一、威脅生態(tài)系統(tǒng)特點(diǎn)
網(wǎng)絡(luò)攻擊是全球性問題。
 
黑客們?nèi)找婢劢褂诨旌闲偷耐{,結(jié)合各種有害代碼來探測(cè)和攻擊系統(tǒng)漏洞。這些混合攻擊分別繞過現(xiàn)有的安全節(jié)點(diǎn),如獨(dú)立的VPN、防火墻和防毒產(chǎn)品,形成各種形態(tài)持續(xù)的攻擊流。黑客自動(dòng)工具、混合攻擊以及蠕蟲木馬病毒增加了數(shù)據(jù)曝光的可能性。脆弱點(diǎn)、配置錯(cuò)誤和缺乏管理等問題更使實(shí)現(xiàn)安全增加難度。 威脅的形態(tài)表現(xiàn)為病毒/蠕蟲/木馬、灰色件、間諜件、垃圾郵件、配置錯(cuò)誤、應(yīng)用程序脆弱點(diǎn)、自動(dòng)的黑客工具和腳本、拒絕服務(wù)、緩沖溢出、Cookie 中毒等。威脅的另一特點(diǎn)是新漏洞攻擊產(chǎn)生速度快,即稱為“零小時(shí)”(zero-hour)或“零日”(zero-day)新的未知的攻擊。另外,社會(huì)工程陷阱型的攻擊,包括間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)、Web重定向等,偽裝為合法應(yīng)用和郵件信息欺騙用戶的威脅日益增多。
 
二、統(tǒng)一威脅管理的定義
統(tǒng)一威脅管理(UTM)是保持威脅生態(tài)平衡的良方。美國(guó)著名的IDC對(duì)統(tǒng)一威脅管理(UTM)安全設(shè)備的定義的是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項(xiàng)或多項(xiàng)安全功能。 它將多種安全特性集成于一個(gè)硬設(shè)備里, 構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用,不過它們應(yīng)該是UTM設(shè)備自身固有的功能。
 
UTM安全設(shè)備也可能包括其它特性,例如安全管理、日志、策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性(HA)和報(bào)告帶寬管理等。不過,其它特性通常都是為主要的安全功能服務(wù)的。圖1表示UTM系統(tǒng)平臺(tái)上的綜合多項(xiàng)功能。
 

   
圖1  UTM系統(tǒng)平臺(tái)的綜合功能
 
三、市場(chǎng)需要UTM的理由
雖然市場(chǎng)上已經(jīng)有了那么多基于軟件的安全產(chǎn)品,為什么人們還是傾向于購(gòu)買統(tǒng)一威脅管理安全設(shè)備呢?以下概述了激勵(lì)威脅管理安全設(shè)備增長(zhǎng)的因素:
 

    –降低了復(fù)雜性:一體化的設(shè)計(jì)簡(jiǎn)化了產(chǎn)品選擇、集成和支持服務(wù)的工作量。簡(jiǎn)單的放置、方便的安裝是威脅管理安全設(shè)備最關(guān)鍵的優(yōu)點(diǎn)。
     
    –避免了軟件安裝工作和服務(wù)器的增加:安全服務(wù)商、產(chǎn)品經(jīng)銷商甚至最終用戶通常都能很容易的安裝和維護(hù)這些設(shè)備,而且這一過程還可以遠(yuǎn)程操作進(jìn)行。
     
    –減少了維護(hù)量:這些設(shè)備通常都是即插即用的,只需要很少的安裝配置。
     
    –可以和高端軟件解決方案協(xié)同工作:當(dāng)硬件設(shè)備安裝在企業(yè)沒有專業(yè)安全管理人員的遠(yuǎn)程地點(diǎn),由于設(shè)備可以很容易的安裝并通過遠(yuǎn)程遙控來管理它,這種管理方式可以很好的和已安裝的大型集中式的軟件防火墻協(xié)同工作。
     
    –更少的操作過程:用戶通常都傾向于嘗試各種操作,而安全設(shè)備的“黑盒子”設(shè)計(jì)限制了用戶危險(xiǎn)操作的可能,降低了誤操作隱患,提高了安全性。
     
