主動面對更迅速的混合式攻擊
眾所周知，目前網(wǎng)絡(luò)安全防范的主要難點，其一在于攻擊的“快速性”:漏洞從被發(fā)現(xiàn)到受到第一波攻擊，可能只有一天的時間;病毒從某一臺電腦到感染全球，也許只需要幾個小時。這一切都讓被動式防御變得越來越被動，越來越力不從心;其二，安全威脅越來越趨向于“復(fù)合性”:這種復(fù)合性包含了攻擊手段和傳播途徑兩個層面，一方面，我們面對的是包括了病毒、木馬、釣魚、間諜軟件、黑客、內(nèi)部攻擊在內(nèi)的安全威脅，另一方面，這些威脅感染網(wǎng)絡(luò)的途徑也多種多樣，包括郵件、網(wǎng)絡(luò)資源共享、P2P、即時消息……等等。我們需要更先進、更全面化的主動防御技術(shù)和產(chǎn)品，才能在攻擊面前泰然自若。
以防火墻、防病毒軟件和IDS為首的安全產(chǎn)品中，越來越多地體現(xiàn)出了主動防御的特性，從而給用戶帶來了越來越多的信心。
安全威脅愈演愈烈，而且入侵手段也越來越隱蔽、狡猾、快速。相應(yīng)的，安全產(chǎn)品也在不斷“進化”，不斷完善自己，發(fā)展出應(yīng)對安全威脅的更好的方法。在相互較量的過程中，網(wǎng)絡(luò)安全產(chǎn)品需要變被動防御為主動出擊，以一種更積極的姿態(tài)去化解安全危機。
像防病毒軟件、防火墻、反垃圾郵件、反間諜軟件、入侵檢測系統(tǒng)(IDS)、SSL VPN、統(tǒng)一威脅管理(UTM)等產(chǎn)品都已經(jīng)找到了自己演進的方向，并正在付諸行動。
防病毒軟件:主動防御依靠行為識別技術(shù)
防毒關(guān)鍵在于主動
人們長期以來對于計算機病毒只能被動防御的局面必須要改變，才能真正確保網(wǎng)絡(luò)的安全。趨勢科技(中國)有限公司資深技術(shù)顧問齊軍認(rèn)為，對于企業(yè)來說，面臨的最大問題是基于簽名的識別技術(shù)不能有效防御新病毒，比如蠕蟲和特洛伊木馬。企業(yè)要想有效地制止攻擊，行為識別是首選的解決方案。
軟件采用行為識別和特征識別技術(shù)，可非常高效的實現(xiàn)對計算機病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現(xiàn)有產(chǎn)品或系統(tǒng)以被動防御為主、識別未知攻擊行為能力弱的缺陷。基于行為的反防毒保護并不依靠一對一的簽名校對來實現(xiàn)惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發(fā)現(xiàn)可能的惡性軟件。采用這一技術(shù)的優(yōu)勢在于:該技術(shù)可識別未知的病毒，以抵御“零日”攻擊。
隨著其他設(shè)備的網(wǎng)絡(luò)化，比如打印機與復(fù)印機，或者IP語音硬件日益普及，它們也成了攻擊目標(biāo)，或者成為新的攻擊手段。這些攻擊類型在未來一兩年內(nèi)將變得司空見慣。特別是隨著像PDA以及智能手機之類網(wǎng)絡(luò)電子產(chǎn)品的普及，今后的反病毒技術(shù)必將從現(xiàn)有的基于簽名的技術(shù)，轉(zhuǎn)向下一代基于行為的策略。
行為識別技術(shù)暫時不能商業(yè)化
可以說由簽名識別技術(shù)轉(zhuǎn)移到行為識別技術(shù)，是大勢所趨。但是，目前的事實是，行為識別技術(shù)暫時還沒有走向商業(yè)化。趨勢科技進行了多次市場評估，得出的結(jié)論是:1. 由于簽名識別技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用已經(jīng)很成熟，因此，不可能一下就停用。用戶接納行為識別技術(shù)需要一個過程。2.目前，行為識別技術(shù)還不是十分完善，存在一定的弊端。例如，誤報率容易對用戶產(chǎn)生不良影響、性能消耗大、目前流行配置的PC難以承受，這也是它目前不能走向商業(yè)化的一個重要原因。
兩種技術(shù)并用
