【IT168 专稿】网络传播的病毒，带有黑客程序的木马和间谍软件等都是混合型的安全威胁，传统的防火墙设备已经不能满足防范的需求。于是我们看到，越来越多的防火墙产品开始加入更多的安全功能，于是形成了一个需求强烈的整合安全设备市场。因此UTM 出现了，UTM 是由硬件、软件和网络技术组成的具有专门用途的设备，它提供多项安全功能，将多种安全特性集成在一个硬件设备里，构成一个标准的统一管理平台。这和单纯的在防火墙中整合其他安全功能不同，因为UTM 更看中的是“对设备和对威胁的管理”。实现UTM需要无缝集成多项安全技术，达到在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。

    网络风险危害

    安全专家认为防火墙保护中只要存在一条脆弱链路就会影响到整个安全实施方案。因此，企业需要一种更为统一的威胁管理方法来保护自己的网络和商业用户免受混合型攻击的威胁。快速变化的安全性威胁形势促使统一威胁管理(UTM)成为安全设备市场中增长最快的领域。根据IDC的定义，UTM是指在单个硬件平台上整合了包括防火墙、防病毒以及入侵检测和防御在内的多种安全性功能的安全设备。业界分析师指出，近年来混合性(Blended)威胁快速增长，推动了对UTM所提供的灵活且高度集成的功能的需求。SonicWALL的统一威胁管理解决方案(UTM)提供了智能化程度最高的实时网络保护，可以帮助当今地理上高度分散的企业防止高级的应用层攻击以及基于内容的攻击。

    多年来，对于任何安全实施方案来说，最基本也最重要的组件就是防火墙。自从1980年代早期防火墙被发明以来，防火墙有效地限制了可能为网络带来计算机病毒等威胁的非期望的外部网络互动。随着网络技术的发展，防火墙技术的防护能力也在不断提高。

    现代网络的出现带来了基于以太网技术的局域网(LAN)，而防火墙也暴露在新的安全性威胁-因特网蠕虫的面前。为对付这一新威胁，防火墙采用基于数据包的过滤技术，在网络的低层来分析网络流量。预先定义一组规则，确定哪些数据流允许通过，将每个数据包与预先定义的规则相对比。当第一个因特网浏览器出现时，企业可以实现全球范围内的连接。因此需要新一代防火墙技术来提供全面的防护，根据一个经过验证的网络会话表来验证每一个网络数据包。不久，防火墙扩展到数据包检测技术，同时允许验证数据包数据部分中出现的其它安全性项目，如用户口令和服务请求。

    虚拟专用网络(VPN)和无线网络等技术允许用户进一步扩展企业网络，同时还使得用户不需要物理电缆连接即可访问因特网，因此这也为网络安全带来更大的挑战。尽管这些技术扩展了网络的应用，但同时也使得防火墙在攻击面前更为脆弱，病毒可以从多个地方突破防火墙的防护并带来严重的后果。尽管点状布署的安全解决方案技术也在不断发展，但由于防护不全面或者漏洞被利用而带来的累计危害和生产力损失已经高达数千亿甚至上万亿美元。

    企业网面临的挑战

    当前，企业和组织面对越来越复杂的病毒和恶意攻击，他们也采用了多种方法来应对，以期获得所希望的安全保护。新出现的混合威胁将数种独立的病毒结合起来，通过极度难以防犯的攻击渠道进行传播和实施攻击。最近最有名的混合威胁之一myDoom利用电子邮件做为其传播渠道，利用全球数以百万计的被感染计算机来实施针对特定企业的拒绝服务(DOS)攻击。据估计，仅仅在myDoom发作的最被五天时间里就带来600亿美元的损失。

    除来来自混合型攻击的安全威胁以外，网络管理人员还面临网络带宽不够导致速度下降，缺乏业务流优先级而导致网络效率下降。许多情况下，网络速度下降都是由于网络中有太多的用户在从事非生产性的活动，如使用Napster、P2P应用、多媒体应用以及利用Yahoo Messenger等进行VOIP通信。运行此类应用即带来生产力损失，同时还为针对内部网络的网络攻击打开了方便之门。

    为跟上网络发展步伐并解决网络威胁和生产力问题，企业购买并部署最好的点状解决方案，希望能够覆盖并对付所有潜在的威胁。IT经理利用点状解决方案来解决的问题之一就是保护网络免受内部攻击的威胁。根据FBI的研究，多数攻击是通过内部传播和发起的而不是通过外部发起的。企业部署内部入侵检测系统，在多个部门网段布署监控器，并采用电子邮件防病毒系统，以期防止病毒的传播。IT管理员还必须关心来自远程或分布式环境的威胁，例如当员工在旅馆、星巴克咖啡馆或国外旅行时，如果他们启动VPN客户端，那么网络威胁就有可能通过这些点进入企业网络。为消除这一威胁，企业为远程客户部署独立的VPN解决方案，将这些流量与企业网络相对隔离开。

