【IT168 专稿】随着各行业信息化进程的深入，网络边界安全正在进入一个全新的发展阶段。“网络边界”可以从两个方面进行理解：一个是“人网边界”，也就是我们经常提出的桌面安全，这是人与网络的分界处；另一个是“网网边界”，直白理解就是网络与网络的交界，由于局域网或园区网规模已经发展到一定规模，采用“安全域边界”这个词来理解会更加贴切一些。各种威胁的对象正在由主机资源转变为网络资源，与此相对应，安全域边界也就成为网络建设者最为关注的方面，安全网关作为域边界的主要防护设备也在不断优化以适应新的安全发展需要。

    一、让UTM"简单"应对未知威胁

    在信息安全领域，未知威胁是指尚未被发现的具有未知特征同时对信息系统存在潜在威胁的活动类型。未知威胁可能是一种网络攻击、一种电脑病毒、或者是一种对资源的非法滥用。世界有多大，Internet就有多大，又有谁能预知隐藏在Internet深处的下一个威胁会是什么？在信息安全领域，人们对威胁的认知总是要滞后于威胁的产生。虽然每一种威胁最终都得到了有效的遏制，但是每一次对未知威胁的认知都付出了巨大的代价。

    难道对于未知威胁只能采用亡羊补牢式的被动防范吗？信息安全领域内的各路专家都在积极探索一种有效防范未知威胁的方法。“基于行为分析的合法性检查技术”是一种从已知威胁入手，通过对行为特征的分析而逐渐认知未知威胁的一种方法，是一种通过已知透析未知的人工智能技术。

    从行为分析入手

    威胁是一只披着羊皮的狼，但无论它披上什么样的羊皮都无法掩盖其“狼”的秉性。每一种威胁都是由一系列的行为组成，如终止系统进程、删除文件、修改注册表、探测漏洞、强行关闭系统等等。如果能有效的截获这些动作，那么也就揭开了威胁的神秘面纱。“基于行为分析的合法性检查技术”通过强大的反编译引擎对途经的数据包进行重组和反编译处理，将已编译好的二进制威胁病原体重新反编译为一系列行为动作的组合，从而让隐藏在数据流深处的各类威胁的“秉性”一览无余，这就为有效截获未知威胁创造了条件。

    采用人工智能方法训练

    对于成千上万种不同类型的行为，什么样的组合属于正常应用，什么样的组合才构成威胁呢？“基于行为分析的合法性检查技术”引入了行为权重和威胁阀值的概念，即将目前各类已知的行为根据它们的风险性初始化一个行为权重，同时拟定一个威胁阀值，如果某类事件所包含行为的行为权重的组合超过了阀值，那么可以认定这类事件为一个威胁。

    用行为权重作为判断威胁的标准对权重的精确性提出了非常高的要求，“基于行为分析的合法性检查技术”选择了五万多条含有丰富行为特征的样本库，即包括正常样本也包括威胁样本，经过百万次的循环验证和权重微调，最终形成了一套准确的行为权重知识库。准确的行为权重知识库是检测未知威胁的基础。

    对未知威胁准确判断

    以行为分析作为条件，以“行为权重知识库”作为基础，对于任何来自于Internet的未知事件，经过“反编译à解码à行为提炼à知识库比对à权重计算à阀值比较”的流程化操作后即可判断该未知事件是否为一例威胁事件。如果权重计算的结果大于等于阀值，那么就可以认定为一例威胁事件，否则就判定为正常数据。基于五万条样本数据和百万次的循环训练而产生的准确的行为知识库保证了对未知威胁判断的精度。

    二、UTM：立体保护才是硬道理

    随着网络中的应用越来越复杂，安全问题以出人意料的速度增长，并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结，可以看出三个显著特点：

    第一：攻击手段多样化，以网络病毒为例，从震荡波、冲击波，还有QQ病毒，可以看出现在的网络攻击手段中，既包括病毒攻击，也包括隐含通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。

    第二：每一次攻击经常是多种手段并用，混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中，既包括病毒攻击、黑客攻击，也包括隐通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式，如伊拉克战争期间流行的“爱情后门变种”病毒，集蠕虫、后门、黑客三者功能于一身，给互联网造成了巨大的破坏。

