针对计算机系统的威胁出现已经有25年多了,但黑客仍在继续制造更为复杂的新威胁,并且不断为网络互连的企业带来巨大的破坏。20多年来,防火墙技术,以及最近的病毒检测和防护、加密和补丁管理等点状解决方案,对于防止计算机犯罪和保护企业信息资产起到了重要作用。然而,新兴的混合型攻击通过组合多种威胁方法加大了危害的严重性。在这种形势下,这些点式解决方案不能再提供充分的保护。事实上,随着保护层的复杂性增加,黑客也在寻求组合利用现有保护层的各种弱点和漏洞,因此防御新的威胁这一任务变得越来越具挑战性。
安全专家认为防火墙保护中只要存在一条脆弱链路就会影响到整个安全实施方案。因此,企业需要一种更为统一的威胁管理方法来保护自己的网络和商业用户免受混合型攻击的威胁。快速变化的安全性威胁形势促使统一威胁管理(UTM)成为安全设备市场中增长最快的领域。根据IDC的定义,UTM是指在单个硬件平台上整合了包括防火墙、防病毒以及入侵检测和防御在内的多种安全性功能的安全设备。业界分析师指出,近年来混合性(Blended)威胁快速增长,推动了对UTM所提供的灵活且高度集成的功能的需求。SonicWALL的统一威胁管理解决方案(UTM)提供了智能化程度最高的实时网络保护,可以帮助当今地理上高度分散的企业防止高级的应用层攻击以及基于内容的攻击。
多年来,对于任何安全实施方案来说,最基本也最重要的组件就是防火墙。自从1980年代早期防火墙被发明以来,防火墙有效地限制了可能为网络带来计算机病毒等威胁的非期望的外部网络互动。随着网络技术的发展,防火墙技术的防护能力也在不断提高。
现代网络的出现带来了基于以太网技术的局域网(LAN),而防火墙也暴露在新的安全性威胁-因特网蠕虫的面前。为对付这一新威胁,防火墙采用基于数据包的过滤技术,在网络的低层来分析网络流量。预先定义一组规则,确定哪些数据流允许通过,将每个数据包与预先定义的规则相对比。当第一个因特网浏览器出现时,企业可以实现全球范围内的连接。因此需要新一代防火墙技术来提供全面的防护,根据一个经过验证的网络会话表来验证每一个网络数据包。不久,防火墙扩展到数据包检测技术,同时允许验证数据包数据部分中出现的其它安全性项目,如用户口令和服务请求。
虚拟专用网络(VPN)和无线网络等技术允许用户进一步扩展企业网络,同时还使得用户不需要物理电缆连接即可访问因特网,因此这也为网络安全带来更大的挑战。尽管这些技术扩展了网络的应用,但同时也使得防火墙在攻击面前更为脆弱,病毒可以从多个地方突破防火墙的防护并带来严重的后果。尽管点状布署的安全解决方案技术也在不断发展,但由于防护不全面或者漏洞被利用而带来的累计危害和生产力损失已经高达数千亿甚至上万亿美元。
当今企业网络所面临的挑战
当前,企业和组织面对越来越复杂的病毒和恶意攻击,他们也采用了多种方法来应对,以期获得所希望的安全保护。新出现的混合威胁将数种独立的病毒结合起来,通过极度难以防犯的攻击渠道进行传播和实施攻击。最近最有名的混合威胁之一myDoom利用电子邮件做为其传播渠道,利用全球数以百万计的被感染计算机来实施针对特定企业的拒绝服务(DOS)攻击。据估计,仅仅在myDoom发作的最被五天时间里就带来600亿美元的损失。
除来来自混合型攻击的安全威胁以外,网络管理人员还面临网络带宽不够导致速度下降,缺乏业务流优先级而导致网络效率下降。许多情况下,网络速度下降都是由于网络中有太多的用户在从事非生产性的活动,如使用Napster、P2P应用、多媒体应用以及利用Yahoo Messenger等进行VOIP通信。运行此类应用即带来生产力损失,同时还为针对内部网络的网络攻击打开了方便之门。
为跟上网络发展步伐并解决网络威胁和生产力问题,企业购买并部署最好的点状解决方案,希望能够覆盖并对付所有潜在的威胁。IT经理利用点状解决方案来解决的问题之一就是保护网络免受内部攻击的威胁。根据FBI的研究,多数攻击是通过内部传播和发起的而不是通过外部发起的。企业部署内部入侵检测系统,在多个部门网段布署监控器,并采用电子邮件防病毒系统,以期防止病毒的传播。IT管理员还必须关心来自远程或分布式环境的威胁,例如当员工在旅馆、星巴克咖啡馆或国外旅行时,如果他们启动VPN客户端,那么网络威胁就有可能通过这些点进入企业网络。为消除这一威胁,企业为远程客户部署独立的VPN解决方案,将这些流量与企业网络相对隔离开。
