【IT168 专稿】统一威胁管理设备(UTM)的本质就是设备一体化,这已经成为业界的共识。在同一硬件平台上融合多种安全功能,做到设备一体化是解决部署复杂的良药。在设备一体化的前提下,继而需要解决的是针对复杂威胁的防御能力,这体现在功能和性能两个方面。也就是说既要完全发挥每个功能模块的作用,相互实现配合,又要保障性能。这就要求在软件体系设计上进行创新,实现一体化设计,解决复杂的威胁和复杂的策略实施。
UTM检测技术
目前常用的深层检测方法有两种,一是通过定义报文特征来实现对已知攻击及网络滥用的检测,其优势是技术上实现简单、迅速。但仅能识别已知攻击和应用;另一种是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限。
目前来看,将动态检测与静态检测有机结合,消除各自刚性,可以形成一种“柔性检测”的机制。在这种机制下,可以有效发挥两种检测技术各自的优势,从而进一步提高检测的覆盖面。换句话说,无论是黑客攻击、P2P软件还是病毒变种,在柔性检测机制下都可以做到最大程度的覆盖。
其实,各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下,通过VFPR(快速协议识别)、基于原理的SQL注入检测、基于行为的关联分析算法等,都可以进一步增强一体化安全网关的精确检测能力。
另外,一些安全厂商专门建立了面向网络攻防研究的积极防御实验室(AD-LAB),这可以在第一时间内获得各种安全事件信息,并对各类安全事件进行深入研究,从而确保用户在最短时间内获得对最新攻击的精确防御能力。
需要指出的是,在UTM领域预置行业安全配置模板,简化配置管理流程已经成为趋势。目前业界已经形成了“让安全变得简单”的安全设计理念,通过预置基于行业的应用层安全策略配置模板,可以大大降低终端用户的配置复杂度。这些模板,是众多安全厂商通过对大量行业用户网络威胁的调查、总结得到的适合该行业用户的安全策略配置模板。对于绝大多数用户,只需直接引用配置模板,即可获得适合本行业的有效的入侵防御及防病毒功能。而对于常见IM及P2P软件,业内的共识则是通过提供额外的快速配置界面,帮助用户直接针对常见的网络滥用行为进行策略配置。