后來,賈CIO看到一篇FBI的研究報告��,上面分析說��,多數(shù)攻擊是通過內(nèi)部傳播和發(fā)起的(而不是通過外部發(fā)起的)�。企業(yè)部署內(nèi)部入侵檢測系統(tǒng)��,并在多個部門網(wǎng)段部署監(jiān)控器��,再采用電子郵件防病毒系統(tǒng)�,可以防止病毒的傳播。于是����,賈CIO使用慣用的“頭痛醫(yī)頭,腳痛醫(yī)腳”的手法����,將個人版防毒更換為網(wǎng)絡(luò)版防毒(包括郵件服務(wù)器防毒)。事情有所好轉(zhuǎn)��。
好景不長����,網(wǎng)絡(luò)帶寬又出問題了,帶寬捉襟見肘�,使得訪問網(wǎng)絡(luò)的速度不斷下降,加之缺乏業(yè)務(wù)流優(yōu)先級設(shè)定�,致使網(wǎng)絡(luò)效率也急劇下滑。
賈CIO徹底地檢查了一下��,發(fā)現(xiàn)網(wǎng)絡(luò)速度下降的原因是大量用戶在從事非生產(chǎn)性的網(wǎng)絡(luò)活動�,如使用P2P應(yīng)用、多媒體應(yīng)用以及利用微軟MSN等進(jìn)行語音或視頻通信��。運(yùn)行這類應(yīng)用即損失了生產(chǎn)力,又為針對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊打開了方便之門�。
更讓賈CIO心急如焚的是,后院要起火����。設(shè)在上海、廣州�����、成都等地分公司的工作人員經(jīng)常訪問內(nèi)網(wǎng)�,或者外地出差員工在入住酒店、星巴克咖啡館等地也要訪問內(nèi)網(wǎng)�����,雖然使用了早已部署過的SSL VPN保護(hù)措施����,但在訪問過程中�,還是會給“不法分子”提供可乘之機(jī)。
盡管攻擊還沒爆發(fā)����,可已有專家提醒賈CIO關(guān)注這些來自遠(yuǎn)程或分布式環(huán)境的威脅�����,一旦威脅變攻擊���,后果不堪設(shè)想;并告知他�����,要消除這一威脅����,應(yīng)該為遠(yuǎn)程用戶部署獨立的VPN解決方案,將這些流量與企業(yè)網(wǎng)絡(luò)相對隔離開��。
賈CIO大腦有點亂�,他覺得自己要做的事兒挺多,好像到處都是等他撲救的大火��。
◆ 對于非生產(chǎn)性網(wǎng)絡(luò)活動����,他要通過實施內(nèi)容過濾解決方案,降低對生產(chǎn)力的影響���,同時還要避免間諜軟件的騷擾����。
◆ 為了減少網(wǎng)絡(luò)垃圾(如垃圾郵件),他要精選反垃圾郵件解決方案�,并選取合適的防火墻策略,通過關(guān)閉端口的方式���,阻擋病毒的入侵��。
◆ 還要不斷為服務(wù)器�����、工作站�����、路由器����、交換機(jī)以及防火墻本身打補(bǔ)丁�。補(bǔ)丁可以解決現(xiàn)有的軟件問題�����,也會為計算機(jī)帶來負(fù)面影響,可能它帶來的問題比所解決的問題還要多�����。
賈CIO幻想著一種神奇滅火器的出現(xiàn)�����,只需按下鍵鈕�,就能把各處大火撲滅。
在網(wǎng)絡(luò)發(fā)展的初級階段����,采用單一的、有針對性的安全解決方案�,不失為有效的防范手段。隨著應(yīng)用的廣泛和深入��,面對愈演愈烈的混合型威脅�����,這些方案無法提供充分���、及時和統(tǒng)一的保護(hù)���,更不能解決生產(chǎn)力下降的問題�����。
UTM—神奇的滅火器
統(tǒng)一威脅管理(Unified Threat Management���,UTM)就是這樣一種神奇滅火器。
UTM是由硬件�、軟件和網(wǎng)絡(luò)技術(shù)組成的具有安全用途的設(shè)備,它提供防毒����、防黑、防垃圾郵件等多項安全功能�����,并將它們集成在一個硬件設(shè)備里����,構(gòu)建了一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。
前2年,市場上就出現(xiàn)過一體化的安全產(chǎn)品�,它與現(xiàn)在的UTM有所不同。
將安全一體化
