我国各行各业信息化建设步伐明显加快,对网络的依赖性明显成上升趋势,这就为网络安全管理者提出了更高的要求。诡异的入侵技术、前所未有的破坏手法都一再地让企业的网络安全亮起红灯,企业在解决安全威胁可能造成的风险之余,还要同时面对眼花撩乱的安全产品,应接不暇。因此,如何兼具低成本、高安全性与执行效率,便成为企业信息化建设所追求的一纸良方。
安全管理,病魔缠身
随着个人安全资讯网站的数目增多,安全威胁无论在形式上还是在数量上,都已呈现出爆炸性的增长。一些隐藏在网络幕后的破坏者,以及其变态的心理在生产者病毒,现在每天都有成百种新型病毒在网上出现,而主流应用平台的安全漏洞更是数以千计。很多新型的病毒都是针对现有的反病毒软件,广泛利用底层驱动技术,提高隐蔽性将成为病毒发展的重要技术趋势。以“多头蠕虫病毒”为例,就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术。与此同时,间谍软件也成为了“僵尸网络”的怂恿与制造者。这类软件会将自己嵌入到系统当中,并且通过系统层的拦截方式掌控其它的程序以进行一些任务,因此这类软件非常的难以侦测与移除,也成为企业用户切入肌肤的痛处。
近几年,以网络钓鱼 (Phishing)和垃圾邮件等社会工程为主的卑鄙手段开始泛滥。钓鱼者利用垃圾邮件的方式当作钓饵,即使是茫茫大海捞针,估计也能捞起一两根来。单从如何应对这些病毒和木马而言,一些注重安全管理的企业用户就不能轻松应对。何况,混合攻击以及社会工程入侵,都增加了数据外泄与丢失的可能性,而配置错误和缺乏管理等问题更使实现整体安全防御的难度增加,都使得企业的信息化城郭,千疮百孔。
病走八脉,药选几味?
在诸多安全产品中,防火墙能够有效防止黑客的恶意攻击,电子认证系统能够保证客户端的可信性,VPN能够确保信息在互联网上不被窃听……然而,在实际工作中,搭建这些各自相对独立的系统需要大量的资金投入,同时还要投入人力进行系统维护工作,这就使得很多中小企业。另外,网络的娱乐性与企业信息的安全性成为最突出的矛盾。企业无法控制的Inte.net上网行为(如:网页、邮件),内部网络的访问行为(如:访问网上邻居、关键服务器、敏感文件)和计算机用户的操作行为(如:应用程序、剪贴板)。同时,上班时间玩游戏、收看网络TV等都严重影响了组织的网络可用带宽,因此对异常流量监控,统计网络中客户端流量,报警并处理异常网络流量等,都不能让我们依赖一两个单独架构的安全产品。
协同管理的技术特征
相信仍有许多人对何谓UTM设备不甚清楚,事实上,统一威胁管理技术最早由Fortinet公司在2002年提出,2004 年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理(United Threat Management, 简称UTM )。而许多企业用户对于UTM设备的概念还比较陌生,很多人称为多功能防火墙、多功能安全网关器,这样的称呼或许比较容易让人了解,尤其防火墙,对绝大多数企业而言,更是耳熟能详。对于不同的制造商来说,实现这些功能的方式也各有不同。很多厂商采取以防火墙系统作为基础增加其它安全功能的方式,也有一些厂商采用基于IDS融合其它功能的方法。
硬件架构的演变
目前,整合式安全设备从形态上来说更多的是以防火墙为核心整合其它安全功能,这与防火墙产品在安全领域的核心地位是密不可分的。由于UTM安全设备通常会同时运行多个功能模块,对系统性能的要求要远远大于单纯的防火墙或入侵检测系统。比如,普通的路由器需要10个指令就可以处理的封包数据,在基于七层防毒功的UTM设备上就需要9000个指令,这意味着UTM产品必须使用相对高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于性能敏感平台的一种处理器技术,在防火墙安全产品中,ASIC的应用是处理效能是否足够的关键。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(Net Processor,网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
目前市场许多以特征字符串比对技术为核心UTM ASIC方案,可能导致系统效能不够稳定与缓慢,仅能提供有限的安全防护与网络速度的瓶颈。这类框架系统要求在特征字符串比对前,需要先将封包重组,而现在的病毒或蠕虫,通常会伪装为正常的文件名称与大小,切割为几百,乃至上千个封包。而封包重组后的档案越大在系统内存占用的空间也越大,当档内存空间被占满以后,必然导致忽略或拥塞现象发生,病毒或蠕虫也会趁隙溜到内部网络中。
面对特征字符串比对与封包重组的问题,现在有的UTM厂商提出DFA(Deterministic Finite Automata决定式有限自动机)的技术。DFA最大的特色,就是扫瞄封包时不会受到数据包大小的限制,因为其通过“Reassembly Free”的方式顺序的将传送的封包一一比对,不需先储存于系统内存中重组,所以特征扫瞄时是不需储存整个完整字符串,而是针对每个封包中字段进行比对,将有嫌疑的封包标记,并且将后续关联性封包一并标记处理,这可让有问题的病毒文件无法重组或开启。