    –更容易的排錯(cuò):當(dāng)一臺(tái)設(shè)備出現(xiàn)故障之后,即使是一個(gè)非專業(yè)人員也可以很容易的用另外一臺(tái)設(shè)備替換它,使網(wǎng)絡(luò)盡快恢復(fù)正常。這項(xiàng)特性對(duì)于那些沒有專職技術(shù)人員的遠(yuǎn)程辦公室顯得尤為重要。

 
四、UTM發(fā)展趨勢(shì)
根據(jù)IDC的預(yù)測(cè), UTM市場(chǎng)在短期內(nèi)將會(huì)有大幅度的增長(zhǎng)。全球 UTM 設(shè)備市場(chǎng)將在2003-2008年期間以年均17%的速度增長(zhǎng),于2008年將達(dá)到近20億美元,屆時(shí)會(huì)將超過防火墻/VPN市場(chǎng)份額。表1表示 IDC的UTM增長(zhǎng)預(yù)測(cè)以及與防火墻/VPN市場(chǎng)的比較。
             
                                  
IDC全球安全設(shè)備市場(chǎng)預(yù)測(cè),2003-2008年(百萬美元)

來源:IDC, 2004
表1  IDC的UTM增長(zhǎng)預(yù)測(cè)
 
UTM市場(chǎng)發(fā)展迅速
 
 2003年,市場(chǎng)上還只有7家廠商在銷售UTM產(chǎn)品。而到了2004年底,UTM廠商的數(shù)量增長(zhǎng)到了至少16家。這些廠商包括知名的網(wǎng)絡(luò)安全產(chǎn)品廠商、防病毒市場(chǎng)的前導(dǎo)者及一些歐洲和亞洲的小型設(shè)備廠商。UTM市場(chǎng)上獲得成功的關(guān)鍵是提供更高的性能和更強(qiáng)的功能,使之成為與眾不同的產(chǎn)品。在 UTM 市場(chǎng)領(lǐng)先的Fortinet公司利用自主產(chǎn)權(quán)的ASIC芯片技術(shù),創(chuàng)新推出FortiGate UTM系列,大幅度提升開啟防病毒功能下的安全性能,實(shí)現(xiàn)7種重要的UTM特性, 包括防病毒、VPN、防火墻、IDP、內(nèi)容過濾、反垃圾郵件和流量整形。
 
展望未來,UTM不僅逐漸形成具有競(jìng)爭(zhēng)力的安全市場(chǎng), 而且預(yù)計(jì)會(huì)成為安全市場(chǎng)的領(lǐng)導(dǎo)者。其原因有以下幾方面:
 
(1) UTM設(shè)備將防病毒和入侵檢測(cè)功能融合于防火墻之中, 成為防御混合型攻擊的利劍。混合型的攻擊可能攻破單點(diǎn)型的安全方案,但卻很可能在統(tǒng)一安全方案面前敗下陣來。
 
(2) UTM設(shè)備提供綜合的功能和安全的性能,降低了復(fù)雜度, 也降低了成本, 適合企業(yè)、服務(wù)提供商和中小辦公用戶的網(wǎng)絡(luò)環(huán)境。
 
(3) UTM設(shè)備能為用戶定制安全策略,提供靈活性。用戶既可以使用UTM的全部功能,也可酌情使用最需要的某一特定功能。
 
(4) UTM設(shè)備能提供全面的管理、報(bào)告和日志平臺(tái),用戶可以統(tǒng)一地管理全部安全特性,包括特征庫(kù)更新和日志報(bào)告等。
 
(5)隨著性能的提高,大型企業(yè)和服務(wù)提供商也可以使用UTM作為優(yōu)化的整體解決方案的一部分,可擴(kuò)展性好, 蘊(yùn)藏的增長(zhǎng)潛力可觀。五、UTM的典型技術(shù)
實(shí)現(xiàn)UTM需要無縫集成多項(xiàng)安全技術(shù),達(dá)到在不降低網(wǎng)絡(luò)應(yīng)用性能的情況下,提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護(hù)。以下為一些典型的技術(shù):
 
