列号进行攻击的可能性。
防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能,而且它还决定了防病毒、入侵检测、VPN 等功能是否开启以及它们的工作模式。通过防火墙的策略可以实现各种功能的更好的融合。但它们对于针对操作系统和应用设计的病毒、木马、用户被恶意网站欺骗下载的间谍软件就显得无能为力了。
主流防火墙中被为深度包检测的DIP(Deep Packet Inspection)技术,完全融入到UTM设备中并得到改良与发展。例如:Complete Content Protection, 简称CCP,它提供对OSI网络模型所有层次上的网络威胁的实时保护。
从整个系统角度讲,UTM防火墙要实现的不仅仅是网络访问的控制,而且实现数据包的识别与转发,例如HTTP, Mail等协议的识别与转发相应的模块进行处理,从而减轻其他模块对数据处理的工作量,提高了系统性能和效率。同时植入很多更高的新功能,例如VoIP、H.323、SIP、IM、P2P控制等,起点更高,应用前景更广,适应性更强。
●? 远程接入VPN
主流的UTM设备都提供支持PPTP、L2TP、 IPSec,和SSL VPN的功能。我们这里主要谈一下SSL VPN,它与传统的IPSec VPN、以及单独的VPN产品相比具有更显著的特点。首先IPSec VPN使用十分复杂,必须安装和维护客户端软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。
SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN是基于应用层的VPN,这就意味着在安全性上已经不仅局限在可以让数据安全过来,而且还关注这过来的数据究竟是什么内容。开启UTM网关上的VPN功能,实现高强度(3DES、AES、SHA-1、MD5)的加密和认证,防止公网链路上的数据窃取和篡改。
