1.深度檢測(cè):用戶需要基于深度數(shù)據(jù)包檢測(cè)(DPI)的防火墻�?�;跔顟B(tài)數(shù)據(jù)包檢測(cè)(SPI)的防火墻僅能夠處理來(lái)自互聯(lián)網(wǎng)威脅的2%(這一數(shù)據(jù)基于SPI防火墻所分析的數(shù)據(jù)包頭流量和DPI防火墻所處理的數(shù)據(jù)包凈荷流量之比)。
2.個(gè)體差異:所有的UTM防火墻并非都是一樣的���,當(dāng)然不同的深度數(shù)據(jù)包檢測(cè)防火墻也有所不同��,有些就不能高效地處理大流量和大尺寸文件�����。
3.動(dòng)態(tài)更新:為使所采用的安全技術(shù)能夠滿足未來(lái)要求�,必須采用動(dòng)態(tài)保護(hù)?��?蓜?dòng)態(tài)連續(xù)更新的安全設(shè)備正在成為事實(shí)上的行業(yè)標(biāo)準(zhǔn)�����。
4.高度集成:高度集成的設(shè)備是關(guān)鍵��。部署分離的設(shè)備和技術(shù)也可以獲得某種形式的統(tǒng)一威脅管理(UTM)����,但在管理和維護(hù)方面的成本卻翻了幾翻�����,并且實(shí)施的成本也非常高昂���。在當(dāng)前的情況下�����,這種點(diǎn)式解決方案的成本高昂又難于管理����。
新型的網(wǎng)絡(luò)安全威脅使UTM(統(tǒng)一威脅管理)在網(wǎng)絡(luò)應(yīng)用安全領(lǐng)域獲得了高速增長(zhǎng)的市場(chǎng)份額。根據(jù)IDC的定義�,UTM是指能夠提供廣泛的網(wǎng)絡(luò)保護(hù)的設(shè)備,它在一個(gè)單一的硬件平臺(tái)下提供了以下的一些技術(shù)特征:防火墻���、防病毒���、入侵檢測(cè)和防護(hù)功能����。IDC的行業(yè)分析師們注意到,針對(duì)快速增長(zhǎng)的混合型攻擊(基于互聯(lián)網(wǎng)的病毒已經(jīng)開(kāi)始在應(yīng)用層發(fā)起攻擊)�,需要一種靈活的、整合各種功能的UTM設(shè)備來(lái)防止這種攻擊的快速蔓延�����。
混合攻擊檢測(cè)技術(shù)
UTM中的防病毒除了引用傳統(tǒng)的病毒檢測(cè)技術(shù)外�,還應(yīng)該采用一些新的技術(shù)來(lái)提高病毒檢測(cè)的效率與性能,如采用流檢測(cè)的技術(shù)���、混合攻擊的檢測(cè)技術(shù)和對(duì)未知病毒的檢測(cè)方法�。
通常的黑客攻擊采取以下步驟:
1)判斷入侵對(duì)象的操作系統(tǒng);
2)掃描端口,判斷開(kāi)放了哪些服務(wù)(這兩步有可能同時(shí)進(jìn)行);
3)根據(jù)操作系統(tǒng)和所開(kāi)放的服務(wù)選擇入侵方法�����,通常有“溢出”和“弱口猜測(cè)”等方法;
4)獲得系統(tǒng)的最高權(quán)力;
5)安放后門(mén)等病毒�����、清除日志等����。
如今的病毒技術(shù)趨于復(fù)雜化與多樣化,有些病毒能完全模擬以上的黑客攻擊行為��。所以如今的病毒不是單一的個(gè)體在戰(zhàn)斗�,而是一組在戰(zhàn)斗,每一個(gè)個(gè)體有不同的功能與特性��。它們包括端口掃描����、漏洞掃描、漏洞利用��、獲得權(quán)限����、種植木馬后門(mén)����,蠕蟲(chóng)病毒形成各種攻擊與危害等���。這就是混合攻擊�����。
