安全問題的挑戰(zhàn),一直是網(wǎng)絡(luò)揮之不去的夢魘。自從計(jì)算機(jī)病毒誕生以來,網(wǎng)絡(luò)安全問題就水漲船高,向人們提出了越來越高的要求。為了應(yīng)對越來越多的各式各樣的病毒、入侵、攻擊,人們不斷研發(fā)出了新的網(wǎng)絡(luò)安全技術(shù),推出更有效的網(wǎng)絡(luò)安全產(chǎn)品,制定更全面的安全解決方案。UTM(統(tǒng)一威脅管理)作為一項(xiàng)新興的網(wǎng)絡(luò)安全技術(shù)正引領(lǐng)著網(wǎng)絡(luò)安全發(fā)展的潮流,而神州數(shù)碼網(wǎng)絡(luò)推出的3D-SMP(Dynamic Distributed Defense Security Management Policy 分布式動態(tài)防御安全管理策略)是目前國內(nèi)最好的安全方案之一,它們二者的結(jié)合受到了人們越來越多的關(guān)注。
神州數(shù)碼網(wǎng)絡(luò)將 UTM納入3D-SMP
眾所周知,網(wǎng)絡(luò)安全問題早已不是簡單的查毒殺毒,今天的“安全”是一個動態(tài)的安全理念。因此,必須是動態(tài)的解決思路。而3D-SMP正是神州數(shù)碼網(wǎng)絡(luò)基于這種動態(tài)的思路而推出的分布式動態(tài)防御安全管理策略。分布式的概念是在整個網(wǎng)絡(luò)中的接入層建立入網(wǎng)許可機(jī)制,從而從源頭上確保接入用戶的身份可控;動態(tài)的含義是根據(jù)用戶的行為來判斷其意圖是否合法,無論是主觀的惡意行為,還是非主觀的病毒行為,并根據(jù)用戶的行為來采取相應(yīng)的措施。在3D-SMP的系統(tǒng)中,神州數(shù)碼網(wǎng)絡(luò)通過特有的聯(lián)動協(xié)議SOAP,使整個網(wǎng)絡(luò)管理層的安全設(shè)備,如防火墻、IDS,以及接入交換機(jī)等網(wǎng)絡(luò)設(shè)備能夠自動實(shí)現(xiàn)相互之間的聯(lián)動,并配以DCBI-3000(認(rèn)證計(jì)費(fèi)系統(tǒng))、DCBI-NetLog(網(wǎng)絡(luò)行為日志)、DCBA-3000W(安全接入管理器)等設(shè)備,從而實(shí)現(xiàn)識別用戶、判斷用戶行為、強(qiáng)制管理用戶的能力。
而當(dāng)前,絕大多數(shù)企業(yè)的狀況是,大家還在使用功能單一的安全設(shè)備,我們稱之為STM(單一威脅管理)。為克服STM類設(shè)備的弊端,滿足企業(yè)用戶的網(wǎng)絡(luò)需求,集多個安全特性為一體,在標(biāo)準(zhǔn)平臺的統(tǒng)一管理之下的硬件設(shè)備系列UTM(統(tǒng)一威脅管理)設(shè)備出現(xiàn)了。隨著UTM技術(shù)的進(jìn)步與成熟,神州數(shù)碼網(wǎng)絡(luò)也研發(fā)出自己的UTM設(shè)備,并將其納入3D-SMP的動態(tài)防御安全管理策略系統(tǒng)中。將UTM設(shè)備作為3D-SMP的一部分,替代了原先的防火墻,運(yùn)用于SMB或者分支機(jī)構(gòu)的中型網(wǎng)絡(luò),從而降低了網(wǎng)絡(luò)的復(fù)雜度,也降低了客戶的建設(shè)成本。
UTM技術(shù)雖好 性能受限
按照IDC對統(tǒng)一威脅管理(UTM)安全設(shè)備的定義,UTM是由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項(xiàng)或多項(xiàng)安全功能,它將多種安全特性集成于一個硬設(shè)備里, 構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺。UTM能實(shí)現(xiàn)包括防病毒、VPN、防火墻、IDP、內(nèi)容過濾、反垃圾郵件在內(nèi)6種重要的特性,是網(wǎng)絡(luò)安全發(fā)展的潮流。