为了应对无线网络安全性问题,企业采用独立无线网络的方法将内部网络与无线网相对隔离开来,同时通过实施内容过滤解决方案来降低对生产力的影响,同时避免间谍软件的骚扰。为了减少网络垃圾(如垃圾邮件)的骚扰,企业采用防垃圾解决方案,同时采用防火墙解决方案通过关闭端口的方式来减少病毒的入侵。最后,IT经理还要不断为服务器、工作站、路由器、交换机以及防火墙本身打补丁。尽管补丁可以解决现有软件的问题,补丁会为计算机带来负面的影响或者会引入旧的程序,因此有时带来的问题会比解决的问题还要多。
尽管点状解决方案在过去是有效的,但越来越多的证据表明,这些解决方案无法针对目前的威胁提供充分、及时和统一的保护。这些广泛传播的病毒不仅会消耗现代企业大量(并且不确定)的资金,同时还会导致生产力下降,需要IT管理人员花费大量时间进行管理。点状安全性解决方案确实无法针对这些复杂的威胁提供充分的保护,也无法解决生产力降低问题。
统一威胁管理 - 为网络提供高级安全性保证
现在,企业和组织寻求的是一种统一的集成式网络安全性解决方法 – 在单个单元内实现所有这些分立安全技术和生产力保证技术。这也就是统一威胁管理(UTM)。UTM是防火墙安全设备市场的新兴发展趋势。传统防火墙产品演化为这样一种产品:不仅能够防止入侵,还可以完成过去需要多个系统才能够完成的内容过滤、垃圾过滤、入侵检测和防病毒功能。
UTM是信息资产保护解决方案自然的融合和最新发展。结合技术的整合和封装的进展,UTM及时响应了二十一世纪保护信息资产所面临的巨大挑战。有效的统一威胁管理应当:
· 成本经济 - 总体系统成本必须比缺乏安全性控制时所带来的潜在损失低得多。
· 协调性 - 总体安全性必须考虑到组织之间和技术之间的协调。
· 简便高效的管理 - 由于工作量大、压力也大,因此手工过程很容易出错,因此为了保证安全性,简便高效的管理操作是必需的。
· 互操作性 - 不同技术单元之间必须完美配合,否则事件检测(或决策)将会非常困难。
通过集成所有关键信息和安全性功能,并且提供简化的管理,UTM解决了所有这些问题。高效整合的UTM解决方案可以大大降低企业安全计划的成本并提高其可靠性。
SonicWALL UTM解决方案
SonicWALL完全UTM解决方案针对复杂的应用层和基于内容的攻击提供了智能化程度最高的实时网络保护。结合网关防病毒、防间谍软件和入侵防御服务(IPS),这一解决方案处理多种威胁进入点并对所有网络层进行彻底扫描,从而可以同时防御并清除内部和外部威胁。利用高性能深度数据包检测引擎扫描多种应用类型和协议并利用全面的签名数据库对文件进行匹配,SonicWALL直接在安全网关上实现了威胁保护。
许多点状解决方案企业采用了一种称为状态数据包检测(stateful packet inspection)的防火墙架构。这种架构主要在网络层判断数据包是否是真正用户所请求的以及是否应当被允许进入网络。这种方法可以灵活地有选择地控制源于外部网络的访问,但相对来说,对于内部传输则没有限制。考虑到许多病毒实际上经常通过组织内的电子邮件服务传播,因此很明显许多威胁将会绕过状态数据包检测这一级的保护。
SonicWALL采用了称为深度数据包检测(DPI)的全面方法。这种方法将下载、电子邮件传输以及压缩的文档与全面且连续更新的签名数据库进行比较和匹配。SonicALERT小组和第三方共同开发数据库签名,可以实时扫描检测并阻止伪装可执行代码和宏病毒文件。
利用DPI技术,SonicWALL可以在应用层对信息进行检查,从而防止针对应用漏洞的攻击。这一DPI引擎可以扫描多种应用类型和协议,包括SMTP、POP3、IMAP、 FTP、 HTTP、NetBIOS、数十种其它流式协议以及50多种IDP应用。SonicWALL引擎可以扫描所有网络层,包括链路层、IP层、TCP/UDP、静态端口(Static Port)、动态端口(Dynamic Port)以及应用层。因此企业远程站点网关、内部网络、文件下载、服务器以及桌面都受到全面的保护。做为更多一层安全性,SonicWALL还从应用层来防止内部和外部威胁。
SonicWALL UTM提供的基本报告功能允许IT管理人员进行连续监控并改进其网络安全方案的有效性。实时和历史报告使管理人员可以迅速觉察网络安全状态,帮助他们确定可疑的活动、评估风险、了解员工行为,并预测未来的带宽需求。SonicWALL ViewPoint可以提供更为全面的报告,对网络事件和活动提供了全方位360º的详细报告。
并非所有UTM解决方案都一样
