一、威脅生態(tài)系統(tǒng)特點
網(wǎng)絡攻擊是全球性問題。
 
黑客們日益聚焦于混合型的威脅,結合各種有害代碼來探測和攻擊系統(tǒng)漏洞。這些混合攻擊分別繞過現(xiàn)有的安全節(jié)點,如獨立的VPN、防火墻和防毒產(chǎn)品,形成各種形態(tài)持續(xù)的攻擊流。黑客自動工具、混合攻擊以及蠕蟲木馬病毒增加了數(shù)據(jù)曝光的可能性。脆弱點、配置錯誤和缺乏管理等問題更使實現(xiàn)安全增加難度。 威脅的形態(tài)表現(xiàn)為病毒/蠕蟲/木馬、灰色件、間諜件、垃圾郵件、配置錯誤、應用程序脆弱點、自動的黑客工具和腳本、拒絕服務、緩沖溢出、Cookie 中毒等。威脅的另一特點是新漏洞攻擊產(chǎn)生速度快,即稱為“零小時”(zero-hour)或“零日”(zero-day)新的未知的攻擊。另外,社會工程陷阱型的攻擊,包括間諜軟件、網(wǎng)絡欺詐、基于郵件的攻擊和惡意Web站點、Web重定向等,偽裝為合法應用和郵件信息欺騙用戶的威脅日益增多。
 
二、統(tǒng)一威脅管理的定義
統(tǒng)一威脅管理(UTM)是保持威脅生態(tài)平衡的良方。美國著名的IDC對統(tǒng)一威脅管理(UTM)安全設備的定義的是由硬件、軟件和網(wǎng)絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能。 它將多種安全特性集成于一個硬設備里, 構成一個標準的統(tǒng)一管理平臺。UTM設備應該具備的基本功能包括網(wǎng)絡防火墻、網(wǎng)絡入侵檢測/防御和網(wǎng)關防病毒功能。這幾項功能并不一定要同時都得到使用,不過它們應該是UTM設備自身固有的功能。
 
UTM安全設備也可能包括其它特性,例如安全管理、日志、策略管理、服務質量(QoS)、負載均衡、高可用性(HA)和報告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務的。圖1表示UTM系統(tǒng)平臺上的綜合多項功能。
 

   
圖1  UTM系統(tǒng)平臺的綜合功能
 
三、市場需要UTM的理由
雖然市場上已經(jīng)有了那么多基于軟件的安全產(chǎn)品,為什么人們還是傾向于購買統(tǒng)一威脅管理安全設備呢?以下概述了激勵威脅管理安全設備增長的因素:
 

    –降低了復雜性:一體化的設計簡化了產(chǎn)品選擇、集成和支持服務的工作量。簡單的放置、方便的安裝是威脅管理安全設備最關鍵的優(yōu)點。
     
    –避免了軟件安裝工作和服務器的增加:安全服務商、產(chǎn)品經(jīng)銷商甚至最終用戶通常都能很容易的安裝和維護這些設備,而且這一過程還可以遠程操作進行。
     
    –減少了維護量:這些設備通常都是即插即用的,只需要很少的安裝配置。
     
    –可以和高端軟件解決方案協(xié)同工作:當硬件設備安裝在企業(yè)沒有專業(yè)安全管理人員的遠程地點,由于設備可以很容易的安裝并通過遠程遙控來管理它,這種管理方式可以很好的和已安裝的大型集中式的軟件防火墻協(xié)同工作。
     
    –更少的操作過程:用戶通常都傾向于嘗試各種操作,而安全設備的“黑盒子”設計限制了用戶危險操作的可能,降低了誤操作隱患,提高了安全性。
     
    –更容易的排錯:當一臺設備出現(xiàn)故障之后,即使是一個非專業(yè)人員也可以很容易的用另外一臺設備替換它,使網(wǎng)絡盡快恢復正常。這項特性對于那些沒有專職技術人員的遠程辦公室顯得尤為重要。

 
四、UTM發(fā)展趨勢
根據(jù)IDC的預測, UTM市場在短期內將會有大幅度的增長。全球 UTM 設備市場將在2003-2008年期間以年均17%的速度增長,于2008年將達到近20億美元,屆時會將超過防火墻/VPN市場份額。表1表示 IDC的UTM增長預測以及與防火墻/VPN市場的比較。
             
                                  
IDC全球安全設備市場預測,2003-2008年(百萬美元)

來源:IDC, 2004
表1  IDC的UTM增長預測
 
UTM市場發(fā)展迅速
 
 2003年,市場上還只有7家廠商在銷售UTM產(chǎn)品。而到了2004年底,UTM廠商的數(shù)量增長到了至少16家。這些廠商包括知名的網(wǎng)絡安全產(chǎn)品廠商、防病毒市場的前導者及一些歐洲和亞洲的小型設備廠商。UTM市場上獲得成功的關鍵是提供更高的性能和更強的功能,使之成為與眾不同的產(chǎn)品。在 UTM 市場領先的Fortinet公司利用自主產(chǎn)權的ASIC芯片技術,創(chuàng)新推出FortiGate UTM系列,大幅度提升開啟防病毒功能下的安全性能,實現(xiàn)7種重要的UTM特性, 包括防病毒、VPN、防火墻、IDP、內容過濾、反垃圾郵件和流量整形。
 
