防禦網路威脅UTM技術解密(圖示)

galdys發表於2011-09-01

摘要:UTM在問世之前,客戶不得不安裝多個功能單一的產品,以防止多種不同的威脅。同時,企業還煞費苦心地採用其他IT解決方案來管理這些平臺,這要求員工熟悉不同的介面、命令和特性。安全解決方案的混雜意味著耗費大量的前期購置和執行預算。那麼自從UTM橫空出世後,網路安全從各方面都有了比較大的變化,UTM方便了人們的生活,為人們上網生活提供了更加安全的環境。

UTM裝置非常適合運用於SMB或者分支機構的中型網路中,企業設立分支機構時,必需採購路由器、防火牆等裝置,許多大企業有一半以上的IT經費都花在分公司的資訊基礎建設裡,選擇UTM可以降低了網路的複雜度,也降低了客戶的建設成本。

UTM顯著特徵

1.深度檢測:使用者需要基於深度資料包檢測(DPI)的防火牆。基於狀態資料包檢測(SPI)的防火牆僅能夠處理來自網際網路威脅的2%(這一資料基於SPI防火牆所分析的資料包頭流量和DPI防火牆所處理的資料包淨荷流量之比)。

2.個體差異:所有的UTM防火牆並非都是一樣的,當然不同的深度資料包檢測防火牆也有所不同,有些就不能高效地處理大流量和大尺寸檔案。

3.動態更新:為使所採用的安全技術能夠滿足未來要求,必須採用動態保護。可動態連續更新的安全裝置正在成為事實上的行業標準。

4.高度整合:高度整合的裝置是關鍵。部署分離的裝置和技術也可以獲得某種形式的統一威脅管理(UTM),但在管理和維護方面的成本卻翻了幾翻,並且實施的成本也非常高昂。在當前的情況下,這種點式解決方案的成本高昂又難於管理。

新型的網路安全威脅使UTM(統一威脅管理)在網路應用安全領域獲得了高速增長的市場份額。根據IDC的定義,UTM是指能夠提供廣泛的網路保護的裝置,它在一個單一的硬體平臺下提供了以下的一些技術特徵:防火牆、防病毒、入侵檢測和防護功能。IDC的行業分析師們注意到,針對快速增長的混合型攻擊(基於網際網路的病毒已經開始在應用層發起攻擊),需要一種靈活的、整合各種功能的UTM裝置來防止這種攻擊的快速蔓延。

混合攻擊檢測技術

UTM中的防病毒除了引用傳統的病毒檢測技術外,還應該採用一些新的技術來提高病毒檢測的效率與效能,如採用流檢測的技術、混合攻擊的檢測技術和對未知病毒的檢測方法。

通常的黑客攻擊採取以下步驟:

1)判斷入侵物件的作業系統;

2)掃描埠,判斷開放了哪些服務(這兩步有可能同時進行);

3)根據作業系統和所開放的服務選擇入侵方法,通常有“溢位”和“弱口猜測”等方法;

4)獲得系統的最高權力;

5)安放後門等病毒、清除日誌等。

如今的病毒技術趨於複雜化與多樣化,有些病毒能完全模擬以上的黑客攻擊行為。所以如今的病毒不是單一的個體在戰鬥,而是一組在戰鬥,每一個個體有不同的功能與特性。它們包括埠掃描、漏洞掃描、漏洞利用、獲得許可權、種植木馬後門,蠕蟲病毒形成各種攻擊與危害等。這就是混合攻擊。

2.現狀

對於混合攻擊,單一的主機防毒軟體或者閘道器防毒軟體是不能有效解決問題的;尤其是對此類未知病毒的混合攻擊,更是無能為力。這是因為目前的防毒軟體基本上都是基於補丁式的升級方式,是滯後於病毒的。也許對於已知病毒的混合攻擊,桌面的或者閘道器的防毒牆還能有效地對付混合攻擊中真正起到病毒作用的那個個體,但對未知的病毒攻擊也只能望洋興嘆。

3.檢測技術

在對付混合攻擊時UTM可以採取以下的技術:

1)多層分解檢測技術

一個混合攻擊的病毒有多個模組比如埠掃描,漏洞掃描之類的,而UTM也有多個模組來分別應對,各個模組也各司其職,分別用來對付此類病毒的各個模組,對於混合攻擊的防範可以通過與IPS的結合來有效應對,所以UTM是檢測混合攻擊最有效的產品。

2)漏洞利用程式碼檢測技術

如今的病毒都喜歡利用漏洞來加以傳播,因此UTM的防毒技術模組除了採用傳統的檢測方法外,還應該根據漏洞利用程式碼的原理來檢測已知或未知的此類病毒或者混合攻擊。

UTM對企業的重要性

大企業能夠清楚地意識到各種安全威脅,並採用聘請安全專家的方式來幫助他們抵禦各種網路威脅。小型企業不可能花費很多人力、財力或時間來維護企業網路的安全。但是, 這並不意味著他們可以忽略安全威脅。統一威脅管理(Unified Threat Management,UTM)的出現,可以幫助中小企業解決這一問題。

UTM的應用是計算機網路的一場變革,我們應該很有效的利用這項技術保護自己的網路,但是許多小型企業所有者並不重視網路安全問題。他們認為公司規模小,市場地位無足輕重,因而黑客不會將這類網路作為攻擊目標。這種觀念是極其錯誤的。大企業能夠清楚地意識到各種安全威脅,並採用聘請安全專家的方式來幫助他們抵禦各種網路威脅。擁有大型網路的公司也通常擁有複雜的防火牆和入侵防禦系統,並且定期更新和維護這些系統。而小型企業不可能花費很多人力、財力或時間來維護企級網路的安全。但是,這並不意味著他們可以忽略安全威脅。

 

相關文章