以前的一體化安全產(chǎn)品大多是在第三代狀態(tài)檢測防火墻的基礎(chǔ)上集成其他安全功能而組成的���。受到技術(shù)及性能的影響,這種產(chǎn)品很少集成網(wǎng)關(guān)防病毒和IPS功能��,因為要做到掃描應(yīng)用層數(shù)據(jù)來檢測病毒和入侵��,對主處理器是一個挑戰(zhàn)�����,也是一個重負(fù)���。
或者�����,即便包含了網(wǎng)關(guān)防病毒功能����,也會為平衡性能與功能���,而限制網(wǎng)關(guān)防病毒引擎掃描的協(xié)議種類��。經(jīng)過限制的一體化安全設(shè)備通常只支持POP3�����、SMTP�����、IMAP����、HTTP和FTP這5種協(xié)議。而且��,它們對同時掃描的文件數(shù)目和大小��,都依硬件平臺的不同而有明顯的限制�����。
統(tǒng)一管理“威脅”
與單純的在防火墻中整合其他安全功能不同�, UTM更看中的是“對設(shè)備和對威脅的管理”。實現(xiàn)UTM需要無縫集成多項安全技術(shù)����,達(dá)到在不降低網(wǎng)絡(luò)應(yīng)用性能的情況下��,提供集成的網(wǎng)絡(luò)層和內(nèi)容層的安全保護(hù)���。
UTM 的特點是:能為用戶定制安全策略,提供靈活性�����;能讓用戶自選功能�����,既可使用UTM 的全部功能��,又可酌情使用最需要的某一特定功能�����;能為用戶提供全面的管理��、報告和日志平臺�����,可統(tǒng)一地管理全部安全特性��,包括特征庫更新和日志報告等��。概括起來����,UTM有如下一些優(yōu)勢:
1.成本經(jīng)濟(jì)
總體系統(tǒng)成本比缺乏安全性控制時所帶來的潛在損失低得多。有關(guān)人士做過一個估算:傳統(tǒng)百兆防火墻價格7~8萬元�,如果加上防毒、防垃圾郵件等安全產(chǎn)品����,總成本在30萬左右。而購買UTM產(chǎn)品��,價格僅10萬元左右����。
2.簡化系統(tǒng)
UTM設(shè)備大大降低了安全系統(tǒng)的復(fù)雜性,一體化的設(shè)計簡化了產(chǎn)品選擇���、集成和支持服務(wù)的工作量���,避免了軟件安裝和增加服務(wù)器的工作�。安全服務(wù)商���、產(chǎn)品經(jīng)銷商甚至最終用戶通常能夠很容易的安裝和維護(hù)這些設(shè)備�����,而且支持遠(yuǎn)程管理��。
3.減少維護(hù)
由于工作量大����、壓力也大���,因此手工過程很容易出錯,為了保證安全性���,簡便高效的管理操作是必需的���。
UTM設(shè)備的維護(hù)量很小,它即插即用的�,只需很少量的安裝配置操作。
4.遠(yuǎn)程協(xié)同
不同功能必須完美配合���,才可使安全檢測容易進(jìn)行����。通過集成所有關(guān)鍵的安全功能,并且提供簡化的管理��,UTM解決了這些問題�。
大多數(shù)UTM設(shè)備可以和高端軟件解決方案協(xié)同工作。UTM設(shè)備提供易安裝�、可遠(yuǎn)程管理的特性。這樣�,安裝在遠(yuǎn)程地點的很多硬件設(shè)備,在缺乏專業(yè)的安全管理人員的情況下�,也可以很好的和大型集中式的軟件防火墻協(xié)同工作。
5.避免危險
由于應(yīng)用的需求�,用戶通常都傾向于嘗試各種操作,而UTM安全設(shè)備的“黑盒子”設(shè)計限制了用戶危險操作的可能�,通過更少的操作過程,降低了誤操作隱患����,從而提高了安全性。
給賈CIO的選購建議
由此看來�,賈CIO還是挺適合使用UTM設(shè)備的。
WatchGuard中國區(qū)總經(jīng)理韓涌告訴用戶�����,由于UTM 設(shè)備能夠提供綜合的安全功能和高效的性能,降低了復(fù)雜度���,也降低了成本���,UTM設(shè)備非常適用于中小企業(yè)、服務(wù)提供商和大型企業(yè)部門級或分支機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境�����。
目前��,提供UTM設(shè)備的廠商越來越多�,哪些廠商的產(chǎn)品得到市場和用戶的一興,不妨從銷售排名中尋找答案�。