2.現(xiàn)狀
對(duì)于混合攻擊�,單一的主機(jī)防毒軟件或者網(wǎng)關(guān)防毒軟件是不能有效解決問(wèn)題的;尤其是對(duì)此類(lèi)未知病毒的混合攻擊�,更是無(wú)能為力�����。這是因?yàn)槟壳暗姆蓝拒浖旧隙际腔谘a(bǔ)丁式的升級(jí)方式��,是滯后于病毒的��。也許對(duì)于已知病毒的混合攻擊�����,桌面的或者網(wǎng)關(guān)的防毒墻還能有效地對(duì)付混合攻擊中真正起到病毒作用的那個(gè)個(gè)體,但對(duì)未知的病毒攻擊也只能望洋興嘆����。
3.檢測(cè)技術(shù)
在對(duì)付混合攻擊時(shí)UTM可以采取以下的技術(shù)。
1)多層分解檢測(cè)技術(shù)
一個(gè)混合攻擊的病毒有多個(gè)模塊比如端口掃描�����,漏洞掃描之類(lèi)的���,而UTM也有多個(gè)模塊來(lái)分別應(yīng)對(duì)�,各個(gè)模塊也各司其職��,分別用來(lái)對(duì)付此類(lèi)病毒的各個(gè)模塊��,對(duì)于混合攻擊的防范可以通過(guò)與IPS的結(jié)合來(lái)有效應(yīng)對(duì)��,所以UTM是檢測(cè)混合攻擊最有效的產(chǎn)品��。
2)漏洞利用代碼檢測(cè)技術(shù)
如今的病毒都喜歡利用漏洞來(lái)加以傳播�����,因此UTM的防毒技術(shù)模塊除了采用傳統(tǒng)的檢測(cè)方法外��,還應(yīng)該根據(jù)漏洞利用代碼的原理來(lái)檢測(cè)已知或未知的此類(lèi)病毒或者混合攻擊。
UTM對(duì)企業(yè)的重要性
大企業(yè)能夠清楚地意識(shí)到各種安全威脅���,并采用聘請(qǐng)安全專(zhuān)家的方式來(lái)幫助他們抵御各種網(wǎng)絡(luò)威脅�����。小型企業(yè)不可能花費(fèi)很多人力��、財(cái)力或時(shí)間來(lái)維護(hù)企業(yè)網(wǎng)絡(luò)的安全�����。但是���, 這并不意味著他們可以忽略安全威脅。統(tǒng)一威脅管理(Unified Threat Management�����,UTM)的出現(xiàn)�,可以幫助中小企業(yè)解決這一問(wèn)題���。
許多小型企業(yè)所有者并不重視網(wǎng)絡(luò)安全問(wèn)題�。他們認(rèn)為公司規(guī)模小,市場(chǎng)地位無(wú)足輕重����,因而黑客不會(huì)將這類(lèi)網(wǎng)絡(luò)作為攻擊目標(biāo)。這種觀念是極其錯(cuò)誤的�。沙賓法(Sarbanes- Oxley Act)等法規(guī)嚴(yán)格要求企業(yè)在信息安全方面進(jìn)行更多投資。大企業(yè)能夠清楚地意識(shí)到各種安全威脅�,并采用聘請(qǐng)安全專(zhuān)家的方式來(lái)幫助他們抵御各種網(wǎng)絡(luò)威脅。擁有大型網(wǎng)絡(luò)的公司也通常擁有復(fù)雜的防火墻和入侵防御系統(tǒng)�����,并且定期更新和維護(hù)這些系統(tǒng)����。而小型企業(yè)不可能花費(fèi)很多人力、財(cái)力或時(shí)間來(lái)維護(hù)企級(jí)網(wǎng)絡(luò)的安全���。但是��,這并不意味著他們可以忽略安全威脅���。
