企業網所面臨的安全威脅,好像都讓賈CIO遇到了。病毒、黑客、間諜、漏洞一個不少,就拿混合威脅說吧,去年春節爆發的MyDoom病毒,讓賈CIO的郵件服務器癱瘓了2天。
MyDoom是種很厲害的病毒,會通過電子郵件以很快的速度傳播垃圾郵件,擠爆用戶郵箱,從而阻塞網絡。后經調查,它是利用全球數以百萬計的被感染計算機實施針對特定企業的DoS攻擊(拒絕服務攻擊)。據統計,在MyDoom發作的最初五天里,就已造成600億美元的損失。
作為集病毒和黑客攻擊行為于一身的混合威脅的代表,MyDoom只是先鋒,之后,賈CIO接連幾次遭到混合攻擊。由于這些攻擊以難于防范的攻擊途徑進行傳播,極不好對付,真是急煞了賈CIO。
后來,賈CIO看到一篇FBI的研究報告,上面分析說,多數攻擊是通過內部傳播和發起的(而不是通過外部發起的)。企業部署內部入侵檢測系統,并在多個部門網段部署監控器,再采用電子郵件防病毒系統,可以防止病毒的傳播。于是,賈CIO使用慣用的“頭痛醫頭,腳痛醫腳”的手法,將個人版防毒更換為網絡版防毒(包括郵件服務器防毒)。事情有所好轉。
好景不長,網絡帶寬又出問題了,帶寬捉襟見肘,使得訪問網絡的速度不斷下降,加之缺乏業務流優先級設定,致使網絡效率也急劇下滑。
賈CIO徹底地檢查了一下,發現網絡速度下降的原因是大量用戶在從事非生產性的網絡活動,如使用P2P應用、多媒體應用以及利用微軟MSN等進行語音或視頻通信。運行這類應用即損失了生產力,又為針對內部網絡的網絡攻擊打開了方便之門。
更讓賈CIO心急如焚的是,后院要起火。設在上海、廣州、成都等地分公司的工作人員經常訪問內網,或者外地出差員工在入咨以解決現有的軟件問題,也會為計算機帶來負面影響,可能它帶來的問題比所解決的問題還要多。
賈CIO幻想著一種神奇滅火器的出現,只需按下鍵鈕,就能把各處大火撲滅。
在網絡發展的初級階段,采用單一的、有針對性的安全解決方案,不失為有效的防范手段。隨著應用的廣泛和深入,面對愈演愈烈的混合型威脅,這些方案無法提供充分、及時和統一的保護,更不能解決生產力下降的問題。
UTM—神奇的滅火器
統一威脅管理(Unified Threat Management,UTM)就是這樣一種神奇滅火器。
UTM是由硬件、軟件和網絡技術組成的具有安全用途的設備,它提供防毒、防黑、防垃圾郵件等多項安全功能,并將它們集成在一個硬件設備里,構建了一個標準的統一管理平臺。
前2年,市場上就出現過一體化的安全產品,它與現在的UTM有所不同。
將安全一體化
以前的一體化安全產品大多是在第三代狀態檢測防火墻的基礎上集成其他安全功能而組成的。受到技術及性能的影響,這種產品很少集成網關防病毒和IPS功能,因為要做到掃描應用層數據來檢測病毒和入侵,對主處理器是一個挑戰,也是一個重負。
或者,即便包含了網關防病毒功能,也會為平衡性能與功能,而限制網關防病毒引擎掃描的協議種類。經過限制的一體化安全設備通常只支持POP3、SMTP、IMAP、HTTP和FTP這5種協議。而且,它們對同時掃描的文件數目和大小,都依硬件平臺的不同而有明顯的限制。
統一管理“威脅”
與單純的在防火墻中整合其他安全功能不同, UTM更看中的是“對設備和對威脅的管理”。實現UTM需要無縫集成多項安全技術,達到在不降低網絡應用性能的情況下,提供集成的網絡層和內容層的安全保護。
UTM 的特點是:能為用戶定制安全策略,提供靈活性;能讓用戶自選功能,既可使用UTM 的全部功能,又可酌情使用最需要的某一特定功能;能為用戶提供全面的管理、報告和日志平臺,可統一地管理全部安全特性,包括特征庫更新和日志報告等。
概括起來,UTM有如下一些優勢:
1.成本經濟
總體系統成本比缺乏安全性控制時所帶來的潛在損失低得多。有關人士做過一個估算:傳統百兆防火墻價格7~8萬元,如果加上防毒、防垃圾郵件等安全產品,總成本在30萬左右。而購買UTM產品,價格僅10萬元左右。
2.簡化系統
UTM設備大大降低了安全系統的復雜性,一體化的設計簡化了產品選擇、集成和支持服務的工作量,避免了軟件安裝和增加服務器的工作。安全服務商、產品經銷商甚至最終用戶通常能夠很容易的安裝和維護這些設備,而且支持遠程管理。
3.減少維護
由于工作量大、壓力也大,因此手工過程很容易出錯,為了保證安全性,簡便高效的管理操作是必需的。
UTM設備的維護量很小,它即插即用的,只需很少量的安裝配置操作。
4.遠程協同
