统一威胁管理(Unified Threat Management), 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。 目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
UTM重要特点:
1.建一个更高,更强,更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。真正的安全不能只停留在底层,我们需要构成治理的效果,能实现七层协议保护,而不仅仅局限与二到四层。
2.要有高检测技术来降低误报。作为一个串联接入的网关设备,一旦误报过高,对拥护来说是一个灾难性的后果,IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率,因此,针对不同的攻击,应采取不同的检测技术有效整合可以显著降低误报率。
3.要有高可靠,高性能的硬件平台支撑。对于UTM时代的防火墙,在保障网络安全的同时,也不能成为网络应用的瓶颈,防火墙/UTM必须以高性能,高可靠性的专用芯片及专用硬件平台为支撑,以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。
在应用安全网关产品的投标中,往往可以看到UTM,上网行为管理,防病毒网关,Web安全网关这几类的产品。一个企业的公开招标,可以看到有至 少10家不同类型的厂商参与投标。用户会产生很大的困惑,究竟什么样的产品才是最符合需求呢?在下面的内容里,将从网络安全的发展角度、用户的需求偏重 点、功能、性能等几个方面做具体的探讨。
下面,将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。
如果说路由器实现了企业内部网与Internet的互联互通,那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨,它根据 数据包的性质(数据包的性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤,主要发挥在网络 层的访问控制保障作用。
网络层防火墙在20世纪90年代推向市场,设计策略遵循安全防范的基本原则是“除非明确允许,否则就禁止”。为了实现企业内部网与 Internet的互联互通,以满足企业基本Internet应用的需求,通常网络层防火墙对外开放了80、443、25、110和21等http、 https、smtp、pop3和FTP这几种协议常用的标准端口。
然而,如今随着网络技术的发展,80、443、25、110和21端口不再仅仅是常用的http、https、smtp、pop3和FTP等应 用协议使用的专利,越来越多的应用可以自动扫描防火墙的开放端口进行通信,例如IM、P2P、流媒体、网络游戏、网络炒股等Internet应用,同时网 络威胁的散布与攻击技术也不再限于网络层,而上升到基于http、https、smtp、pop3和FTP等应用协议的数据包中。这样一来传统网络层防火 墙基于数据包性质的过滤规则,就没法检测数据包的内容,也就无法分析检测过滤出其中的网络应用威胁。
于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁,像木马、病毒、间谍软件等,出现了防病毒网关(这 是国内的叫法,国外叫Anti-malware网关)。同时出现的还有上网行为管理产品,对IM,P2P,流媒体,网络游戏,网络炒股、web2.0站点 等加以管控,他的强项在于对于网络应用的管理,而并非防御网络应用威胁。Web安全网关最早出现是在防病毒网关的基础上增加了对URL的分类过滤,主要实 现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容的过滤管控。
随着Internet应用技术的发展变化,为了实现全面的Internet应用安全与管理,web安全网关在防病毒的基础上又集成了应用控制、 带宽管理等上网行为管理类产品的大部分功能。除了上面应用层的网关厂商,传统的防火墙厂商也在拓展其功能。在传统的网络层访问控制的基础上增加了网络应用 的识别与管控,具有了应用控制、带宽管理甚至URL过滤等功能,叫法也变成了应用防火墙。功能最全面的应用网关是UTM,它包括网络层防火墙、垃圾邮件过 滤、IPS、防病毒,URL过滤、应用控制和带宽管理等一系列的功能。
但是,面对以上众多功能有相互融合和渗透的产品,用户该如何选购?
大企业的选择——偏重于安全
金融,运营商等大型企业的办公与业务系统对安全非常重视,因为木马,间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损 失,所以他们通常都有较完整的网络安全防护架构,防火墙中启用的访问控制策略也比较多,在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防 护。例如邮件与Web应用,邮件有专门的邮件安全网关,web需要web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件,但是 防护效果不一定满足这类用户的需求。
例如对于防病毒的功能,大企业用户首要关心的是性能,其次是查杀防护效果,即识别率,最后还关心增强的功能,是否支持多种协议,是否具有多种部 署方式等,当然功能上至少支持http,https,pop3,smtp,ftp这5种应用协议的扫描过滤。性能是否满足,一上线就能体现,同样对这类用 户性能满足的同时,过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个,设备中内置的特征库应该可以找到至少500万个样 本,这样才能保证识别1年内的所有威胁。
牺牲特征数量,可以大幅提升性能,但却不能做到有效的防护。通常UTM设备会放2万个左右的特征,最多找到100万左右的样本。这样的样本数量 相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者web安全网关。 Web安全网关与防病毒网关实现的安全部分 功能非常类似,但是web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制,这些都可以辅助加强企业的网络安全。例如 对IM进行控制,同样可以阻断病毒的一部分传播渠道。
0 条评论。