常用UTM采用的技术
实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:
1.完全性内容保护(CCP)
CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。
2.ASIC 加速技术
ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。
3.定制的操作系统OS
专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
4.紧密型模式识别语言 (CPRL)
这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。