我國各行各業信息化建設步伐明顯加快,對網絡的依賴性明顯成上升趨勢,這就為網絡安全管理者提出了更高的要求。詭異的入侵技術、前所未有的破壞手法都一再地讓企業的網絡安全亮起紅燈,企業在解決安全威脅可能造成的風險之余,還要同時面對眼花撩亂的安全產品,應接不暇。因此,如何兼具低成本、高安全性與執行效率,便成為企業信息化建設所追求的一紙良方。
安全管理,病魔纏身
隨著個人安全資訊網站的數目增多,安全威脅無論在形式上還是在數量上,都已呈現出爆炸性的增長。一些隱藏在網絡幕后的破壞者,以及其變態的心理在生產者病毒,現在每天都有成百種新型病毒在網上出現,而主流應用平臺的安全漏洞更是數以千計。很多新型的病毒都是針對現有的反病毒軟件,廣泛利用底層驅動技術,提高隱蔽性將成為病毒發展的重要技術趨勢。以“多頭蠕蟲病毒”為例,就融合了緩沖區溢出技術、網絡掃描技術和病毒感染技術。與此同時,間諜軟件也成為了“僵尸網絡”的慫恿與制造者。這類軟件會將自己嵌入到系統當中,并且通過系統層的攔截方式掌控其它的程序以進行一些任務,因此這類軟件非常的難以偵測與移除,也成為企業用戶切入肌膚的痛處。
近幾年,以網絡釣魚 (Phishing)和垃圾郵件等社會工程為主的卑鄙手段開始泛濫。釣魚者利用垃圾郵件的方式當作釣餌,即使是茫茫大海撈針,估計也能撈起一兩根來。單從如何應對這些病毒和木馬而言,一些注重安全管理的企業用戶就不能輕松應對。何況,混合攻擊以及社會工程入侵,都增加了數據外泄與丟失的可能性,而配置錯誤和缺乏管理等問題更使實現整體安全防御的難度增加,都使得企業的信息化城郭,千瘡百孔。
病走八脈,藥選幾味?
在諸多安全產品中,防火墻能夠有效防止黑客的惡意攻擊,電子認證系統能夠保證客戶端的可信性,VPN能夠確保信息在互聯網上不被竊聽……然而,在實際工作中,搭建這些各自相對獨立的系統需要大量的資金投入,同時還要投入人力進行系統維護工作,這就使得很多中小企業。另外,網絡的娛樂性與企業信息的安全性成為最突出的矛盾。企業無法控制的Internet上網行為(如:網頁、郵件),內部網絡的訪問行為(如:訪問網上鄰居、關鍵服務器、敏感文件)和計算機用戶的操作行為(如:應用程序、剪貼板)。同時,上班時間玩游戲、收看網絡TV等都嚴重影響了組織的網絡可用帶寬,因此對異常流量監控,統計網絡中客戶端流量,報警并處理異常網絡流量等,都不能讓我們依賴一兩個單獨架構的安全產品。
協同管理的技術特征
相信仍有許多人對何謂UTM設備不甚清楚,事實上,統一威脅管理技術最早由Fortinet公司在2002年提出,2004 年9月美國著名的IDC提出將防病毒、入侵檢測和防火墻安全設備命名為統一威脅管理(United Threat Management, 簡稱UTM )。而許多企業用戶對于UTM設備的概念還比較陌生,很多人稱為多功能防火墻、多功能安全網關器,這樣的稱呼或許比較容易讓人了解,尤其防火墻,對絕大多數企業而言,更是耳熟能詳。對于不同的制造商來說,實現這些功能的方式也各有不同。很多廠商采取以防火墻系統作為基礎增加其它安全功能的方式,也有一些廠商采用基于IDS融合其它功能的方法。
硬件架構的演變
目前,整合式安全設備從形態上來說更多的是以防火墻為核心整合其它安全功能,這與防火墻產品在安全領域的核心地位是密不可分的。由于UTM安全設備通常會同時運行多個功能模塊,對系統性能的要求要遠遠大于單純的防火墻或入侵檢測系統。比如,普通的路由器需要10個指令就可以處理的封包數據,在基于七層防毒功的UTM設備上就需要9000個指令,這意味著UTM產品必須使用相對高端的硬件技術。
ASIC(專用集成電路)是被廣泛應用于性能敏感平臺的一種處理器技術,在防火墻安全產品中,ASIC的應用是處理效能是否足夠的關鍵。將各種常用的加密、解密、規則匹配、數據分析等功能集成于ASIC處理器之內,才能夠提供足夠的處理能力使UTM設備正常運作。除了基于ASIC硬件架構之外,還有很多UTM安全設備使用了近年來興起的NP(Net Processor,網絡處理器)架構。NP是為了緩解ASIC設計周期長、成本高等問題而推出的處理器技術,同時NP能夠提供趨近于ASIC的運算效能。
目前市場許多以特征字符串比對技術為核心UTM ASIC方案,可能導致系統效能不夠穩定與緩慢,僅能提供有限的安全防護與網絡速度的瓶頸。這類框架系統要求在特征字符串比對前,需要先將封包重組,而現在的病毒或蠕蟲,通常會偽裝為正常的文件名稱與大小,切割為幾百,乃至上千個封包。而封包重組后的檔案越大在系統內存占用的空間也越大,當檔內存空間被占滿以后,必然導致忽略或擁塞現象發生,病毒或蠕蟲也會趁隙溜到內部網絡中。
面對特征字符串比對與封包重組的問題,現在有的UTM廠商提出DFA(Deterministic Finite Automata決定式有限自動機)的技術。DFA最大的特色,就是掃瞄封包時不會受到數據包大小的限制,因為其通過“Reassembly Free”的方式順序的將傳送的封包一一比對,不需先儲存于系統內存中重組,所以特征掃瞄時是不需儲存整個完整字符串,而是針對每個封包中字段進行比對,將有嫌疑的封包標記,并且將后續關聯性封包一并標記處理,這可讓有問題的病毒文件無法重組或開啟。