綜合各方面因素，反病毒軟件在接下來的2-4年將會更多地走向簽名識別技術(shù)和行為識別技術(shù)并用的時代。目前，已經(jīng)有越來越多的廠商投入到行為識別技術(shù)的研究當(dāng)中，并相繼推出了新產(chǎn)品。安全專家表示，這兩種技術(shù)的結(jié)合接下來還會有更大的突破。
反垃圾郵件產(chǎn)品:行為判別技術(shù)成新方向
國內(nèi)外主要的反垃圾郵件系統(tǒng)，普遍采用的是關(guān)鍵字內(nèi)容過濾技術(shù)，采取“截獲樣本，解析特征，生成規(guī)則，規(guī)則下發(fā)，內(nèi)容過濾” 這種類似傳統(tǒng)殺病毒系統(tǒng)的原理，而這種技術(shù)存在著許多難以克服的問題:
◆垃圾郵件內(nèi)容變化快，數(shù)量遠(yuǎn)遠(yuǎn)大于病毒，任何一家安全公司都很難保證樣本采集的數(shù)量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性;
◆必須比對完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導(dǎo)致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時，可能導(dǎo)致系統(tǒng)崩潰;
◆依賴關(guān)鍵字規(guī)則判別垃圾郵件，導(dǎo)致誤判率較高，垃圾郵件識別準(zhǔn)確性低，效果差;
◆系統(tǒng)自維護能力差，管理員維護大量規(guī)則庫，工作量大;
◆信件必須接收完整才能進行內(nèi)容過濾，導(dǎo)致國際網(wǎng)絡(luò)流量費用高;
◆通過拆信檢查內(nèi)容的方式進行反垃圾郵件，侵犯了公民電子郵件通信自由權(quán)和隱私權(quán)，這種內(nèi)容過濾技術(shù)將受到廣泛的法律質(zhì)疑。
傳統(tǒng)反垃圾郵件技術(shù)，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲資源，垃圾郵件的發(fā)送仍處于非受控狀態(tài)。
要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達(dá)到電信級的網(wǎng)關(guān)處理速度。
行為模式識別模型包含了郵件發(fā)送過程中的各類行為要素，例如:時間、頻度、發(fā)送IP、協(xié)議聲明特征、發(fā)送指紋等。在統(tǒng)計分析中，可以發(fā)現(xiàn)在行為特征上，垃圾郵件與正常郵件具有極高的區(qū)分度，且不論內(nèi)容如何均相對為固有特征，特別是對大量的采用動態(tài)IP發(fā)送的郵件更是如此。垃圾郵件行為模式識別模型在理論計算上有著較高的垃圾郵件區(qū)分度(>90%)，在實證分析中也暗合“小偷的行為心理異于常人”的道理，經(jīng)得起邏輯和哲學(xué)理論的推敲。
采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準(zhǔn)確率，而且不需要對信件的全部內(nèi)容進行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎(chǔ)。
此外，采用垃圾郵件行為模式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。也就是說迫使郵件發(fā)送者只能從正常渠道，以正常方式發(fā)送郵件，從而使得郵件的發(fā)送處于受控狀態(tài)。
垃圾郵件行為模式識別模型是完全不同其他郵件過濾技術(shù)或算法的技術(shù)，雖說依然是站在巨人的肩膀上，但通過推出這種行為識別技術(shù)，可以說是將目前的郵件過濾技術(shù)帶入到下一代的技術(shù)革新中。相信不久的將來，在全球的郵件過濾器上都會應(yīng)用到行為識別技術(shù)
防火墻:多種技術(shù)齊頭并進
