隨著互聯(lián)網(wǎng)的發(fā)展以及寬帶接入的普及,網(wǎng)絡(luò)已經(jīng)走進(jìn)了千家萬(wàn)戶,改變著人們的工作和生活。然而正當(dāng)互聯(lián)網(wǎng)給人們帶來(lái)極大便利的同時(shí),網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重起來(lái),就其根源,是來(lái)自互聯(lián)網(wǎng)通信所使用的協(xié)議:TCP/IP協(xié)議。
在互聯(lián)網(wǎng)上,不論是各種版本的UNIX,Linux,還是越來(lái)越普及的Windows系統(tǒng),他們都遵守TCP/IP協(xié)議。目前網(wǎng)絡(luò)上運(yùn)行的基本上都是TCP/IP版本4。不幸的是TCP/IP協(xié)議本身的設(shè)計(jì)并沒(méi)有充分考慮安全問(wèn)題,因此隨著網(wǎng)絡(luò)應(yīng)用的普及,針對(duì)TCP/IP協(xié)議漏洞的攻擊日益顯現(xiàn),如DDoS分布式拒絕服務(wù)攻擊,非授權(quán)用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。
為滿足安全需求,防火墻產(chǎn)品應(yīng)運(yùn)而生。傳統(tǒng)防火墻主要是針對(duì)IP頭,TCP頭,UDP頭中的源IP地址,目的IP地址,通信協(xié)議和使用的端口進(jìn)行規(guī)則設(shè)置,允許或者禁止數(shù)據(jù)包的通過(guò)。然而隨著微軟公司W(wǎng)indows的普及和各種各樣應(yīng)用,如郵件,電子商務(wù),CRM,ERP,VoIP的出現(xiàn),網(wǎng)絡(luò)上的安全問(wèn)題的重點(diǎn)已經(jīng)轉(zhuǎn)移。絕大多數(shù)入侵和攻擊從針對(duì)TCP/IP協(xié)議本身弱點(diǎn)的攻擊轉(zhuǎn)向針對(duì)特定系統(tǒng)和應(yīng)用漏洞的攻擊,如針對(duì)Windows系統(tǒng)和Oracle/SQL Server等數(shù)據(jù)庫(kù)的攻擊,這些攻擊和入侵手段封裝在TCP/IP協(xié)議的凈荷部分。傳統(tǒng)的防火墻設(shè)備如第一代的包過(guò)濾防火墻,第二代的應(yīng)用代理防火墻到第三代的全狀態(tài)檢測(cè)防火墻對(duì)此類攻擊無(wú)能為力,因?yàn)樗鼈冎徊門CP/IP協(xié)議包頭部分而不檢查數(shù)據(jù)包的內(nèi)容。這樣一來(lái),符合防火墻規(guī)則的數(shù)據(jù)包被放過(guò),但它們可能就是針對(duì)操作系統(tǒng)和應(yīng)用設(shè)計(jì)的病毒、木馬,也可能是用戶被惡意網(wǎng)站欺騙下載的間諜軟件。
病毒可能造成系統(tǒng)的崩潰,數(shù)據(jù)被篡改甚至丟失,間諜軟件會(huì)窺視用戶的電腦操作,包括網(wǎng)絡(luò)銀行的帳號(hào),電子郵件的帳號(hào)和密碼,甚至用戶操作的屏幕拷貝。另外,層出不窮的即時(shí)消息和對(duì)等應(yīng)用如MSN,QQ,BT等也帶來(lái)很多安全威脅并降低員工的工作效率。如今的安全威脅已經(jīng)發(fā)展成一個(gè)混合型的安全威脅,傳統(tǒng)的防火墻設(shè)備已經(jīng)不能滿足客戶的安全需求。客戶不得不在網(wǎng)絡(luò)上部署除了防火墻之外的其他的安全設(shè)備,如IDS,防病毒網(wǎng)關(guān)等等。對(duì)于大型的企業(yè)和機(jī)構(gòu),它們可能有足夠的資金和人力購(gòu)買并管理來(lái)自不同廠家的各種不同功能的安全設(shè)備。然而對(duì)占企業(yè)總數(shù)99%的SMB,即中小企業(yè)的用戶來(lái)講,購(gòu)買并管理多個(gè)設(shè)備無(wú)論從資金到人力上都無(wú)力承擔(dān)。中小型企業(yè)迫切希望有一種能集防火墻,入侵防御,網(wǎng)關(guān)防病毒等多種功能于一身安全設(shè)備,價(jià)格能夠接受,降低管理負(fù)擔(dān),UTM由此而來(lái)。
IDC集團(tuán)的Charles Kolodgy于2003年最早提出UTM這個(gè)概念,即一體化的安全管理。按照Charles Kolodgy的定義,UTM設(shè)備至少包含三種功能:防火墻,入侵防御和防病毒功能。目前市面上大多數(shù)第三代狀態(tài)檢測(cè)防火墻的產(chǎn)商都集成VPN的功能,受到技術(shù)及性能的影響,能夠同時(shí)集成網(wǎng)關(guān)防病毒和IPS功能的廠商卻寥寥無(wú)幾。實(shí)際上聲稱支持UTM的廠家的技術(shù)實(shí)現(xiàn)有很大的區(qū)別。有些廠家僅僅是防火墻/VPN設(shè)備加上防病毒,防間諜軟件的功能,有些僅僅是防火墻/VPN設(shè)備加上入侵防御功能,如Cisco ASA系列,網(wǎng)關(guān)防病毒/防間諜軟件和IPS需要不同的硬件模塊,因此不能同時(shí)使用。還有些廠家只在個(gè)別產(chǎn)品型號(hào)上支持防病毒功能,如Juniper的Netscreen 5GT。還有些廠家的全線產(chǎn)品支持防火墻,VPN,網(wǎng)關(guān)防病毒,入侵防御,反間諜軟件功能,反垃圾郵件功能等等,如SonicWALL。
