在UTM問世之前,客戶不得不安裝多個功能單一的產品,例如防火墻、防病毒網關、防垃圾郵件設備和URL網關等, 以防止多種不同的威脅。同時,企業還煞費苦心地采用其他IT解決方案來管理這些平臺,這要求員工熟悉不同的接口、命令和特性。安全解決方案的混雜意味著需 要購買多種產品,后期開支也不斷提高,因此會耗費大量的前期購置和運行預算。
UTM設備非常適合運用于SMB或者分支機構的中型網絡中,企業設立分支機構時,必需采購路由器、防火墻等設備,許多大企業有一半以上的IT經費都花在分公司的信息基礎建設里,選擇UTM可以降低了網絡的復雜度,也降低了客戶的建設成本。
UTM顯著特征
1.深度檢測:用戶需要基于深度數據包檢測(DPI)的防火墻。基于狀態數據包檢測(SPI)的防火墻僅能夠處理來自互聯網威脅的2%(這一數據基于SPI防火墻所分析的數據包頭流量和DPI防火墻所處理的數據包凈荷流量之比)。
2.個體差異:所有的UTM防火墻并非都是一樣的,當然不同的深度數據包檢測防火墻也有所不同,有些就不能高效地處理大流量和大尺寸文件。
3.動態更新:為使所采用的安全技術能夠滿足未來要求,必須采用動態保護。可動態連續更新的安全設備正在成為事實上的行業標準。
4.高度集成:高度集成的設備是關鍵。部署分離的設備和技術也可以獲得某種形式的統一威脅管理(UTM),但在管理和維護方面的成本卻翻了幾翻,并且實施的成本也非常高昂。在當前的情況下,這種點式解決方案的成本高昂又難于管理。
新型的網絡安全威脅使UTM(統一威脅管理)在網絡應用安全領域獲得了高速增長的市場份額。根據IDC的定 義,UTM是指能夠提供廣泛的網絡保護的設備,它在一個單一的硬件平臺下提供了以下的一些技術特征:防火墻、防病毒、入侵檢測和防護功能。IDC的行業分 析師們注意到,針對快速增長的混合型攻擊(基于互聯網的病毒已經開始在應用層發起攻擊),需要一種靈活的、整合各種功能的UTM設備來防止這種攻擊的快速 蔓延。
混合攻擊檢測技術
UTM中的防病毒除了引用傳統的病毒檢測技術外,還應該采用一些新的技術來提高病毒檢測的效率與性能,如采用流檢測的技術、混合攻擊的檢測技術和對未知病毒的檢測方法。
通常的黑客攻擊采取以下步驟:
1)判斷入侵對象的操作系統;
2)掃描端口,判斷開放了哪些服務(這兩步有可能同時進行);
3)根據操作系統和所開放的服務選擇入侵方法,通常有“溢出”和“弱口猜測”等方法;
4)獲得系統的最高權力;
5)安放后門等病毒、清除日志等。
如今的病毒技術趨于復雜化與多樣化,有些病毒能完全模擬以上的黑客攻擊行為。所以如今的病毒不是單一的個體在戰 斗,而是一組在戰斗,每一個個體有不同的功能與特性。它們包括端口掃描、漏洞掃描、漏洞利用、獲得權限、種植木馬后門,蠕蟲病毒形成各種攻擊與危害等。這 就是混合攻擊。
2.現狀
對于混合攻擊,單一的主機防毒軟件或者網關防毒軟件是不能有效解決問題的;尤其是對此類未知病毒的混合攻擊,更是 無能為力。這是因為目前的防毒軟件基本上都是基于補丁式的升級方式,是滯后于病毒的。也許對于已知病毒的混合攻擊,桌面的或者網關的防毒墻還能有效地對付 混合攻擊中真正起到病毒作用的那個個體,但對未知的病毒攻擊也只能望洋興嘆。
3.檢測技術
在對付混合攻擊時UTM可以采取以下的技術。
1)多層分解檢測技術
一個混合攻擊的病毒有多個模塊比如端口掃描,漏洞掃描之類的,而UTM也有多個模塊來分別應對,各個模塊也各司其職,分別用來對付此類病毒的各個模塊,對于混合攻擊的防范可以通過與IPS的結合來有效應對,所以UTM是檢測混合攻擊最有效的產品。
2)漏洞利用代碼檢測技術
如今的病毒都喜歡利用漏洞來加以傳播,因此UTM的防毒技術模塊除了采用傳統的檢測方法外,還應該根據漏洞利用代碼的原理來檢測已知或未知的此類病毒或者混合攻擊。
UTM對企業的重要性
大企業能夠清楚地意識到各種安全威脅,并采用聘請安全專家的方式來幫助他們抵御各種網絡威脅。小型企業不可能花費 很多人力、財力或時間來維護企業網絡的安全。但是, 這并不意味著他們可以忽略安全威脅。統一威脅管理(Unified Threat Management,UTM)的出現,可以幫助中小企業解決這一問題。
許多小型企業所有者并不重視網絡安全問題。他們認為公司規模小,市場地位無足輕重,因而黑客不會將這類網絡作為攻 擊目標。這種觀念是極其錯誤的。沙賓法(Sarbanes- Oxley Act)等法規嚴格要求企業在信息安全方面進行更多投資。大企業能夠清楚地意識到各種安全威脅,并采用聘請安全專家的方式來幫助他們抵御各種網絡威脅。擁 有大型網絡的公司也通常擁有復雜的防火墻和入侵防御系統,并且定期更新和維護這些系統。而小型企業不可能花費很多人力、財力或時間來維護企級網絡的安全。 但是,這并不意味著他們可以忽略安全威脅。