作為網(wǎng)絡(luò)安全領(lǐng)域的旗艦產(chǎn)品，防火墻發(fā)揮了重要的網(wǎng)絡(luò)保護作用。但是隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，對于各種網(wǎng)絡(luò)危機的防范，傳統(tǒng)的狀態(tài)檢測防火墻顯得捉襟見肘。需求產(chǎn)生新的市場，市場促進技術(shù)發(fā)展，這個規(guī)則在網(wǎng)絡(luò)安全領(lǐng)域同樣有效。目前的防火墻已經(jīng)不僅僅只是進行狀態(tài)檢測，還提供了更多的安全功能，從各個方面對網(wǎng)絡(luò)安全威脅進行防護，主動擴大戰(zhàn)線。
新一代NP技術(shù)
用CPU、ASIC還是NP，一直是大家不斷爭論的一個問題，其實這個問題非常簡單。在能達(dá)到同樣性能的情況下，優(yōu)選CPU，其次是NP，然后是ASIC。目前很多廠商使用CPU+特定業(yè)務(wù)ASIC來實現(xiàn)高速處理，這是比較常見的方式。在性能不能解決的情況下，選擇NP是必然的做法。但不管是IBM，還是Intel的NP，一個主要問題是開發(fā)成本太高，微碼的開發(fā)難度和進度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應(yīng)速度都是很大的問題。這兩年推出的新一代網(wǎng)絡(luò)業(yè)務(wù)NP，通過直接集成多個通用CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業(yè)務(wù)數(shù)據(jù)。新一代NP直接支持C語言和標(biāo)準(zhǔn)協(xié)議棧，性能高達(dá)10G，是期望中的業(yè)務(wù)網(wǎng)關(guān)處理芯片。使用新一代NP技術(shù)的防火墻將會獲得性能和功能上兩全的保障。
防火墻深包檢測
防火墻最初的功能就是進行訪問控制、狀態(tài)檢測，以及地址轉(zhuǎn)換功能。通過對報文網(wǎng)絡(luò)層信息的檢測，來實現(xiàn)在網(wǎng)絡(luò)層上對報文的控制。比如，哪些用戶可以訪問哪些地址(訪問控制)，哪些流量可以從外網(wǎng)進入內(nèi)網(wǎng)(狀態(tài)檢測)，如何隱藏內(nèi)部網(wǎng)絡(luò)的地址(地址轉(zhuǎn)換)。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，高層協(xié)議得到越來越多的應(yīng)用，互聯(lián)網(wǎng)也從多種協(xié)議并駕齊驅(qū)發(fā)展成少數(shù)應(yīng)用協(xié)議成為主流。而針對這些協(xié)議，用戶需要進行控制。比如，需要控制用戶不能訪問非法網(wǎng)址，帶有惡意信息的報文不能進入內(nèi)網(wǎng)。而這些功能，僅僅依靠傳統(tǒng)防火墻技術(shù)實現(xiàn)的對網(wǎng)絡(luò)層信息進行檢查和判斷，是不能實現(xiàn)的，需要檢查報文中的更深層次的內(nèi)容，于是發(fā)展出了深度檢測技術(shù)。深度檢測可以檢測報文中的內(nèi)容信息，從而實現(xiàn)URL過濾、FTP命令過濾、網(wǎng)頁中ActiveX控件過濾等功能，達(dá)到控制應(yīng)用內(nèi)容的目的。集成深包檢測的防火墻將會越來越多。通過深包檢測對內(nèi)容進行控制，而不僅僅是對網(wǎng)絡(luò)層信息進行控制，使防火墻對智能攻擊有了主動防護能力。
應(yīng)用狀態(tài)檢測
