其實(shí)，UTM的出現(xiàn)始于一些中小企業(yè)用戶缺乏安全技術(shù)人員，希望以在網(wǎng)關(guān)處的一個(gè)硬件設(shè)備一攬子解決所有的安全問題。隨著網(wǎng)絡(luò)威脅的急劇增大，使得 UTM技術(shù)也有了更進(jìn)一步的發(fā)展，除了傳統(tǒng)的企業(yè)內(nèi)部部門、網(wǎng)絡(luò)節(jié)點(diǎn)、遠(yuǎn)程辦公處，一些高端UTM設(shè)備也逐漸向大型企業(yè)的中高端應(yīng)用進(jìn)發(fā)。

    網(wǎng)絡(luò)威脅特點(diǎn)

    隨著網(wǎng)絡(luò)中的應(yīng)用越來越復(fù)雜，安全問題以出人意料的速度增長，并且在攻擊方式、攻擊目標(biāo)上亦呈多樣化發(fā)展趨勢。對(duì)近兩年來黑客和病毒對(duì)網(wǎng)絡(luò)所造成的威脅進(jìn)行總結(jié)，可以看出三個(gè)顯著特點(diǎn)：

    第一：攻擊手段多樣化，以網(wǎng)絡(luò)病毒為例，從震蕩波、沖擊波，還有QQ病毒，可以看出現(xiàn)在的網(wǎng)絡(luò)攻擊手段中，既包括病毒攻擊，也包括隱含通道、拒絕服務(wù)攻擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。

    第二：每一次攻擊經(jīng)常是多種手段并用，混合攻擊正在成為攻擊的主流�；旌瞎�擊是指在同一次攻擊中，既包括病毒攻擊、黑客攻擊，也包括隱通道、拒絕服務(wù)攻 擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊方式，如伊拉克戰(zhàn)爭期間流行的“愛情后門變種”病毒，集蠕蟲、后門、黑客三者功能于一身，給互聯(lián)網(wǎng) 造成了巨大的破壞。

    第三：攻擊手段更新速度前所未有的快，業(yè)界知名的SANS協(xié)會(huì)在其2006二十大安全隱患列表中將“零日攻擊”的爆增列為目前最嚴(yán)重的安全威脅。所謂“零 時(shí)攻擊”是指如果一個(gè)漏洞被發(fā)現(xiàn)后，當(dāng)天或更準(zhǔn)確的定義是在24小時(shí)內(nèi)，立即被惡意利用，出現(xiàn)對(duì)該漏洞的攻擊方法或攻擊行為，而同時(shí)并未有對(duì)應(yīng)的防御工具 被開發(fā)出來，那么該漏洞被稱為“零日漏洞”，該攻擊被稱為“零日攻擊”。

    基于以上三方面對(duì)攻擊多樣化和融合特點(diǎn)的總結(jié)，可以理解為什么原先各自為戰(zhàn)的安全產(chǎn)品總是處于疲于應(yīng)付的狀態(tài)，無法很好的實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)安全的保護(hù)。企業(yè) 中可能會(huì)有防病毒、防火墻、入侵檢測等一系列安全產(chǎn)品，這些產(chǎn)品產(chǎn)生大量不同形式的安全信息，使得整個(gè)系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理的難點(diǎn)。由此 帶來的是，企業(yè)的安全管理體制也變得非常復(fù)雜，其系統(tǒng)配置、規(guī)則設(shè)置、反應(yīng)處理、設(shè)備管理、運(yùn)行管理的復(fù)雜性所帶來的管理成本和管理難度直接制約了安全防 御體系的有效性，因而導(dǎo)致了網(wǎng)絡(luò)安全的重大隱患。

    可以說復(fù)雜的網(wǎng)絡(luò)安全解決方案成為人們關(guān)注的一個(gè)新焦點(diǎn)問題，如何使復(fù)雜變成簡單，成為網(wǎng)絡(luò)管理人員的一個(gè)困惑。UTM就是在這種背景下應(yīng)運(yùn)而生的，它的 定義是將多種安全能力(尤其是傳統(tǒng)上講的防火墻能力、防病毒能力、攻擊保護(hù)能力)融合在一個(gè)產(chǎn)品之中，實(shí)現(xiàn)防御一體化，這樣就為簡化安全解決方案、規(guī)避設(shè) 備兼容性問題、簡化安全管理提供了先決條件。因此，全面的立體防御是UTM存在的理由，更是UTM發(fā)展的方向，那么UTM所保護(hù)的網(wǎng)絡(luò)將面臨哪些威脅，或 者說UTM應(yīng)該提供哪些安全能力呢?