UTM要做到應(yīng)用層數(shù)據(jù)掃描以檢測(cè)病毒和入侵,無(wú)疑對(duì)主處理器是一個(gè)沉重的負(fù)擔(dān),為了平衡性能與功能的需求,通常網(wǎng)關(guān)防病毒引擎掃描的協(xié)議種類非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP等5種協(xié)議。而且,它們對(duì)同時(shí)掃描的文件的數(shù)目和大小都依硬件平臺(tái)的不同而有明顯的限制,其主要原因在于目前網(wǎng)關(guān)防病毒基本上都是基于先緩存要掃描的數(shù)據(jù)文件,再進(jìn)行掃描,然后做病毒和入侵特征碼的匹配,因此它們把待掃描的文件緩存在從有限的內(nèi)存空間所分配的緩沖區(qū)內(nèi),通常用于存儲(chǔ)等待掃描的數(shù)據(jù)的緩存空間按設(shè)備內(nèi)存大小的一定比例分配,例如分配內(nèi)存的10% 作為緩存空間。硬件資源是有限的,這樣就限制了能夠同時(shí)下載和掃描的文件的數(shù)目和大小,例如Fortinet.目前業(yè)界唯一不同的是SonicWALL UTM產(chǎn)品,專利技術(shù)的DPI引擎不需要緩存掃描的數(shù)據(jù)就可以進(jìn)行25000種病毒和2000多種入侵的掃描和簽名的匹配,因此消除了待掃描的文件大小和能同時(shí)掃描的文件的數(shù)目的限制,從UTM技術(shù)上是一個(gè)突破。
僅僅對(duì)于網(wǎng)關(guān)防病毒而言,各個(gè)廠家實(shí)現(xiàn)的方式和效果也不盡相同,除了上面提到的掃描文件大小和同時(shí)掃描文件數(shù)目有無(wú)限制之外,能夠查殺病毒的數(shù)量和病毒簽名自動(dòng)升級(jí)的速度也對(duì)網(wǎng)關(guān)防病毒的實(shí)際效果有重要的影響。有些廠家的病毒庫(kù)只有10,000個(gè)左右病毒簽名。對(duì)于入侵防御,能夠防御的入侵的數(shù)量也很重要,有些廠家能防御幾百種,有些能防御上千種。
除了防病毒能力和防御入侵的能力之外,控制即時(shí)消息和對(duì)等應(yīng)用的需求也日益增長(zhǎng),如控制即時(shí)消息軟件如MSN、QQ、Skype和BT下載、eMule下載等影響工作效率的對(duì)等應(yīng)用軟件。此外,掃描NetBIOS 協(xié)議,防止病毒通過(guò)Windows文件共享進(jìn)行擴(kuò)散,限制帶有宏的Office文件、密碼保護(hù)的壓縮文件和“加殼”的可執(zhí)行文件的傳輸?shù)裙δ芤矊?duì)SMB中小型企業(yè)顯得尤為重要。間諜軟件的日益泛濫對(duì)企業(yè)及個(gè)人的信息安全造成極大的威脅,網(wǎng)絡(luò)銀行帳號(hào)被盜事件也時(shí)有發(fā)生,因此支持間諜軟件的掃描,阻斷間諜軟件通過(guò)網(wǎng)絡(luò)下載,F(xiàn)TP傳輸以及電子郵件的傳播方式,監(jiān)測(cè)自動(dòng)安裝的ActiveX控件,阻止已經(jīng)感染間諜軟件的電腦通過(guò)網(wǎng)絡(luò)向黑客泄露私密信息似乎已經(jīng)成為UTM設(shè)備必備的功能。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種入侵的行為也會(huì)曾出不窮,UTM概念也會(huì)不斷延伸,UTM設(shè)備會(huì)集成越來(lái)越多的功能。從性能上來(lái)講,UTM對(duì)數(shù)據(jù)做到應(yīng)用層的安全掃描,比傳統(tǒng)的防火墻消耗更多的處理器資源,因此性能上還不能和單純的狀態(tài)檢測(cè)防火墻相比。想一想U(xiǎn)TM設(shè)備要處理整個(gè)數(shù)據(jù)包,而傳統(tǒng)防火墻只處理幾十個(gè)字節(jié)的包頭,對(duì)一個(gè)1500個(gè)字節(jié)的數(shù)據(jù)包,UTM設(shè)備要多處理98%的內(nèi)容。然而隨著NP技術(shù)的不斷進(jìn)步,性能越來(lái)越強(qiáng)大的多內(nèi)核網(wǎng)絡(luò)處理器不斷出現(xiàn),相信在2005年底到2006年初,高性能,功能更加豐富的UTM設(shè)備即將閃亮登場(chǎng)。
目前UTM設(shè)備的領(lǐng)先廠商均是美國(guó)公司,據(jù)IDC統(tǒng)計(jì),2005年Q2至今,美國(guó)的SonicWALL從UTM設(shè)備出貨數(shù)量到銷售金額均排在全球第一位。