安全領(lǐng)域中長期依賴、發(fā)揮最大作用的無非是狀態(tài)防火墻，通過協(xié)議狀態(tài)檢測技術(shù)實現(xiàn)數(shù)據(jù)訪問單向流動，從而有效的保護內(nèi)部網(wǎng)絡(luò)不受攻擊。而對服務(wù)器，采取暴露端口的形式。隨著應(yīng)用的增多和對安全性要求的提高，對這種開放端口的服務(wù)器同樣需要保護，在網(wǎng)絡(luò)層狀態(tài)檢查的基礎(chǔ)上需要擴展到應(yīng)用層的狀態(tài)檢查，從而對暴露在網(wǎng)絡(luò)中的服務(wù)器進行保護。這種趨勢會產(chǎn)生一系列的應(yīng)用層安全網(wǎng)關(guān)，比如Web安全網(wǎng)關(guān)、語音安全網(wǎng)關(guān)等專用協(xié)議網(wǎng)關(guān)。當(dāng)然，其網(wǎng)絡(luò)位置不必是整個網(wǎng)絡(luò)的出口，只要在保護資源的通路上即可。目前的專有過濾網(wǎng)關(guān)就是這一趨勢的一個表現(xiàn)。這種技術(shù)在具體產(chǎn)品形態(tài)上表現(xiàn)為:防垃圾郵件網(wǎng)關(guān)——針對目前網(wǎng)絡(luò)垃圾郵件泛濫的產(chǎn)品;應(yīng)用防火墻——專門保護應(yīng)用層安全的防火墻，其中的代表是Web應(yīng)用防火墻。
安全技術(shù)融合
傳統(tǒng)的網(wǎng)絡(luò)層安全技術(shù)，如NAT、狀態(tài)防火墻、VPN將不再作為專有設(shè)備，網(wǎng)絡(luò)中路由器、交換機性能的提升和硬件構(gòu)架的換代將直接提供網(wǎng)絡(luò)層的安全功能，傳統(tǒng)意義上的防火墻功能可以集成在路由器中。而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機的位置。安全廠商或許會變化成網(wǎng)絡(luò)設(shè)備廠商，網(wǎng)絡(luò)設(shè)備廠商也能變?yōu)榘踩珡S商，而由于積累的不同，網(wǎng)絡(luò)設(shè)備廠商具有更大的優(yōu)勢。比如，現(xiàn)在的交換機成本和以前的Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業(yè)務(wù)特性，將來會直接把安全延伸到整個內(nèi)部網(wǎng)絡(luò)，徹底解決目前的內(nèi)網(wǎng)安全問題。那么，傳統(tǒng)的安全廠商如何發(fā)展?1、把自己融合進網(wǎng)絡(luò)設(shè)備廠商。2、向安全的新領(lǐng)域—業(yè)務(wù)安全(而不是網(wǎng)絡(luò)安全)進軍。3、組建安全聯(lián)盟，形成一個大的安全體系，自己成為其中一個基石。
VPN功能集成
從廠商的角度來說，希望一個環(huán)境中既使用VPN設(shè)備，又使用防火墻。但是，由于VPN設(shè)備對數(shù)據(jù)的隧道封裝會導(dǎo)致防火墻設(shè)備上對VPN數(shù)據(jù)檢測出現(xiàn)失準(zhǔn)的現(xiàn)象，而同時維護兩套配置策略也是沒有必要的。為了減少重復(fù)處理，降低維護工作，提高防火墻的防護范圍，直接在防火墻上集成VPN功能是非常有效的方法。如IPSec VPN、SSL VPN、L2TP VPN直接通過防火墻來支持，應(yīng)用效果提高，而且降低了用戶的投入成本。
防火墻技術(shù)在新的挑戰(zhàn)下會繼續(xù)向前發(fā)展，提供越來越多的智能和主動防御功能。防火墻中各個功能的協(xié)調(diào)工作，以及和網(wǎng)絡(luò)中其他硬件、軟件組件的配合聯(lián)動，才能達(dá)到真正意義上的智能安全和主動防御。而這些，都需要安全廠商不斷的創(chuàng)新。
反間諜軟件:摸索中前行
與其他網(wǎng)絡(luò)安全產(chǎn)品相比，反間諜軟件可謂后起之秀，但它卻是今年最耀眼的產(chǎn)品之一。
對付間諜軟件，第一個任務(wù)就是要有一個清晰的標(biāo)準(zhǔn)來定義它，并以此作為準(zhǔn)繩進行判斷和查殺。但難點恰巧是這個標(biāo)準(zhǔn)很難定義。通常情況下我們可以這樣定義:任何在計算機用戶不知不覺的情況下，秘密搜集使用者的相關(guān)信息，并將其發(fā)給幕后操縱者的軟件都可以稱之為間諜軟件，但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能，這使得界定起來非常困難。