显然,企业无法利用现有的状态数据包解决方案有效地保护网络免受混合威胁的侵害。事实上,状态数据包检测防火墙仅能够检测通过防火墙的总流量的约2%,而UTM解决方案则对流经防火墙的流量进行100%的深度数据包检测。然而,即使是支持DPI的UTM解决方案也并非全都一样有效。例如,同样声称是UTM,还要区分“有限”DPI还是“全面”DPI。就其全面性来说,SonicWALL的技术是无与伦比的。SonicWALL的技术可以处理网络上的所有用户,扫描内部网络上所有数据包流量,并且可以处理任意大小的数据包或文件。SonicWALL的全面DPI能力为当今不断扩展的网络提供了终极保护、高可扩展性和高性能。
此外,许多UTM解决方案在文件扫描时需要文件缓存,在更新过程中需要重新启动,这些都降低了防火墙的总体性能。但SonicWALL并不需要这样。事实上,SonicWALL的独特技术使其能够处理的文件大小无限制,并且能够处理成千上万的并发下载,从而为不断发展的网络提供终极可扩展能力和性能。SonicWALL避免了在签名更新后进行重新启动,因此可以提供连续的保护,不会影响生产力。
使企业网络适应未来需求
全球范围内,每天都有新的病毒和间谍软件感染企业计算环境。有些还可以在数小时内迅速传输,并感染不同规模的网络和所有计算机。随着这些攻击变化更快并且更为充满恶意,企业被迫寻求能够保护自己的统一威胁管理解决方案,并且要求统一威胁解决方案不仅能够抵御目前的威胁,并且还可以防范新兴的以及未来的威胁。
与其它UTM解决方案不同,SonicWALL UTM的设计宗旨就是要能够对付新的威胁。做为连续工作的安全告警设备,SonicWALL UTM不断更新,能够保护网络免受最新威胁的影响,无论这些威胁是来自菲律宾、中国,还是防火墙以内。其更新完全不需要用户的干预。
通过在网关处就阻止间谍软件的安装以及切断现有后台或木马程序传输机密数据的后台通信,SonicWALL UTM可以防止恶意的新型攻击(如间谍软件)感染网络。作为一款适应能力强大的安全设备,它即可以满足当前的需要,也可以满足未来的需要。
可观的投资回报(ROI)
SonicWALL UTM的设计目标就是同时降低防止威胁和保证安全性方面的管理成本。采用集成的安全性解决方案,管理人员可以充分依靠SonicWALL安全专家小组,他们持续为成本经济的UTM安全设备开发新的保护技术。这大大降低了管理成本并可以提供更好的投资回报,同时由于计算机不再由于攻击或威胁的影响而停工、网络速度也不会由于不适当的应用或流量而大幅下降,生产力也会大幅增加。SonicWALL UTM减轻了源于网络的这些压力和挑战。
从最小规模到最大规模的所有企业和机构来都用得起SonicWALL的解决方案,从而可在任何地方都能够拥有最安全的网络。
总结
从上世纪80年代初防火墙发明以来,计算机网络安全性解决方案的发展已经有很长时间了。但是,面对企业信息资产所面临的大量攻击和威胁,安全性变得前所未有地重要。现有点状解决方案在保护企业网络方面一度相当有效,但现在做为独立的保护层却已经不能满足需要。今天,企业需要高效的分布式保护解决方案,以应对信息网络所面临的大量复杂威胁,也就是说,他们需要统一威胁管理。
SonicWALL UTM采用了高度可扩展的不需重新组装的深度数据包检测架构,这一深度数据包检测和统一威胁管理架构可以高效检测和防止病毒、蠕虫、木马、间谍软件和新兴的VoIP业务威胁,并直接在安全网关上提供威胁保护。
SonicWALL公司的架构可以保证持续的更新。签名编写小组全天候工作,及时推出针对Microsoft Windows、Sun和其它平台上所出现的最新漏洞的保护方法。SonicWALL UTM保证在企业网络的任何地点,无论是大型企业站点、小型远程站点、远程办公员工还是分支机构站点,不需要任何用户干预就可以提供针对当今最新威胁的全面保护。SonicWALL UTM为所有用户提供全面的支持,无论用户是在企业站点还是在网络区域之间。同时,能够通过网关的文件大小没有限制。因此为用户提供了最大程度的保护。
SonicWALL公司创造性地将创新技术、高性能、经济的成本和可靠性结合在一起。正是这一点使我们在Interop Tokyo 2005这一电信和网络技术领域的著名论坛上获得了网络安全类大奖。因此,毫不令人奇怪的是SonicWALL公司的UTM解决方案在业界处于全球领先地位,帮助企业击退网络攻击、通过单个管理界面简化网络管理,并降低网络安全解决方案的总体拥有成本。