隨著互聯(lián)網(wǎng)的發(fā)展以及寬帶接入的普及,網(wǎng)絡(luò)已經(jīng)走進(jìn)了千家萬戶,改變著人們的工作和生活。然而正當(dāng)互聯(lián)網(wǎng)給人們帶來極大便利的同時(shí),網(wǎng)絡(luò)安全問題也日益嚴(yán)重起來,就其根源,是來自互聯(lián)網(wǎng)通信所使用的協(xié)議:TCP/IP協(xié)議。
在互聯(lián)網(wǎng)上,不論是各種版本的UNIX,Linux,還是越來越普及的Windows系統(tǒng),他們都遵守TCP/IP協(xié)議。目前網(wǎng)絡(luò)上運(yùn)行的基本上都是TCP/IP版本4。不幸的是TCP/IP協(xié)議本身的設(shè)計(jì)并沒有充分考慮安全問題,因此隨著網(wǎng)絡(luò)應(yīng)用的普及,針對(duì)TCP/IP協(xié)議漏洞的攻擊日益顯現(xiàn),如DDoS分布式拒絕服務(wù)攻擊,非授權(quán)用戶對(duì)網(wǎng)絡(luò)的訪問。
為滿足安全需求,防火墻產(chǎn)品應(yīng)運(yùn)而生。傳統(tǒng)防火墻主要是針對(duì)IP頭,TCP頭,UDP頭中的源IP地址,目的IP地址,通信協(xié)議和使用的端口進(jìn)行規(guī)則設(shè)置,允許或者禁止數(shù)據(jù)包的通過。然而隨著微軟公司W(wǎng)indows的普及和各種各樣應(yīng)用,如郵件,電子商務(wù),CRM,ERP,VoIP的出現(xiàn),網(wǎng)絡(luò)上的安全問題的重點(diǎn)已經(jīng)轉(zhuǎn)移。絕大多數(shù)入侵和攻擊從針對(duì)TCP/IP協(xié)議本身弱點(diǎn)的攻擊轉(zhuǎn)向針對(duì)特定系統(tǒng)和應(yīng)用漏洞的攻擊,如針對(duì)Windows系統(tǒng)和Oracle/SQL Server等數(shù)據(jù)庫的攻擊,這些攻擊和入侵手段封裝在TCP/IP協(xié)議的凈荷部分。傳統(tǒng)的防火墻設(shè)備如第一代的包過濾防火墻,第二代的應(yīng)用代理防火墻到第三代的全狀態(tài)檢測(cè)防火墻對(duì)此類攻擊無能為力,因?yàn)樗鼈冎徊門CP/IP協(xié)議包頭部分而不檢查數(shù)據(jù)包的內(nèi)容。這樣一來,符合防火墻規(guī)則的數(shù)據(jù)包被放過,但它們可能就是針對(duì)操作系統(tǒng)和應(yīng)用設(shè)計(jì)的病毒、木馬,也可能是用戶被惡意網(wǎng)站欺騙下載的間諜軟件。
病毒可能造成系統(tǒng)的崩潰,數(shù)據(jù)被篡改甚至丟失,間諜軟件會(huì)窺視用戶的電腦操作,包括網(wǎng)絡(luò)銀行的帳號(hào),電子郵件的帳號(hào)和密碼,甚至用戶操作的屏幕拷貝。另外,層出不窮的即時(shí)消息和對(duì)等應(yīng)用如MSN,QQ,BT等也帶來很多安全威脅并降低員工的工作效率。如今的安全威脅已經(jīng)發(fā)展成一個(gè)混合型的安全威脅,傳統(tǒng)的防火墻設(shè)備已經(jīng)不能滿足客戶的安全需求。客戶不得不在網(wǎng)絡(luò)上部署除了防火墻之外的其他的安全設(shè)備,如IDS,防病毒網(wǎng)關(guān)等等。對(duì)于大型的企業(yè)和機(jī)構(gòu),它們可能有足夠的資金和人力購買并管理來自不同廠家的各種不同功能的安全設(shè)備。然而對(duì)占企業(yè)總數(shù)99%的SMB,即中小企業(yè)的用戶來講,購買并管理多個(gè)設(shè)備無論從資金到人力上都無力承擔(dān)。中小型企業(yè)迫切希望有一種能集防火墻,入侵防御,網(wǎng)關(guān)防病毒等多種功能于一身安全設(shè)備,價(jià)格能夠接受,降低管理負(fù)擔(dān),UTM由此而來。
IDC集團(tuán)的Charles Kolodgy于2003年最早提出UTM這個(gè)概念,即一體化的安全管理。按照Charles Kolodgy的定義,UTM設(shè)備至少包含三種功能:防火墻,入侵防御和防病毒功能。目前市面上大多數(shù)第三代狀態(tài)檢測(cè)防火墻的產(chǎn)商都集成VPN的功能,受到技術(shù)及性能的影響,能夠同時(shí)集成網(wǎng)關(guān)防病毒和IPS功能的廠商卻寥寥無幾。實(shí)際上聲稱支持UTM的廠家的技術(shù)實(shí)現(xiàn)有很大的區(qū)別。有些廠家僅僅是防火墻/VPN設(shè)備加上防病毒,防間諜軟件的功能,有些僅僅是防火墻/VPN設(shè)備加上入侵防御功能,如Cisco ASA系列,網(wǎng)關(guān)防病毒/防間諜軟件和IPS需要不同的硬件模塊,因此不能同時(shí)使用。還有些廠家只在個(gè)別產(chǎn)品型號(hào)上支持防病毒功能,如Juniper的Netscreen 5GT。還有些廠家的全線產(chǎn)品支持防火墻,VPN,網(wǎng)關(guān)防病毒,入侵防御,反間諜軟件功能,反垃圾郵件功能等等,如SonicWALL。