內(nèi)容導(dǎo)航

    網(wǎng)絡(luò)邊界所面臨的威脅

    我們需要分析一下網(wǎng)絡(luò)邊界所面臨的威脅，根據(jù)互聯(lián)網(wǎng)協(xié)議的五層結(jié)構(gòu)，我們可以歸納各類威。

    數(shù)據(jù)鏈路層

    拒絕服務(wù)：網(wǎng)絡(luò)設(shè)備或者終端均需具有相鄰設(shè)備的硬件地址信息表格。一個(gè)典型的網(wǎng)絡(luò)侵入者會(huì)向該交換機(jī)提供大量的無效 MAC 源地址，直到硬件地址表格被添滿。當(dāng)這種情況發(fā)生的時(shí)候，設(shè)備將不能夠獲得正確的硬件地址，而無法進(jìn)行正常的網(wǎng)絡(luò)通訊。

    地址欺騙：在進(jìn)行 MAC 欺騙攻擊的過程中，已知某主機(jī)的 MAC 地址會(huì)被用來使目標(biāo)交換機(jī)向攻擊者轉(zhuǎn)發(fā)以該主機(jī)為目的地址的數(shù)據(jù)幀。通過發(fā)送帶有該主機(jī)以太網(wǎng)源地址的單個(gè)數(shù)據(jù)幀的辦法，網(wǎng)絡(luò)攻擊者改寫了目標(biāo)設(shè)備硬件地 址表格中的條目，使得交換機(jī)將以該主機(jī)為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)攻擊者。通過這種方式，黑客們可以偽造 MAC 或 IP 地址，以便實(shí)施如下的兩種攻擊：服務(wù)拒絕和中間人攻擊。

    網(wǎng)絡(luò)層

    拒絕服務(wù)：網(wǎng)絡(luò)層的拒絕服務(wù)攻擊以網(wǎng)絡(luò)資源消耗為目的，它通過制造海量網(wǎng)絡(luò)數(shù)據(jù)報(bào)文或者利用網(wǎng)絡(luò)漏洞使系統(tǒng)自身循環(huán)產(chǎn)生大量報(bào)文將用戶網(wǎng)絡(luò)帶寬完全消耗， 使合法用戶得不到應(yīng)有的資源。典型的如Ping flood 和Smurf攻擊，一旦攻擊成功實(shí)施，網(wǎng)絡(luò)出口帶寬甚至是整個(gè)局域網(wǎng)中將充斥這些非法報(bào)文，網(wǎng)絡(luò)中的設(shè)備將無法進(jìn)行正常通訊。

    地址欺騙：同鏈路層的地址欺騙目的是一樣的，IP地址欺騙同樣是為了獲得目標(biāo)設(shè)備的信任，它利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組，喬裝成來自內(nèi)部主機(jī)，使網(wǎng)絡(luò)設(shè)備或者安全設(shè)備誤以為是可信報(bào)文而允許其通過。

    非授權(quán)訪問：是指沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，對(duì)于一個(gè)脆弱的信息系統(tǒng)，這種威脅是最常見的。

    傳輸層：

    拒絕服務(wù)：傳輸層的拒絕服務(wù)攻擊以服務(wù)器資源耗盡為目的，它通過制造海量的TCP/UDP連接，耗盡服務(wù)器的系統(tǒng)連接資源或者內(nèi)存資源。這種情況下，合法 用戶發(fā)出連接請求卻因服務(wù)器資源耗盡而得不到應(yīng)答。典型的如TCP Flood和UDP Flood攻擊，目前在互聯(lián)網(wǎng)上這類攻擊工具隨處可見，因其技術(shù)門檻低而被大量使用，是互聯(lián)網(wǎng)的幾大公害之一。某些情況下，攻擊者甚至將攻擊提升到應(yīng)用 層，既不只是發(fā)出連接，而且發(fā)出應(yīng)用數(shù)據(jù)，這樣的攻擊因不易與合法請求區(qū)分而更加難以控制。

    端口掃描：端口掃描攻擊是一種探測技術(shù)，攻擊者可將它用于尋找他們能夠成功攻擊的服務(wù)。連接在網(wǎng)絡(luò)中的所有計(jì)算機(jī)都會(huì)運(yùn)行許多使用 TCP 或 UDP 端口的服務(wù)，而所提供的已定義端口達(dá)6000個(gè)以上。通常，端口掃描不會(huì)造成直接的損失。然而，端口掃描可讓攻擊者找到可用于發(fā)動(dòng)各種攻擊的端口。為了使 攻擊行為不被發(fā)現(xiàn)，攻擊者通常使用緩慢掃描、跳躍掃描等技術(shù)來躲避檢測。