展望未來,UTM不僅逐漸形成具有競爭力的安全市場, 而且預計會成為安全市場的領導者。其原因有以下幾方面:
 
(1) UTM設備將防病毒和入侵檢測功能融合于防火墻之中, 成為防御混合型攻擊的利劍?;旌闲偷墓艨赡芄テ茊吸c型的安全方案,但卻很可能在統(tǒng)一安全方案面前敗下陣來。
 
(2) UTM設備提供綜合的功能和安全的性能,降低了復雜度, 也降低了成本, 適合企業(yè)、服務提供商和中小辦公用戶的網(wǎng)絡環(huán)境。
 
(3) UTM設備能為用戶定制安全策略,提供靈活性。用戶既可以使用UTM的全部功能,也可酌情使用最需要的某一特定功能。
 
(4) UTM設備能提供全面的管理、報告和日志平臺,用戶可以統(tǒng)一地管理全部安全特性,包括特征庫更新和日志報告等。
 
(5)隨著性能的提高,大型企業(yè)和服務提供商也可以使用UTM作為優(yōu)化的整體解決方案的一部分,可擴展性好, 蘊藏的增長潛力可觀。五、UTM的典型技術
實現(xiàn)UTM需要無縫集成多項安全技術,達到在不降低網(wǎng)絡應用性能的情況下,提供集成的網(wǎng)絡層和內容層的安全保護。以下為一些典型的技術:
 
(1) 完全性內容保護(CCP)
完全性內容保護(Complete Content Protection, 簡稱CCP)提供對OSI網(wǎng)絡模型所有層次上的網(wǎng)絡威脅的實時保護。這種方法比防火墻狀態(tài)檢測(檢查數(shù)據(jù)包頭)和深度包檢測(在狀態(tài)檢測包過濾基礎上提供額外檢查)等技術先進。它具備在千兆網(wǎng)絡環(huán)境中,實時將網(wǎng)絡層數(shù)據(jù)負載重組為應用層對象(如文件和文檔)的能力,而且重組之后的應用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析。CCP還可探測其它各種威脅,包括不良Web內容、垃圾郵件、間諜軟件和網(wǎng)絡釣魚欺騙。
 
(2) ASIC 加速技術
ASIC芯片是UTM產(chǎn)品的一個關鍵組成部分。為了提供千兆級實時的應用層安全服務(如防病毒和內容過濾)的平臺, 專門為網(wǎng)絡骨干和邊界上高性能內容處理設計的體系結構是必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內容分析處理能力, 提供防火墻、加密/解密,特征匹配和啟發(fā)式數(shù)據(jù)包掃描,以及流量整形的加速功能。由于CCP需要強勁的處理能力和更大容量的內存來支持,僅利用通用服務器和網(wǎng)絡系統(tǒng)要實現(xiàn)內容處理往往在性能上達不到要求。
 
(3) 定制的操作系統(tǒng)(OS)
專用的強化安全的OS提供精簡的、高性能防火墻和內容安全檢測平臺?;趦热萏幚砑铀倌K的硬件加速,加上智能排隊和管道管理,OS使各種類型流量的處理時間達到最小,從而給用戶提供最好的實時系統(tǒng),有效地實現(xiàn)防病毒、防火墻、VPN、反垃圾郵件、IDP等功能。
 
(4) 緊密型模式識別語言 (CPRL)
緊密型模式識別語言(Compact Patten Recognition Language, 簡稱CPRL)是針對完全的內容防護中大量計算程式所需求的加速而設計的。 狀態(tài)檢測防火墻、防病毒檢測和入侵檢測的功能要求,引發(fā)了新的安全算法包括基于行為的啟發(fā)式算法。 通過硬件與軟件的結合,加上智能型檢測方法,識別的效率得以提高。
 
(5) 動態(tài)威脅管理檢測技術 (CPRL)
動態(tài)威脅防御系統(tǒng)(Dynamic Threat Prevention System, 簡稱DTPS)是由針對已知和未知威脅而增強檢測能力的技術。DTPS將防病毒、IDS、IPS和防火墻等各種安全模塊無縫集成在一起,將其中的攻擊信息相互關聯(lián)和共享,以識別可疑的惡意流量特征。DTPS通過將各種檢測過程關聯(lián)在一起,跟蹤每一安全環(huán)節(jié)的檢測活動,并通過啟發(fā)式掃描和異常檢測引擎檢查,提高整個系統(tǒng)的檢測精確度。
 

圖2  動態(tài)威脅防御系統(tǒng)的體系結構
 
六、小結
統(tǒng)一威脅管理(UTM)是一種理念的改變,是新技術的挖掘和集成, 是接受市場需求挑戰(zhàn)的主動迎戰(zhàn)。這無疑是對付零日攻擊、提升檢測威脅能力的好辦法

分享到

wangliang

相關推薦