有的人認(rèn)為，可以通過傳送信息的最終結(jié)果是否帶有惡意來進行判定，但實際上，是否具有“惡意”，人類能夠通過智力和直覺來判斷，但要沒有意識的計算機軟件來進行區(qū)分，卻難以實現(xiàn)。
由于缺乏統(tǒng)一的標(biāo)準(zhǔn)，不同的廠家都有不同的方式，像賽門鐵克所采取的“風(fēng)險影響模型”，就是綜合多種行為因素，包括能否讓用戶自由選擇刪除等，來判定是不是間諜軟件。
反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應(yīng)機制，來跟蹤新的間諜軟件風(fēng)險，并及時提供隨威脅變化而變化的升級版本。雖然惡意軟件與傳統(tǒng)病毒存在區(qū)別，但是防范它們的目標(biāo)是相同的，即保護客戶電腦不受有害軟件的侵?jǐn)_。
由于防病毒廠商能夠迅速探測到全球爆發(fā)的威脅，在第一時間內(nèi)發(fā)布計算機防護和恢復(fù)的安全更新，并且能夠集中管理已部署解決方案，因此面對不斷增長的間諜軟件風(fēng)險，防病毒廠商在提供長期全面解決方案方面擁有無可比擬的優(yōu)勢。
一款好的反間諜軟件工具，要給用戶提供實時的保護。不僅應(yīng)該能夠檢測盡可能多的間諜軟件，毫無殘留地消除“間諜”在系統(tǒng)每一個角落中留下的殘渣余孽，避免死灰復(fù)燃，還應(yīng)該安裝和部署簡便，可以方便地升級間諜軟件特征表。好的反間諜工具應(yīng)該提供迅捷明了的狀態(tài)顯示報告，可以讓用戶及時了解間諜軟件給公司造成多大的損害，最大的風(fēng)險和威脅在哪里。當(dāng)然，在企業(yè)中，一個方便管理的中央控制臺也是必不可少的。反間諜軟件可見的發(fā)展趨勢和防病毒軟件類似，也是依靠行為識別技術(shù)實現(xiàn)主動防御。
目前，“從什么位置阻擋間諜軟件是最有效的”這個問題還有爭論。有的廠商認(rèn)為應(yīng)當(dāng)從桌面阻止，因為移動技術(shù)在企業(yè)內(nèi)的大量應(yīng)用，使得越來越多的計算設(shè)備脫離了由網(wǎng)關(guān)所劃定的安全疆域，如果用戶在網(wǎng)關(guān)的保護之外感染了間諜軟件，然后又再次接入網(wǎng)絡(luò)，這臺機器本身就成了協(xié)助“間諜”潛入的跳板。所以，先要保證每一個“內(nèi)部成員”的可靠性。
而另外一部分廠商則認(rèn)為，桌面工具始終是被動防線，“更好的”間諜軟件總會突破這道防線。因此，應(yīng)該在網(wǎng)關(guān)處采取防護措施。
當(dāng)然，如果資金足夠，企業(yè)應(yīng)該采取多層次的防護措施來阻止間諜軟件，這樣才能收到理想的效果。
IDS:強調(diào)可用性
“IDS會被IPS取代”、 “IDS要和防火墻聯(lián)動”……這兩年來，市場上關(guān)于IDS的技術(shù)觀點層出不窮。但是，這些概念更多地是在炒作。
長期以來，IDS的“漏報”和“誤報”問題一直困擾著用戶。加強攻擊檢測是減少“漏報”和“誤報”現(xiàn)象的首要手段。過去，攻擊檢測是IDS的全部。而今天，它只是IDS的一個重要方面。IDS要實現(xiàn)全面關(guān)注網(wǎng)絡(luò)健康，還應(yīng)該能夠做到幫助用戶對檢測內(nèi)容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。
在某些IDS產(chǎn)品中已經(jīng)新增加了內(nèi)容恢復(fù)和應(yīng)用審計功能，能針對常用的多種應(yīng)用協(xié)議，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等進行內(nèi)容恢復(fù)，能完全真實地記錄通信的全部過程與內(nèi)容，并將其進行回放。此功能對于了解攻擊者的攻擊過程、監(jiān)控內(nèi)部網(wǎng)絡(luò)中的用戶是否濫用網(wǎng)絡(luò)資源、發(fā)現(xiàn)未知的攻擊具有重要和積極的作用。例如，在恢復(fù)HTTP的通信內(nèi)容時，可恢復(fù)出其中的文本與圖形等信息;而應(yīng)用內(nèi)容的審計則可發(fā)現(xiàn)內(nèi)部的攻擊，了解哪些人員查看了不該查看的內(nèi)容。