    應(yīng)用層：

    信息竊聽與篡改：互聯(lián)網(wǎng)協(xié)議是極其脆弱的，標(biāo)準(zhǔn)的IP協(xié)議并未提供信息隱秘性保證服務(wù)，因此眾多應(yīng)用協(xié)議也以明文進(jìn)行傳輸，如Telnet、FTP、 HTTP等最常用的協(xié)議，甚至連用戶口令都是明文傳輸。這為攻擊者打開了攻擊之門，他們可以在網(wǎng)絡(luò)的必經(jīng)之路搭線竊聽所關(guān)心的數(shù)據(jù)，盜取企業(yè)的關(guān)鍵業(yè)務(wù)信 息;嚴(yán)重的甚至直接對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行修改并重放，達(dá)到更大的破壞目的。

    非法信息傳播：由于無法阻止非法分子進(jìn)入網(wǎng)絡(luò)世界，互聯(lián)網(wǎng)上充斥著反動(dòng)、xxx、暴力、封建迷信等信息。非法分子通過電子郵件、WEB甚至是IM協(xié)議不斷的 發(fā)送各種非法信息到世界各地的網(wǎng)絡(luò)終端上去。這些行為極大的破壞了社會(huì)的安定與和諧，對(duì)整個(gè)社會(huì)來講，危害極大。

    資源濫用：IDC的統(tǒng)計(jì)曾顯示，有30%~40%的Internet訪問是與工作無關(guān)的，而且這些訪問消耗了相當(dāng)大的帶寬，一個(gè)不受控的網(wǎng)絡(luò)中90%帶寬被P2P下載所占用。這對(duì)于網(wǎng)絡(luò)建設(shè)者來講完全是災(zāi)難，它意味著投資利用率低于10%。

    漏洞利用：網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)以及應(yīng)用軟件自身存在大量的漏洞，通過這些漏洞，黑客能夠獲取系統(tǒng)最高權(quán)限，讀取或者更改數(shù)據(jù)，典型的如SQL注入、緩沖區(qū) 溢出、暴力猜解口令等。在眾多威脅中，利用系統(tǒng)漏洞進(jìn)行攻擊所造成的危害是最全面的，一旦攻擊行為成功，黑客就可以為所欲為。

    病毒：病毒是最傳統(tǒng)的信息系統(tǒng)破壞者，隨著互聯(lián)網(wǎng)的普及和廣泛應(yīng)用，計(jì)算機(jī)病毒的傳播形式有了根本的改變，網(wǎng)絡(luò)已經(jīng)成為病毒的主要傳播途徑，用戶感染計(jì)算 機(jī)病毒的幾率大大增加。同時(shí)病毒正在加速與黑客工具、木馬軟件的融合，可以說病毒的破壞力達(dá)到了前所未有的程度。

    木馬：特洛伊木馬是一種惡意程序，它們悄悄地在宿主機(jī)器上運(yùn)行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限。攻擊者經(jīng)常把特洛伊 木馬隱藏在一些游戲或小軟件之中，誘使粗心的用戶在自己的機(jī)器上運(yùn)行。最常見的情況是，上當(dāng)?shù)挠脩粢�么從不正�?guī)的網(wǎng)站下載和運(yùn)行了帶惡意代碼的軟件，要么 不小心點(diǎn)擊了帶惡意代碼的郵件附件。

內(nèi)容導(dǎo)航

    UTM基礎(chǔ)應(yīng)用不可忽視

    作為安全的多面手，UTM設(shè)備必須有一個(gè)整合功能的基礎(chǔ)平臺(tái)，目前在技術(shù)上，主要分為兩大分支。

    一類是以高性能防火墻為基礎(chǔ)的UTM設(shè)備。這是目前多數(shù)UTM廠家的做法。對(duì)這種設(shè)備來說，一般都集成了全功能的防火墻，并在此基礎(chǔ)上加入VPN、IDS、防病毒等功能。有業(yè)內(nèi)人士甚至表示，這種設(shè)備主要是為了取代防火墻。

    另一類是以高端IPS為基礎(chǔ)，不斷演化出UTM設(shè)備。這種做法比較新，包括防火墻、VPN、帶寬管理、網(wǎng)頁內(nèi)容過濾等安全模塊都會(huì)被安放到IPS的平臺(tái)之 上。這種做法對(duì)于IPS的性能、誤報(bào)率、可靠性的要求都相當(dāng)高，但是帶來的好處也是顯而易見，由于IPS的優(yōu)勢，可以對(duì)日益增多的系統(tǒng)滲透與復(fù)合攻擊進(jìn)行 阻斷與控制。

    不過要強(qiáng)調(diào)的是，對(duì)于以IPS為基礎(chǔ)的UTM產(chǎn)品，所集成的防火墻必須是全功能產(chǎn)品。特別是像NAT、動(dòng)態(tài)端口等功能都要支持。因?yàn)槿绻麅H僅集成了精簡版 的防火墻，對(duì)于有意延伸到高端應(yīng)用的UTM顯然不合適。另外，這類產(chǎn)品的吞吐量與誤報(bào)率也不能忽視，畢竟這將對(duì)用戶的網(wǎng)絡(luò)運(yùn)行帶來影響。