    第三：攻击手段更新速度前所未有的快，业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后，当天或更准确的定义是在24小时内，立即被恶意利用，出现对该漏洞的攻击方法或攻击行为，而同时并未有对应的防御工具被开发出来，那么该漏洞被称为“零日漏洞”，该攻击被称为“零日攻击”。

    基于以上三方面对攻击多样化和融合的特点，可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态，无法很好地实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品，这些产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是，企业的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。

    复杂的网络安全解决方案成为人们关注的一个新焦点问题，如何使复杂变成简单，成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的，它的定义是将多种安全能力（尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力）融合在一个产品之中，实现防御一体化，这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此，全面的立体防御是UTM存在的理由，更是UTM发展的方向，那么UTM所保护的网络将面临哪些威胁，或者说UTM应该提供哪些安全保护呢？

    数据链路层

    拒绝服务：网络设备或者终端均需具有相邻设备的硬件地址信息表格。一个典型的网络入侵者会向该交换机提供大量的无效 MAC 源地址，直到硬件地址表格被添满。当这种情况发生的时候，设备将不能够获得正确的硬件地址，而无法进行正常的网络通讯。

    地址欺骗：在进行 MAC 欺骗攻击的过程中，已知某主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法，网络攻击者改写了目标设备硬件地址表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式，黑客们可以伪造 MAC 或 IP 地址，以便实施如下的两种攻击：服务拒绝和中间人攻击。

    网络层

    拒绝服务：网络层的拒绝服务攻击以网络资源消耗为目的，它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗，使合法用户得不到应有的资源。典型的如Ping flood 和Smurf攻击，一旦攻击成功实施，网络出口带宽甚至是整个局域网中将充斥这些非法报文，网络中的设备将无法进行正常通讯。

    地址欺骗：同链路层的地址欺骗目的是一样的，IP地址欺骗同样是为了获得目标设备的信任，它利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部主机，使网络设备或者安全设备误以为是可信报文而允许其通过。非授权访问：是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问，对于一个脆弱的信息系统，这种威胁是最常见的。

    传输层：

    拒绝服务：传输层的拒绝服务攻击以服务器资源耗尽为目的，它通过制造海量的TCP/UDP连接，耗尽服务器的系统连接资源或者内存资源。这种情况下，合法用户发出连接请求却因服务器资源耗尽而得不到应答。典型的如TCP Flood和UDP Flood攻击，目前在互联网上这类攻击工具随处可见，因其技术门槛低而被大量使用，是互联网的几大公害之一。某些情况下，攻击者甚至将攻击提升到应用层，既不只是发出连接，而且发出应用数据，这样的攻击因不易与合法请求区分而更加难以控制。

    端口扫描：端口扫描攻击是一种探测技术，攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务，而所提供的已定义端口达6000个以上。通常，端口扫描不会造成直接的损失。然而，端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现，攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。

    应用层：

    信息窃听与篡改：互联网协议是极其脆弱的，标准的IP协议并未提供信息隐秘性保证服务，因此众多应用协议也以明文进行传输，如Telnet、FTP、HTTP等最常用的协议，甚至连用户口令都是明文传输。这为攻击者打开了攻击之门，他们可以在网络的必经之路搭线窃听所关心的数据，盗取企业的关键业务信息；严重的甚至直接对网络数据进行修改并重放，达到更大的破坏目的。

    UTM产品应该提供对以上分析列举的攻击行为进行安全防护的能力。但并不是将这些安全防护能力简单的叠加在一起就可以称之为UTM；如果仅仅是功能的简单叠加，产品的管理复杂度并不能有效降低，同时会带来性能的急剧衰减，这样的产品是不可用的。因此UTM应该是产品设计上保证这些安全能力是有机融合甚至是完全一体的，这样才能真正实现简化安全解决方案，让用户的安全变得简单的目的。

    束语

　　UTM安全网关是中小企业客户花“小”钱解决大网络安全问题的典型方案，不仅可以解决安全的问题，还可以同时解决网关问题。UTM解决了防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤，接入等一大堆问题，在单一盒子里实现了前所未有网络接入安全的全面解决方案，因此开创了中小企业网络安全防护的新纪元。