據(jù)知名調(diào)查公司統(tǒng)計��,技術(shù)領(lǐng)先����、排名靠前的有:Fortinet,以基于ASIC芯片加速防病毒的UTM設(shè)備�,曾以29.5%的份額領(lǐng)先于全球UTM市場�����;Symantec����,領(lǐng)先的軟件安全供應(yīng)商����,曾在2003年以2400萬美元的銷售額位居UTM市場前列;Secure Computing�,從軟件廠商轉(zhuǎn)變?yōu)橛布O(shè)備的廠商,也曾以2280萬美元的銷售額排名第三��; ServGate�,綜合了全面的上下文檢測功能,曾在2003年占據(jù)9.5%的UTM市場份額�����;NetScreen (已被Juniper收購)�,曾在2003年占領(lǐng)了5%的UTM市場份額。
WatchGuard的UTM也不甘示弱����。根據(jù)該調(diào)查公司的最新報道顯示�,在2005年第二季度中等價位(00到99)UTM市場上�����,WatchGuard銷售量排名第一��。這次產(chǎn)品價位是根據(jù)產(chǎn)品實際的銷售價格而不是產(chǎn)品的報價來劃分的�。WatchGuard的銷售量已超過了在2005年第一季度銷售量曾一度領(lǐng)先的Fortinet和SonicWall。
WatchGuard Firebox X系列(如圖1��、2所示)非常適合賈CIO的應(yīng)用環(huán)境�。它集成防火墻、入侵檢測和防御以及防病毒于一體����,并為應(yīng)對變幻莫測的新型攻擊,新增了一些功能���,可以幫助賈CIO應(yīng)對前面遇到的問題��。
比如,在Firebox X系列中�,新增了SpamBlocker功能,它對賈CIO很有用���,解決了賈CIO日益泛濫的垃圾郵件問題���。它提供垃圾郵件過濾服務(wù)��,通過與 Commtouch合作�����,利用正在申請專利的循環(huán)檢測模式�����,簡便����、實時的檢測垃圾郵件�。根據(jù)測試,一封郵件發(fā)過來��,只須300毫秒�,即可判定它是否是垃圾郵件。而且準(zhǔn)確率在97%以上���。
Firebox X系列還增強(qiáng)了網(wǎng)關(guān)防毒和入侵防護(hù)功能��,能夠幫助賈CIO有效抑制MyDoom類的混合式攻擊��。該功能可實時地辨別并攔截可疑的網(wǎng)絡(luò)活動及惡意代碼�,制止看似無害但試圖利用系統(tǒng)漏洞的危險流量,保護(hù)信息資產(chǎn)免受分侵害���;同時��,使用此功能還可防范間諜軟件�、木馬程序�、緩沖溢出、即時消息及點對點使用等形式的安全威脅和違反安全策略行為���。
此外�����,F(xiàn)irebox X系列增強(qiáng)了管理和控制功能����,這讓賈CIO再也不必為非生產(chǎn)性流量產(chǎn)生的帶寬不足問題而傷神���。該功能可以管理企業(yè)員工接入Internet的行為�,避免因生產(chǎn)力流失�、網(wǎng)絡(luò)帶寬被占用、Internet騙局��、惡意代碼及至法律責(zé)任等為企業(yè)造成的巨額經(jīng)濟(jì)損失�����,并按照用戶或組別��,提供更精細(xì)的Internet 訪問管理�。
值得一提的是,WatchGuard特別推出新版管理工具WSM��,實現(xiàn)對大型����、多設(shè)備及多客戶部署的集中化管理,用戶透過統(tǒng)一的管理平臺�����,可同時升級幾組Firebox X���,快速檢查所有設(shè)備�����,以及為任何設(shè)備或服務(wù)提供監(jiān)測與配置工具等��。賈CIO采購這種管理工具���,滅起“大火”來�����,方便多了�。
挑戰(zhàn)伴行
UTM設(shè)備在管理上和功能的齊全性上有很強(qiáng)的優(yōu)勢��,但“物極必反”���,UTM也面臨著由此帶來的新挑戰(zhàn)���。一個是性能,那么多功能集成在一起���,要達(dá)到更高的處理效率和更強(qiáng)健的防御能力�����,必須在算法����、模式識別等方面進(jìn)行創(chuàng)新設(shè)計����,能否做到這一點,就看UTM提供商的研發(fā)實力了�����。
另一個是UTM自身安全問題��。集成度高的安全設(shè)備一旦癱瘓���,整個網(wǎng)絡(luò)將被暴露在危險之中�。目前���,蠕蟲病毒����、黑客攻擊異常猖獗,無孔不入���,UTM若有個意外��,網(wǎng)絡(luò)系統(tǒng)瞬間必死無疑���。可以采取傳統(tǒng)的雙機(jī)容錯式的保險方案�����,只是會增加一倍的成本�。