然而,由于在網(wǎng)絡(luò)的三層上沒有辦法找到流量共性,所以也就沒有辦法解決UTM的網(wǎng)絡(luò)速度的問題。有測試結(jié)果甚至表明當(dāng)UTM把安全功能全部打開后會產(chǎn)生高達(dá)50%以上的性能下降。其中最為影響速度的就是UTM的網(wǎng)關(guān)防病毒與P2P、及時消息檢測功能。針對于此神州數(shù)碼網(wǎng)絡(luò)在自身的UTM設(shè)備上采取了一些特別的技術(shù),如多引擎互嵌技術(shù)、流檢測技術(shù)。
神州數(shù)碼網(wǎng)絡(luò)的解決之道
如果我們把模塊簡單的堆疊在一起,它會形成一種逐一經(jīng)過防火墻、VPN認(rèn)證、檢查病毒、垃圾郵件過濾等等步驟的處理方式,這種完全串型的排列會造成很大的減時。多引擎互嵌技術(shù)則不是采用這種把模塊擺在一條線上的簡單排列,而是以一種矩陣的方式聯(lián)接。比如我們接收一封郵件,既要對郵件進(jìn)行垃圾郵件處理,又要對其附件進(jìn)行查毒,互嵌技術(shù)就會先進(jìn)行垃圾郵件過濾,再進(jìn)行附件查毒。當(dāng)郵件為垃圾郵件時既被過濾掉,我們就不必再進(jìn)行附件查毒,省去了這部分無意義的工作。
而流檢測技術(shù)更是神州數(shù)碼網(wǎng)絡(luò)獨(dú)有的技術(shù)。當(dāng)用戶從網(wǎng)頁下載文件,或接受一封郵件的時候,一般廠商都會采用代理技術(shù)。但因?yàn)榇砑夹g(shù)需要完全接管鏈接的整個過程,然后才能再拋給客戶端,所以會使性能非常慢。而神州數(shù)碼網(wǎng)絡(luò)不是采用代理技術(shù),而是自己的流檢測技術(shù)。這種技術(shù)一開始就把數(shù)據(jù)包陸續(xù)轉(zhuǎn)發(fā)到客戶端上,但傳到最后幾個數(shù)據(jù)包則暫時不發(fā)給客戶端,而是先利用神州數(shù)碼網(wǎng)絡(luò)的拷貝技術(shù)將數(shù)據(jù)包拷貝過來,組合起來查毒。如果發(fā)現(xiàn)其是病毒則拒絕推給用戶,若不是病毒則再將最后幾個數(shù)據(jù)包發(fā)到客戶端上。因?yàn)樗械牟《局挥型耆障聛碇蟛攀遣《荆约幢阌脩粝螺d的是病毒沒有最后幾個數(shù)據(jù)包也就不會對其造成危險,而用戶下載的是安全文件則速度將得到90%的提高。給用戶最直觀的感覺是通常下載時半天出不來的進(jìn)度條,在神州數(shù)碼網(wǎng)絡(luò)UTM設(shè)備的流檢測技術(shù)下,一點(diǎn)擊便能蹦出來開始下載了。
3D-SMP、UTM聯(lián)動迎安全挑戰(zhàn)
如今網(wǎng)絡(luò)的應(yīng)用越來越豐富,電影點(diǎn)播,在線音樂、視頻聊天、大量軟件下載等等,使得網(wǎng)絡(luò)安全隨之也越來越復(fù)雜。病毒的發(fā)展有著明顯的變化,比如2001年9月爆發(fā)的“尼姆達(dá)”病毒,早在2000年微軟就為其出了補(bǔ)丁,其間留給了人們一年多的時間。但到了最近的“沖擊波” 病毒,微軟發(fā)現(xiàn)這個漏洞的時候是2005年8月9號,其爆發(fā)時間也只是在發(fā)現(xiàn)后的10天左右。這說明過去從發(fā)現(xiàn)漏洞到爆發(fā)周期很長,而現(xiàn)在這個周期大大縮短了。因此安全問題就顯得尤為重要了。但現(xiàn)在用戶往往來不及給所有的客戶端升級,所以神州數(shù)碼網(wǎng)絡(luò)的3D-SMP基于動態(tài)的思路,在各網(wǎng)絡(luò)設(shè)備之間增加了聯(lián)動能力,使網(wǎng)絡(luò)的安全管理比以往更加周密,反映的速度比以往更加迅速。而加入了如此優(yōu)秀UTM設(shè)備的3D-SMP,更是如虎添翼,不僅提高了網(wǎng)絡(luò)的安全系數(shù),也降低了客戶的建設(shè)成本。
