• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

身患安全杂症 企业如何对症“下药”? (1)

发布: 2007-6-10 17:19 | 作者: lynn | 来源: 赛迪网技术社区 | 查看: 18次 | 进入软件测试论坛讨论

领测软件测试网

多种安全技术的集成

● 专有操作系统:

传统防火墙都是采用的基于WINDOWSUNIXLINUX或BSD的通用操作系统,这些通用操作系统其漏洞是人所共知的。定制的操作系统在安全功能上进行了特别处理,形成了适用于UTM的软件平台。有的UTM产品使用专用的安全系统部件开发操作系统,并且舍去了内部硬盘,所以系统的可靠性很高。另外在规则算法、模式识别语言等方面也进行了特别的设计,这为UTM的平台化目标提供了最有力的基石。

● 防火墙技术的加深

传统的防火墙设备从第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙,性能单一成为一个主要缺陷,即便采用了一种基于状态和面向TCP连接的安全设计,可以基于源和目的地地址创建一个会话流,根据随机生成的TCP序列号的检查规则,避免黑客利用篡改TCP序列号进行攻击的可能性。

防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能,而且它还决定了防病毒、入侵检测、VPN 等功能是否开启以及它们的工作模式。通过防火墙的策略可以实现各种功能的更好的融合。但它们对于针对操作系统和应用设计的病毒、木马、用户被恶意网站欺骗下载的间谍软件就显得无能为力了。

主流防火墙中被为深度包检测的DIP(Deep Packet Inspection)技术,完全融入到UTM设备中并得到改良与发展。例如:Complete Content Protection, 简称CCP,它提供对OSI网络模型所有层次上的网络威胁的实时保护。

从整个系统角度讲,UTM防火墙要实现的不仅仅是网络访问的控制,而且实现数据包的识别与转发,例如HTTP, Mail等协议的识别与转发相应的模块进行处理,从而减轻其他模块对数据处理的工作量,提高了系统性能和效率。同时植入很多更高的新功能,例如VoIP、H.323、SIP、IM、P2P控制等,起点更高,应用前景更广,适应性更强。

● 远程接入VPN

主流的UTM设备都提供支持PPTP、L2TP、 IPSec,和SSL VPN的功能。我们这里主要谈一下SSL VPN,它与传统的IPSec VPN、以及单独的VPN产品相比具有更显著的特点。首先IPSec VPN使用十分复杂,必须安装和维护客户端软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。

SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN是基于应用层的VPN,这就意味着在安全性上已经不仅局限在可以让数据安全过来,而且还关注这过来的数据究竟是什么内容。开启UTM网关上的VPN功能,实现高强度(3DES、AES、SHA-1、MD5)的加密和认证,防止公网链路上的数据窃取和篡改。

对症下药可见功效

缩减采购环节

针对安全防御的整体框架,企业需要面对众多安全产品及方案的选择。所以,采购者必须具备博深的信息安全专业知识,以及了解各种不同产品的规格标准。其次,构建主动性防御网络实非易事。如今充斥在网络上的安全风险及恶意攻击的种类实在太多,企业若要购齐各种相应的解决方案,其所耗费的采购支出势必极其惊人,对于中小企业而言,更是不可能的任务。UTM设备不论在采购选择和费用上,优势十分明显。

摆脱部署困境

一个“全能型”的网管可谓是凤毛麟角,每个企业不可能都配备一个文武双全的勇士去应对安全管理。对一个普通的网络管理人员来说,安装1台设备绝对比安装2种以上的不同设备,来得简单且容易得多,更何况要面对网络和系统两个层面的所有安全产品部署问题。在部署的复杂度和成本上,绝对与产品的数量成正比,各种不同的安全软硬方案要协同运作谈何容易,若想进一步提升管理效益,企业内部势必需要培养一批具备专业素养的IT管理团队。在最为重要的部署和管理阶段,提供集中式管理接口的UTM设备,不但大大降低管理上的复杂度,进而发挥应有的管理效益。UTM设备在缩短部署时间,以及减少部署成本上都具备无与伦比的优势。

加倍呵护分支机构

企业随着业务规模扩大,就需要在不同的地域设立分支机构。对于这些企业的分支机构来说,利用高速宽带连接互联网,它们对互联网应用的需求不断提高。如何针对这些分支机构,建立起与总部同样完善的安全防御网络一直也是挠头的一件苦差。对于中小企业而言,由于经费有限,多半只购买防火墙等少数基本设施,因此常有顾此失彼之叹,而UTM设备则提供一次购足所有安全功能的优势,企业可以借此建立较完善的安全防御体系,一视同仁,消除“短板”效应。另外,在后续的维护环节上由于采用同样、单一的安全产品,一旦发生故障或遇上重大安全事件就可以把问题迅速反映到厂商那里,类似托管,却没有托管费用。(e129)

<<上一页 1 2


文章来源于领测软件测试网 https://www.ltesting.net/

22/2<12
软件测试论坛

领测软件测试网最新更新
软件测试技术相关文章

软件测试培训信息
最新软件测试技术专题
最新领测软件测试网新闻
软件测试技术文章排行榜
  • 编辑推荐
  • 周排行
  • 月排行
软件测试技术分类最新内容
关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网