UTM Plus:不仅仅是安全
与全新的多核Plus G2系统平台相对应,SG-6000系列产品的上层业务模块也有了较大规模的扩展,在原先防火墙、抗攻击、VPN、防病毒、流量管理的基础上增加了IPS与上网行为管理两大组件,形成一套完整的安全管理解决方案。在这套方案中,基于角色与行为的控管模式被发扬光大,很大程度上解决了传统IP+端口方式难于理解、配置的瓶颈。用户在使用网络资源时,可以通过静态关联、Web认证、VPN接入认证等方式与角色进行绑定,动态获得基于用户或用户组的访问控制及审计策略。管理员在进行日志审计时,也可以更直观地看到用户及其行为,大大简化了复杂的定位流程。这种控管模式,在一定程度上可以取代端点准入与事件管理两种功能。
山石网科将整套解决方案中作用于应用层的组件集称为UTM Plus,也许就是想突出带宽管理、上网行为管理等对传统UTM功能补充的重要性。正所谓安全离不开管理,行为管理可能不属于安全范畴,但一定是达到安全目标的途径之一。UTM Plus中的上网行为管理功能完全基于应用层协议实现,目前支持包括网络游戏、即时通信、在线炒股、P2P、流媒体等在内的200多种应用。用户可以很方便地对应用流量进行整形,或是针对下载文件类型、页面关键字与URL制定访问策略,以达到提高生产效率及阻止用户访问不安全资源的目的。值得一提的是,UTM Plus中的上网行为管理模块还提供了一个包含39大类,超过2000万个域名信息的URL库。我们注意到,这个库中的数据显然进行过本地化工作,并按国内用户的习惯进行分类。山石网科为URL库与应用特征库提供了定期升级服务,这应该是保证管控准确性的唯一方法。
对外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的Webmail逃避检查也是徒劳的,UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责申明的方式加以完善。