此外，實時監(jiān)測網(wǎng)絡(luò)流量并及時發(fā)現(xiàn)攻擊行為，亦是IDS的一項基本特征。現(xiàn)在的IDS產(chǎn)品增加了對網(wǎng)絡(luò)實時監(jiān)控和診斷功能，尤其是增加了掃描器，能對全網(wǎng)絡(luò)進行主動掃描，實時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，并給出詳細(xì)的檢測報告。
這種在審計和監(jiān)控等多項功能上得到加強的IDS已經(jīng)超越了傳統(tǒng)意義上的IDS，是適用于用戶需求、保護用戶網(wǎng)絡(luò)健康的新型IDS。
IPS:御敵于網(wǎng)外
入侵防護系統(tǒng)(IPS)的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊。真正的入侵防護解決方案，可使企業(yè)不必進行分析即可采取措施保護系統(tǒng)。同時，它可防止攻擊對操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)造成損壞。一個理想的入侵防護解決方案應(yīng)該包括以下8大特點:
1. 主動、實時預(yù)防攻擊。IPS解決方案應(yīng)該提供對攻擊的實時預(yù)防和分析。它應(yīng)該在任何未授權(quán)活動開始前找出攻擊，并防止它進入重要的服務(wù)器資源。
2. 補丁等待保護。補丁管理是一個復(fù)雜的過程。在補丁被開發(fā)和安裝之間，黑客會對服務(wù)器和重要數(shù)據(jù)造成破壞，入侵防護解決方案需要為系統(tǒng)管理員提供補丁等待期內(nèi)的保護和足夠的時間，以測試并安裝補丁。
3. 保護每個重要的服務(wù)器。服務(wù)器中有最敏感的企業(yè)數(shù)據(jù)，是大多數(shù)黑客攻擊的主要目標(biāo)。所以，擁有專門為保護服務(wù)器定制的入侵防護解決方案十分重要。
4. 簽名和行為規(guī)則。檢測入侵最有效的方法是采取混合方式，即整合針對具體攻擊的簽名和行為規(guī)則的力量。這一混合方式可提供已知和未知攻擊保護，而同時將誤報率保持在最低，從而無須做出任何損失性讓步。
5. 深層防護。強大的安全都是基于深度防御的概念，可進行深層防護。
6. 可管理性。理想的入侵防護解決方案可使安全設(shè)置和政策被各種應(yīng)用程序、用戶組和代理程序利用，從而降低安裝并維護大型安全產(chǎn)品的成本。
7. 可擴展性。企業(yè)級入侵防護解決方案必須可升級，以滿足企業(yè)不斷發(fā)展的需求，而同時保持高水平的安全。可擴展性體現(xiàn)在可支持眾多受保護的服務(wù)器、支持大流量和支持分散型安全管理，以滿足大型分散式企業(yè)的需求。
8. 經(jīng)驗證的防護技術(shù)。企業(yè)要確認(rèn)所選擇的IPS解決方案是否采用了業(yè)界先進的新技術(shù)，是否經(jīng)過充分測試、使用，并在受到持續(xù)不斷地維護，這一點很重要。
SSL VPN:越走越寬的安全大道
在VPN領(lǐng)域，SSL VPN無疑是個新貴。總體來看，SSL VPN還沒有達(dá)到廠商們期望的大規(guī)模應(yīng)用，然而種種跡象表明，SSL VPN的前景看好。
