我国各行各业信息化建设步伐明显加快,对网络的依赖性明显成上升趋势,这就为网络安全管理者提出了更高的要求。诡异的入侵技术、前所未有的破坏手法都一再地让企业的网络安全亮起红灯,企业在解决安全威胁可能造成的风险之余,还要同时面对眼花撩乱的安全产品,应接不暇。因此,如何兼具低成本、高安全性与执行效率,便成为企业信息化建设所追求的一纸良方。
安全管理,病魔缠身
随着个人安全资讯网站的数目增多,安全威胁无论在形式上还是在数量上,都已呈现出爆炸性的增长。一些隐藏在网络幕后的破坏者,以及其变态的心理在生产者病毒,现在每天都有成百种新型病毒在网上出现,而主流应用平台的安全漏洞更是数以千计。很多新型的病毒都是针对现有的反病毒软件,广泛利用底层驱动技术,提高隐蔽性将成为病毒发展的重要技术趋势。以“多头蠕虫病毒”为例,就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术。与此同时,间谍软件也成为了“僵尸网络”的怂恿与制造者。这类软件会将自己嵌入到系统当中,并且通过系统层的拦截方式掌控其它的程序以进行一些任务,因此这类软件非常的难以侦测与移除,也成为企业用户切入肌肤的痛处。
近几年,以网络钓鱼 (Phishing)和垃圾邮件等社会工程为主的卑鄙手段开始泛滥。钓鱼者利用垃圾邮件的方式当作钓饵,即使是茫茫大海捞针,估计也能捞起一两根来。单从如何应对这些病毒和木马而言,一些注重安全管理的企业用户就不能轻松应对。何况,混合攻击以及社会工程入侵,都增加了数据外泄与丢失的可能性,而配置错误和缺乏管理等问题更使实现整体安全防御的难度增加,都使得企业的信息化城郭,千疮百孔。
病走八脉,药选几味?
在诸多安全产品中,防火墙能够有效防止黑客的恶意攻击,电子认证系统能够保证客户端的可信性,VPN能够确保信息在互联网上不被窃听……然而,在实际工作中,搭建这些各自相对独立的系统需要大量的资金投入,同时还要投入人力进行系统维护工作,这就使得很多中小企业。另外,网络的娱乐性与企业信息的安全性成为最突出的矛盾。企业无法控制的Internet上网行为(如:网页、邮件),内部网络的访问行为(如:访问网上邻居、关键服务器、敏感文件)和计算机用户的操作行为(如:应用程序、剪贴板)。同时,上班时间玩游戏、收看网络TV等都严重影响了组织的网络可用带宽,因此对异常流量监控,统计网络中客户端流量,报警并处理异常网络流量等,都不能让我们依赖一两个单独架构的安全产品。
协同管理的技术特征
相信仍有许多人对何谓UTM设备不甚清楚,事实上,统一威胁管理技术最早由 Fortinet公司在2002年提出,2004 年9月美国著名的IDC提出将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理(United Threat Management, 简称UTM )。而许多企业用户对于UTM设备的概念还比较陌生,很多人称为多功能防火墙、多功能安全网关器,这样的称呼或许比较容易让人了解,尤其防火墙,对绝大多数企业而言,更是耳熟能详。对于不同的制造商来说,实现这些功能的方式也各有不同。很多厂商采取以防火墙系统作为基础增加其它安全功能的方式,也有一些厂商采用基于IDS融合其它功能的方法。
硬件架构的演变
目前,整合式安全设备从形态上来说更多的是以防火墙为核心整合其它安全功能,这与防火墙产品在安全领域的核心地位是密不可分的。由于UTM安全设备通常会同时运行多个功能模块,对系统性能的要求要远远大于单纯的防火墙或入侵检测系统。比如,普通的路由器需要10个指令就可以处理的封包数据,在基于七层防毒功的UTM设备上就需要9000个指令,这意味着UTM产品必须使用相对高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于性能敏感平台的一种处理器技术,在防火墙安全产品中,ASIC的应用是处理效能是否足够的关键。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(Net Processor,网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
目前市场许多以特征字符串比对技术为核心UTM ASIC方案,可能导致系统效能不够稳定与缓慢,仅能提供有限的安全防护与网络速度的瓶颈。这类框架系统要求在特征字符串比对前,需要先将封包重组,而现在的病毒或蠕虫,通常会伪装为正常的文件名称与大小,切割为几百,乃至上千个封包。而封包重组后的档案越大在系统内存占用的空间也越大,当档内存空间被占满以后,必然导致忽略或拥塞现象发生,病毒或蠕虫也会趁隙溜到内部网络中。
面对特征字符串比对与封包重组的问题,现在有的UTM厂商提出DFA (Deterministic Finite Automata决定式有限自动机)的技术。DFA最大的特色,就是扫瞄封包时不会受到数据包大小的限制,因为其通过“Reassembly Free”的方式顺序的将传送的封包一一比对,不需先储存于系统内存中重组,所以特征扫瞄时是不需储存整个完整字符串,而是针对每个封包中字段进行比对,将有嫌疑的封包标记,并且将后续关联性封包一并标记处理,这可让有问题的病毒文件无法重组或开启。