    總之，無論采用哪種方式，UTM在一定時(shí)期內(nèi)，都會(huì)重點(diǎn)強(qiáng)調(diào)某一方面的功能強(qiáng)大，而這也正是UTM的“特色”——不管是防火墻，還是IPS，甚至是防病毒，附加的功能都是一個(gè)強(qiáng)有力的補(bǔ)充，是業(yè)余選手或半職業(yè)選手。但即使這樣，對(duì)于普通用戶也是足夠了。

內(nèi)容導(dǎo)航

    UTM功能優(yōu)勢

    從國內(nèi)的情況看，UTM設(shè)備可以很好地防御目前流行的混合型數(shù)據(jù)攻擊的威脅。復(fù)合型攻擊方式的出現(xiàn)，在一定程度上迫使企業(yè)部署的反病毒產(chǎn)品和IDS/IPS設(shè)備的防御分割點(diǎn)逐漸消失，因此任何單一的檢測方式都難以完美地解決企業(yè)所面臨的所有威脅。

    相反，UTM技術(shù)可以進(jìn)行改良的信息包檢查，識(shí)別應(yīng)用層信息，命令入侵檢測和阻斷，蠕蟲病毒防護(hù)以及高級(jí)的數(shù)據(jù)包驗(yàn)證機(jī)制。這些特性和技術(shù)使得企業(yè)的網(wǎng)管 人員可以很容易地控制如實(shí)時(shí)信息傳輸，BT多線程動(dòng)態(tài)應(yīng)用下載，以及MSN、Skype等軟件的應(yīng)用，并且阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。

    同時(shí)，UTM設(shè)備可以支持動(dòng)態(tài)的行為特征庫更新，更具備7層的數(shù)據(jù)包檢測能力，基本克服了目前市場上深度包檢測的技術(shù)弱點(diǎn)，特別針對(duì)分包攻擊的內(nèi)容效果明顯。但UTM技術(shù)必須要有強(qiáng)大的硬件平臺(tái)支撐，否則，難以適應(yīng)當(dāng)前的網(wǎng)絡(luò)性能要求。

    記者了解到，目前國內(nèi)企業(yè)通過部署UTM產(chǎn)品，可以極大地降低企業(yè)網(wǎng)安全管理的復(fù)雜度。同時(shí)，憑借UTM集成的維護(hù)平臺(tái)、單一服務(wù)體系結(jié)構(gòu)、集中的安全日志管理，基本上整合了全套安全保護(hù)機(jī)制。

    另外，UTM還具有應(yīng)用層的靈活性以及擴(kuò)展性，這是有助于降低企業(yè)部署成本的。因此UTM設(shè)備可以減少與安全功能相關(guān)的采集，安裝，管理支出，確保企業(yè)網(wǎng)絡(luò)的連續(xù)性和可用性，為目前流行的安全威脅提供有效的防御。

內(nèi)容導(dǎo)航

    編者按

    傳統(tǒng)的UTM設(shè)備被定位在低端市場，這不僅影響了廠家投入的積極性，而且對(duì)于用戶的實(shí)際應(yīng)用也是不公平的。隨著高端IPS產(chǎn)品大量整合安全功能與服務(wù)，預(yù) 示著UTM設(shè)備將會(huì)從傳統(tǒng)的以防火墻為主導(dǎo)、部分過渡到以IPS為主導(dǎo)，而UTM整體市場的發(fā)展，也將會(huì)向高端延伸。

    另外，國內(nèi)用戶部署UTM設(shè)備的目標(biāo)都是為了減少節(jié)省設(shè)備和人員成本，同時(shí)減少因?yàn)楣�擊而引起的損失，可以在網(wǎng)絡(luò)和應(yīng)用級(jí)攻擊造成任何損壞之前有效地識(shí)別 并阻止這些攻擊。從這個(gè)意義講，UTM設(shè)備是可以有效地保護(hù)網(wǎng)絡(luò)重要資源，同時(shí)最大限度地減少因?yàn)楣�擊分析響�?yīng)和災(zāi)后恢復(fù)帶來的人力成本，從而節(jié)省企業(yè)的 開銷。

    UTM是一個(gè)大概念——既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。因此業(yè)內(nèi)很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念。

    畢竟，多合一的安全網(wǎng)關(guān)簡化了用戶的安全設(shè)備部署，也方便了用戶的安全管理，也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)方向，這樣的設(shè)備集成到哪里或者叫什么名字并不重要，關(guān)鍵是否可以提供足夠的安全功能和性能實(shí)現(xiàn)。

標(biāo)簽： idc 安全 代碼 電子郵件 防火墻 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)協(xié)議 漏洞 企業(yè)網(wǎng)絡(luò)安全 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全解決方案

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。