(1) 完全性內(nèi)容保護(hù)(CCP)
完全性內(nèi)容保護(hù)(Complete Content Protection, 簡(jiǎn)稱CCP)提供對(duì)OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。這種方法比防火墻狀態(tài)檢測(cè)(檢查數(shù)據(jù)包頭)和深度包檢測(cè)(在狀態(tài)檢測(cè)包過濾基礎(chǔ)上提供額外檢查)等技術(shù)先進(jìn)。它具備在千兆網(wǎng)絡(luò)環(huán)境中,實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象(如文件和文檔)的能力,而且重組之后的應(yīng)用層對(duì)象可以通過動(dòng)態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。CCP還可探測(cè)其它各種威脅,包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙。
 
(2) ASIC 加速技術(shù)
ASIC芯片是UTM產(chǎn)品的一個(gè)關(guān)鍵組成部分。為了提供千兆級(jí)實(shí)時(shí)的應(yīng)用層安全服務(wù)(如防病毒和內(nèi)容過濾)的平臺(tái), 專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)是必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時(shí)內(nèi)容分析處理能力, 提供防火墻、加密/解密,特征匹配和啟發(fā)式數(shù)據(jù)包掃描,以及流量整形的加速功能。由于CCP需要強(qiáng)勁的處理能力和更大容量的內(nèi)存來支持,僅利用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)要實(shí)現(xiàn)內(nèi)容處理往往在性能上達(dá)不到要求。
 
(3) 定制的操作系統(tǒng)(OS)
專用的強(qiáng)化安全的OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)?;趦?nèi)容處理加速模塊的硬件加速,加上智能排隊(duì)和管道管理,OS使各種類型流量的處理時(shí)間達(dá)到最小,從而給用戶提供最好的實(shí)時(shí)系統(tǒng),有效地實(shí)現(xiàn)防病毒、防火墻、VPN、反垃圾郵件、IDP等功能。
 
(4) 緊密型模式識(shí)別語言 (CPRL)
緊密型模式識(shí)別語言(Compact Patten Recognition Language, 簡(jiǎn)稱CPRL)是針對(duì)完全的內(nèi)容防護(hù)中大量計(jì)算程式所需求的加速而設(shè)計(jì)的。 狀態(tài)檢測(cè)防火墻、防病毒檢測(cè)和入侵檢測(cè)的功能要求,引發(fā)了新的安全算法包括基于行為的啟發(fā)式算法。 通過硬件與軟件的結(jié)合,加上智能型檢測(cè)方法,識(shí)別的效率得以提高。
 
(5) 動(dòng)態(tài)威脅管理檢測(cè)技術(shù) (CPRL)
動(dòng)態(tài)威脅防御系統(tǒng)(Dynamic Threat Prevention System, 簡(jiǎn)稱DTPS)是由針對(duì)已知和未知威脅而增強(qiáng)檢測(cè)能力的技術(shù)。DTPS將防病毒、IDS、IPS和防火墻等各種安全模塊無縫集成在一起,將其中的攻擊信息相互關(guān)聯(lián)和共享,以識(shí)別可疑的惡意流量特征。DTPS通過將各種檢測(cè)過程關(guān)聯(lián)在一起,跟蹤每一安全環(huán)節(jié)的檢測(cè)活動(dòng),并通過啟發(fā)式掃描和異常檢測(cè)引擎檢查,提高整個(gè)系統(tǒng)的檢測(cè)精確度。
 

圖2  動(dòng)態(tài)威脅防御系統(tǒng)的體系結(jié)構(gòu)
 
六、小結(jié)
統(tǒng)一威脅管理(UTM)是一種理念的改變,是新技術(shù)的挖掘和集成, 是接受市場(chǎng)需求挑戰(zhàn)的主動(dòng)迎戰(zhàn)。這無疑是對(duì)付零日攻擊、提升檢測(cè)威脅能力的好辦法

分享到

wangliang

相關(guān)推薦