多种安全技术的集成
● 专有操作系统:
传统防火墙都是采用的基于WINDOWS、UNIX、LINUX或BSD的通用操作系统,这些通用操作系统其漏洞是人所共知的。定制的操作系统在安全功能上进行了特别处理,形成了适用于UTM的软件平台。有的UTM产品使用专用的安全系统部件开发操作系统,并且舍去了内部硬盘,所以系统的可靠性很高。另外在规则算法、模式识别语言等方面也进行了特别的设计,这为UTM的平台化目标提供了最有力的基石。
● 防火墙技术的加深
传统的防火墙设备从第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙,性能单一成为一个主要缺陷,即便采用了一种基于状态和面向TCP连接的安全设计,可以基于源和目的地地址创建一个会话流,根据随机生成的 TCP序列号的检查规则,避免黑客利用篡改TCP序列号进行攻击的可能性。
防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能,而且它还决定了防病毒、入侵检测、VPN 等功能是否开启以及它们的工作模式。通过防火墙的策略可以实现各种功能的更好的融合。但它们对于针对操作系统和应用设计的病毒、木马、用户被恶意网站欺骗下载的间谍软件就显得无能为力了。
主流防火墙中被为深度包检测的DIP(Deep Packet Inspection)技术,完全融入到UTM设备中并得到改良与发展。例如:Complete Content Protection, 简称CCP,它提供对OSI网络模型所有层次上的网络威胁的实时保护。
从整个系统角度讲,UTM防火墙要实现的不仅仅是网络访问的控制,而且实现数据包的识别与转发,例如HTTP, Mail等协议的识别与转发相应的模块进行处理,从而减轻其他模块对数据处理的工作量,提高了系统性能和效率。同时植入很多更高的新功能,例如VoIP、 H.323、SIP、IM、P2P控制等,起点更高,应用前景更广,适应性更强。
● 远程接入VPN
主流的UTM设备都提供支持PPTP、L2TP、 IPSec,和SSL VPN的功能。我们这里主要谈一下SSL VPN,它与传统的IPSec VPN、以及单独的VPN产品相比具有更显著的特点。首先IPSec VPN使用十分复杂,必须安装和维护客户端软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。另外,从远程通过IPSec 通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。
SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN是基于应用层的VPN,这就意味着在安全性上已经不仅局限在可以让数据安全过来,而且还关注这过来的数据究竟是什么内容。开启UTM网关上的VPN 功能,实现高强度(3DES、AES、SHA-1、MD5)的加密和认证,防止公网链路上的数据窃取和篡改。
对症下药可见功效
缩减采购环节
针对安全防御的整体框架,企业需要面对众多安全产品及方案的选择。所以,采购者必须具备博深的信息安全专业知识,以及了解各种不同产品的规格标准。其次,构建主动性防御网络实非易事。如今充斥在网络上的安全风险及恶意攻击的种类实在太多,企业若要购齐各种相应的解决方案,其所耗费的采购支出势必极其惊人,对于中小企业而言,更是不可能的任务。UTM设备不论在采购选择和费用上,优势十分明显。
摆脱部署困境
一个“全能型”的网管可谓是凤毛麟角,每个企业不可能都配备一个文武双全的勇士去应对安全管理。对一个普通的网络管理人员来说,安装1台设备绝对比安装2种以上的不同设备,来得简单且容易得多,更何况要面对网络和系统两个层面的所有安全产品部署问题。在部署的复杂度和成本上,绝对与产品的数量成正比,各种不同的安全软硬方案要协同运作谈何容易,若想进一步提升管理效益,企业内部势必需要培养一批具备专业素养的IT管理团队。在最为重要的部署和管理阶段,提供集中式管理接口的UTM设备,不但大大降低管理上的复杂度,进而发挥应有的管理效益。UTM设备在缩短部署时间,以及减少部署成本上都具备无与伦比的优势。
加倍呵护分支机构
企业随着业务规模扩大,就需要在不同的地域设立分支机构。对于这些企业的分支机构来说,利用高速宽带连接互联网,它们对互联网应用的需求不断提高。如何针对这些分支机构,建立起与总部同样完善的安全防御网络一直也是挠头的一件苦差。对于中小企业而言,由于经费有限,多半只购买防火墙等少数基本设施,因此常有顾此失彼之叹,而UTM设备则提供一次购足所有安全功能的优势,企业可以借此建立较完善的安全防御体系,一视同仁,消除“短板”效应。另外,在后续的维护环节上由于采用同样、单一的安全产品,一旦发生故障或遇上重大安全事件就可以把问题迅速反映到厂商那里,类似托管,却没有托管费用。