    为了应对无线网络安全性问题，企业采用独立无线网络的方法将内部网络与无线网相对隔离开来，同时通过实施内容过滤解决方案来降低对生产力的影响，同时避免间谍软件的骚扰。为了减少网络垃圾(如垃圾邮件)的骚扰，企业采用防垃圾解决方案，同时采用防火墙解决方案通过关闭端口的方式来减少病毒的入侵。最后，IT经理还要不断为服务器、工作站、路由器、交换机以及防火墙本身打补丁。尽管补丁可以解决现有软件的问题，补丁会为计算机带来负面的影响或者会引入旧的程序，因此有时带来的问题会比解决的问题还要多。

    尽管点状解决方案在过去是有效的，但越来越多的证据表明，这些解决方案无法针对目前的威胁提供充分、及时和统一的保护。这些广泛传播的病毒不仅会消耗现代企业大量(并且不确定)的资金，同时还会导致生产力下降，需要IT管理人员花费大量时间进行管理。点状安全性解决方案确实无法针对这些复杂的威胁提供充分的保护，也无法解决生产力降低问题。

     常用UTM采用的技术

    实现UTM需要无缝集成多项安全技术，达到在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。以下为一些典型的技术：

    1．完全性内容保护（CCP）

    CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。

    它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象（如文件和文档）的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

    2．ASIC 加速技术

    ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务（如防病毒和内容过滤）的平台， 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力， 提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持，仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。

    3．定制的操作系统OS

    专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。

    4．紧密型模式识别语言 (CPRL)

    这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新的安全算法包括基于行为的启发式算法，利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。

    SonicWALL UTM解决方案

    SonicWALL完全UTM解决方案针对复杂的应用层和基于内容的攻击提供了智能化程度最高的实时网络保护。结合网关防病毒、防间谍软件和入侵防御服务(IPS)，这一解决方案处理多种威胁进入点并对所有网络层进行彻底扫描，从而可以同时防御并清除内部和外部威胁。利用高性能深度数据包检测引擎扫描多种应用类型和协议并利用全面的签名数据库对文件进行匹配，SonicWALL直接在安全网关上实现了威胁保护。

    许多点状解决方案企业采用了一种称为状态数据包检测(stateful packet inspection)的防火墙架构。这种架构主要在网络层判断数据包是否是真正用户所请求的以及是否应当被允许进入网络。这种方法可以灵活地有选择地控制源于外部网络的访问，但相对来说，对于内部传输则没有限制。考虑到许多病毒实际上经常通过组织内的电子邮件服务传播，因此很明显许多威胁将会绕过状态数据包检测这一级的保护。

    SonicWALL采用了称为深度数据包检测(DPI)的全面方法。这种方法将下载、电子邮件传输以及压缩的文档与全面且连续更新的签名数据库进行比较和匹配。SonicALERT小组和第三方共同开发数据库签名，可以实时扫描检测并阻止伪装可执行代码和宏病毒文件。

    利用DPI技术，SonicWALL可以在应用层对信息进行检查，从而防止针对应用漏洞的攻击。这一DPI引擎可以扫描多种应用类型和协议，包括SMTP、POP3、IMAP、 FTP、 HTTP、NetBIOS、数十种其它流式协议以及50多种IDP应用。SonicWALL引擎可以扫描所有网络层，包括链路层、IP层、TCP/UDP、静态端口(Static Port)、动态端口(Dynamic Port)以及应用层。因此企业远程站点网关、内部网络、文件下载、服务器以及桌面都受到全面的保护。做为更多一层安全性，SonicWALL还从应用层来防止内部和外部威胁。

    SonicWALL UTM提供的基本报告功能允许IT管理人员进行连续监控并改进其网络安全方案的有效性。实时和历史报告使管理人员可以迅速觉察网络安全状态，帮助他们确定可疑的活动、评估风险、了解员工行为，并预测未来的带宽需求。SonicWALL ViewPoint可以提供更为全面的报告，对网络事件和活动提供了全方位360º的详细报告。

    使企业网络适应未来需求

    全球范围内，每天都有新的病毒和间谍软件感染企业计算环境。有些还可以在数小时内迅速传输，并感染不同规模的网络和所有计算机。随着这些攻击变化更快并且更为充满恶意，企业被迫寻求能够保护自己的统一威胁管理解决方案，并且要求统一威胁解决方案不仅能够抵御目前的威胁，并且还可以防范新兴的以及未来的威胁。

    与其它UTM解决方案不同，SonicWALL UTM的设计宗旨就是要能够对付新的威胁。做为连续工作的安全告警设备，SonicWALL UTM不断更新，能够保护网络免受最新威胁的影响，无论这些威胁是来自菲律宾、中国，还是防火墙以内。其更新完全不需要用户的干预。

    通过在网关处就阻止间谍软件的安装以及切断现有后台或木马程序传输机密数据的后台通信，SonicWALL UTM可以防止恶意的新型攻击(如间谍软件)感染网络。作为一款适应能力强大的安全设备，它即可以满足当前的需要，也可以满足未来的需要。

    总结

    从上世纪80年代初防火墙发明以来，计算机网络安全性解决方案的发展已经有很长时间了。但是，面对企业信息资产所面临的大量攻击和威胁，安全性变得前所未有地重要。现有点状解决方案在保护企业网络方面一度相当有效，但现在做为独立的保护层却已经不能满足需要。今天，企业需要高效的分布式保护解决方案，以应对信息网络所面临的大量复杂威胁，也就是说，他们需要一种新的安全机制UTM来实现。