UTM要做到應(yīng)用層數(shù)據(jù)掃描以檢測(cè)病毒和入侵,無疑對(duì)主處理器是一個(gè)沉重的負(fù)擔(dān),為了平衡性能與功能的需求,通常網(wǎng)關(guān)防病毒引擎掃描的協(xié)議種類非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP等5種協(xié)議。而且,它們對(duì)同時(shí)掃描的文件的數(shù)目和大小都依硬件平臺(tái)的不同而有明顯的限制,其主要原因在于目前網(wǎng)關(guān)防病毒基本上都是基于先緩存要掃描的數(shù)據(jù)文件,再進(jìn)行掃描,然后做病毒和入侵特征碼的匹配,因此它們把待掃描的文件緩存在從有限的內(nèi)存空間所分配的緩沖區(qū)內(nèi),通常用于存儲(chǔ)等待掃描的數(shù)據(jù)的緩存空間按設(shè)備內(nèi)存大小的一定比例分配,例如分配內(nèi)存的10% 作為緩存空間。硬件資源是有限的,這樣就限制了能夠同時(shí)下載和掃描的文件的數(shù)目和大小,例如Fortinet.目前業(yè)界唯一不同的是SonicWALL UTM產(chǎn)品,專利技術(shù)的DPI引擎不需要緩存掃描的數(shù)據(jù)就可以進(jìn)行25000種病毒和2000多種入侵的掃描和簽名的匹配,因此消除了待掃描的文件大小和能同時(shí)掃描的文件的數(shù)目的限制,從UTM技術(shù)上是一個(gè)突破。
僅僅對(duì)于網(wǎng)關(guān)防病毒而言,各個(gè)廠家實(shí)現(xiàn)的方式和效果也不盡相同,除了上面提到的掃描文件大小和同時(shí)掃描文件數(shù)目有無限制之外,能夠查殺病毒的數(shù)量和病毒簽名自動(dòng)升級(jí)的速度也對(duì)網(wǎng)關(guān)防病毒的實(shí)際效果有重要的影響。有些廠家的病毒庫只有10,000個(gè)左右病毒簽名。對(duì)于入侵防御,能夠防御的入侵的數(shù)量也很重要,有些廠家能防御幾百種,有些能防御上千種。
除了防病毒能力和防御入侵的能力之外,控制即時(shí)消息和對(duì)等應(yīng)用的需求也日益增長(zhǎng),如控制即時(shí)消息軟件如MSN、QQ、Skype和BT下載、eMule下載等影響工作效率的對(duì)等應(yīng)用軟件。此外,掃描NetBIOS 協(xié)議,防止病毒通過Windows文件共享進(jìn)行擴(kuò)散,限制帶有宏的Office文件、密碼保護(hù)的壓縮文件和“加殼”的可執(zhí)行文件的傳輸?shù)裙δ芤矊?duì)SMB中小型企業(yè)顯得尤為重要。間諜軟件的日益泛濫對(duì)企業(yè)及個(gè)人的信息安全造成極大的威脅,網(wǎng)絡(luò)銀行帳號(hào)被盜事件也時(shí)有發(fā)生,因此支持間諜軟件的掃描,阻斷間諜軟件通過網(wǎng)絡(luò)下載,F(xiàn)TP傳輸以及電子郵件的傳播方式,監(jiān)測(cè)自動(dòng)安裝的ActiveX控件,阻止已經(jīng)感染間諜軟件的電腦通過網(wǎng)絡(luò)向黑客泄露私密信息似乎已經(jīng)成為UTM設(shè)備必備的功能。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,各種入侵的行為也會(huì)曾出不窮,UTM概念也會(huì)不斷延伸,UTM設(shè)備會(huì)集成越來越多的功能。從性能上來講,UTM對(duì)數(shù)據(jù)做到應(yīng)用層的安全掃描,比傳統(tǒng)的防火墻消耗更多的處理器資源,因此性能上還不能和單純的狀態(tài)檢測(cè)防火墻相比。想一想U(xiǎn)TM設(shè)備要處理整個(gè)數(shù)據(jù)包,而傳統(tǒng)防火墻只處理幾十個(gè)字節(jié)的包頭,對(duì)一個(gè)1500個(gè)字節(jié)的數(shù)據(jù)包,UTM設(shè)備要多處理98%的內(nèi)容。然而隨著NP技術(shù)的不斷進(jìn)步,性能越來越強(qiáng)大的多內(nèi)核網(wǎng)絡(luò)處理器不斷出現(xiàn),相信在2005年底到2006年初,高性能,功能更加豐富的UTM設(shè)備即將閃亮登場(chǎng)。
目前UTM設(shè)備的領(lǐng)先廠商均是美國公司,據(jù)IDC統(tǒng)計(jì),2005年Q2至今,美國的SonicWALL從UTM設(shè)備出貨數(shù)量到銷售金額均排在全球第一位。