一份最近的研究表明，近90%的企業(yè)利用VPN進行的內(nèi)部網(wǎng)和外部網(wǎng)的連接都只是用來進行Internet訪問和電子郵件通信，而這些應(yīng)用都利用了一種更加簡單的VPN技術(shù)——SSL VPN。基于SSL協(xié)議的VPN遠(yuǎn)程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡(luò)配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開始利用基于SSL加密協(xié)議的遠(yuǎn)程訪問技術(shù)來實現(xiàn)VPN通信了。
SSL VPN的優(yōu)勢包括:
◆由于客戶端與SSL VPN網(wǎng)關(guān)之間實現(xiàn)高強度的加密信息傳輸，因此雖然信息傳輸是通過公網(wǎng)進行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù)，但是卻無法得到隱藏在其中的明文信息;
◆SSL VPN的訪問要經(jīng)過認(rèn)證和授權(quán)，充分保證用戶身份的合法性。如果請求連接的用戶沒有合法身份，則SSL VPN將拒絕其連接請求，從而限制了非法用戶對內(nèi)網(wǎng)的訪問;
◆SSL VPN方案實施起來非常簡單，只需要在企業(yè)的數(shù)據(jù)中心部署SSL VPN網(wǎng)關(guān)即可，無需在各分支機構(gòu)部署硬件或軟件設(shè)備。SSL VPN方案是無客戶端的VPN方案，客戶端只需要具備標(biāo)準(zhǔn)的瀏覽器即可。SSL VPN的管理工作屬于集中管理和集中維護模式，可以極大地降低管理和維護成本。
在去年的時候，SSL VPN的性能曾經(jīng)遭到過質(zhì)疑。在《網(wǎng)絡(luò)世界》評測實驗室組織的2005年度SSL VPN網(wǎng)關(guān)公開比較評測中，我們發(fā)現(xiàn)，性能已不是問題，SSL VPN完全可以滿足用戶在遠(yuǎn)程安全連接方面的需求。據(jù)我們了解，即便是最高端的用戶，也很少會分配高達(dá)100Mbps的帶寬給SSL VPN應(yīng)用，再加上Internet網(wǎng)速受多方面影響，因此，從實際吞吐量角度看，100Mbps是實際應(yīng)用環(huán)境的極限。而且VPN設(shè)備可以提供數(shù)據(jù)壓縮能力，即數(shù)據(jù)經(jīng)過壓縮后向外網(wǎng)發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。
UTM:性能功能兩手抓
統(tǒng)一威脅管理(UTM)是將企業(yè)防火墻、入侵檢測和防御以及防病毒結(jié)合于一體的設(shè)備。IDC極為看好UTM設(shè)備，并認(rèn)為UTM市場到2008年時，將占有整個信息安全市場的半壁江山，達(dá)到57.6%。
由于集成了多個功能，因此UTM的性能提升是一個發(fā)展方向，這取決于硬件技術(shù)的發(fā)展。除了性能之外，UTM的功能也在不斷的升級，以實現(xiàn)更主動的防御。比如SonicWALL的產(chǎn)品中就新加入了反間諜軟件，能夠封堵最新的聊天軟件Skype、BT、eMule等等。還有Fortinet的實時掃描技術(shù)在其產(chǎn)品中的應(yīng)用，使網(wǎng)絡(luò)防毒墻這一產(chǎn)品形態(tài)真正靠近了用戶需求。它集成狀態(tài)防火墻功能，并對報文進行流還原、深度檢查，從而在報文轉(zhuǎn)發(fā)過程中對網(wǎng)絡(luò)數(shù)據(jù)進行病毒掃描，實現(xiàn)病毒實時掃描的產(chǎn)品，解決了用戶對各個終端不能有效監(jiān)控的問題，至少對病毒的來源之一——網(wǎng)絡(luò)進行了有效的封堵，能解決用戶的實際問題。
UTM要想被用戶廣泛接受和認(rèn)可，還有一個重要的工作要做，那就是提高UTM的穩(wěn)定性和防范的有效性。因為各安全功能在同一個系統(tǒng)中工作，各功能之間需要保證完全的協(xié)調(diào)和穩(wěn)定。另外，UTM設(shè)備需要加強邏輯關(guān)系分析，提升關(guān)聯(lián)性。