不同功能必須完美配合,才可使安全檢測容易進行。通過集成所有關鍵的安全功能,并且提供簡化的管理,UTM解決了這些問題。
大多數UTM設備可以和高端軟件解決方案協同工作。UTM設備提供易安裝、可遠程管理的特性。這樣,安裝在遠程地點的很多硬件設備,在缺乏專業的安全管理人員的情況下,也可以很好的和大型集中式的軟件防火墻協同工作。
5.避免危險
由于應用的需求,用戶通常都傾向于嘗試各種操作,而UTM安全設備的“黑盒子”設計限制了用戶危險操作的可能,通過更少的操作過程,降低了誤操作隱患,從而提高了安全性。
圖1 Firebox Core
圖2 Firebox Peak
給賈CIO的選購建議
由此看來,賈CIO還是挺適合使用UTM設備的。
WatchGuard中國區總經理韓涌告訴用戶,由于UTM 設備能夠提供綜合的安全功能和高效的性能,降低了復雜度,也降低了成本,UTM設備非常適用于中小企業、服務提供商和大型企業部門級或分支機構的網絡環境。
目前,提供UTM設備的廠商越來越多,哪些廠商的產品得到市場和用戶的一興,不妨從銷售排名中尋找答案。
據知名調查公司統計,技術領先、排名靠前的有:Fortinet,以基于ASIC芯片加速防病毒的UTM設備,曾以29.5%的份額領先于全球UTM市場;Symantec,領先的軟件安全供應商,曾在2003年以2400萬美元的銷售額位居UTM市場前列;Secure Computing,從軟件廠商轉變為硬件設備的廠商,也曾以2280萬美元的銷售額排名第三; ServGate,綜合了全面的上下文檢測功能,曾在2003年占據9.5%的UTM市場份額;NetScreen (已被Juniper收購),曾在2003年占領了5%的UTM市場份額。
WatchGuard的UTM也不甘示弱。根據該調查公司的最新報道顯示,在2005年第二季度中等價位($1000到$5999)UTM市場上,WatchGuard銷售量排名第一。這次產品價位是根據產品實際的銷售價格而不是產品的報價來劃分的。WatchGuard的銷售量已超過了在2005年第一季度銷售量曾一度領先的Fortinet和SonicWall。
WatchGuard Firebox X系列(如圖1、2所示)非常適合賈CIO的應用環境。它集成防火墻、入侵檢測和防御以及防病毒于一體,并為應對變幻莫測的新型攻擊,新增了一些功能,可以幫助賈CIO應對前面遇到的問題。
比如,在Firebox X系列中,新增了SpamBlocker功能,它對賈CIO很有用,解決了賈CIO日益泛濫的垃圾郵件問題。它提供垃圾郵件過濾服務,通過與Commtouch合作,利用正在申請專利的循環檢測模式,簡便、實時的檢測垃圾郵件。根據測試,一封郵件發過來,只須300毫秒,即可判定它是否是垃圾郵件。而且準確率在97%以上。
Firebox X系列還增強了網關防毒和入侵防護功能,能夠幫助賈CIO有效抑制MyDoom類的混合式攻擊。該功能可實時地辨別并攔截可疑的網絡活動及惡意代碼,制止看似無害但試圖利用系統漏洞的危險流量,保護信息資產免受分侵害;同時,使用此功能還可防范間諜軟件、木馬程序、緩沖溢出、即時消息及點對點使用等形式的安全威脅和違反安全策略行為。
此外,Firebox X系列增強了管理和控制功能,這讓賈CIO再也不必為非生產性流量產生的帶寬不足問題而傷神。該功能可以管理企業員工接入Internet的行為,避免因生產力流失、網絡帶寬被占用、Internet騙局、惡意代碼及至法律責任等為企業造成的巨額經濟損失,并按照用戶或組別,提供更精細的Internet訪問管理。
值得一提的是,WatchGuard特別推出新版管理工具WSM,實現對大型、多設備及多客戶部署的集中化管理,用戶透過統一的管理平臺,可同時升級幾組Firebox X,快速檢查所有設備,以及為任何設備或服務提供監測與配置工具等。賈CIO采購這種管理工具,滅起“大火”來,方便多了。
挑戰伴行
UTM設備在管理上和功能的齊全性上有很強的優勢,但“物極必反”,UTM也面臨著由此帶來的新挑戰。一個是性能,那么多功能集成在一起,要達到更高的處理效率和更強健的防御能力,必須在算法、模式識別等方面進行創新設計,能否做到這一點,就看UTM提供商的研發實力了。
另一個是UTM自身安全問題。集成度高的安全設備一旦癱瘓,整個網絡將被暴露在危險之中。目前,蠕蟲病毒、黑客攻擊異常猖獗,無孔不入,UTM若有個意外,網絡系統瞬間必死無疑。可以采取傳統的雙機容錯式的保險方案,只是會增加一倍的成本。
