什么是UTM:统一威胁管理(Unified Threat Management)简介

目录
[隐藏]

统一威胁管理(Unified Threat Management),2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。

由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。

目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。

虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。

UTM重要特点

1.建一个更高,更强,更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。真正的安全不能只停留在底层,我们需要构成治理的效果,能实现七层协议保护,而不仅仅局限与二到四层。

2.要有高检测技术来降低误报。作为一个串联接入的网关设备,一旦误报过高,对拥护来说是一个灾难性的后果,IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率,因此,针对不同的攻击,应采取不同的检测技术有效整合可以显著降低误报率。

3.要有高可靠,高性能的硬件平台支撑。对于UTM时代的防火墙,在保障网络安全的同时,也不能成为网络应用的瓶颈,防火墙/UTM必须以高性能,高可靠性的专用芯片及专用硬件平台为支撑,以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。

为什么需要UTM

随着时间的演进,信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面,从前的安全威胁和恶意行为与现今都不可同日而语。仅仅在几年之前,我们还可以如数家珍的讲述各种流行的安全漏洞和攻击手段,而现在这已经相当困难。现在每天都有数百种新病毒被释放到互联网上,而各种主流软件平台的安全漏洞更是数以千计。我们遇到的麻烦更多的表现为通过系统漏洞自动化攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等等。这些攻击手段在互联网上肆意泛滥,没有保护的计算机设备面临的安全困境远超从前。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。而且,一个类型全面的防御体系也已经无法保证能够使用户免受安全困扰,每种产品各司其职的方式已经无法应对当前更加智能的攻击手段。我们面对的很多恶意软件能够自动判断防御设施的状态,在一个通路受阻之后会自动的尝试绕过该道防御从其它位置突破,并逐个的对系统漏洞进行尝试。一个防御组件成功屏蔽了恶意行为之后,攻击程序在调整自身的行为之后,已经发现该攻击活动的组件无法通知其它类型的防御组件,使得该攻击仍有可能突破防御体系。防御更具智能化的攻击行为,需要安全产品也具有更高的智能,从更多的渠道获取信息并更好的使用这些信息,以更好的协同能力面对日益复杂的攻击方法。这就是为什么整合式安全设备日益受到用户的欢迎,也是为什么有大量行业人士认为UTM类型的产品将成为信息安全新的主流。

UTM的技术架构[解释1]

UTM的架构中包含了很多具有创新价值的技术内容,IDC将Fortinet公司的产品视为UTM的典型代表,我们就结合Fortinet公司采用的一些技术来分析一下UTM产品相比传统安全产品到底有哪些不同。

完全性内容保护(Complete Content Protection)简称CPP,对OSI模型中描述的所有层次的内容进行处理。这种内容处理方法比目前主流的状态检测技术以及深度包检测技术更加先进,目前使用该技术的产品已经可以在千兆网络环境中对数据负载进行全面的检测。这意味着应用了完全性内容保护的安全设备不但可以识别预先定义的各种非法连接和非法行为,而且可以识别各种组合式的攻击行为以及相当隐秘的欺骗行为。

ASIC是被广泛应用于性能敏感平台的一种处理器技术,在UTM安全产品中ASIC的应用是足够处理效能的关键。由于应用了完全性内容保护,需要处理的内容量相比于传统的安全设备大大增加,而且这些内容需要被防病毒、防火墙等多种引擎所处理,UTM产品具有非常高的性能要求。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。Fortinet不但成功的在自己的产品内应用了ASIC这一具有高度尖端性的芯片技术,而且还进行了很多开创性的工作,推出了FortiASIC技术,令老牌的ASIC厂商也不得不刮目相看。

除了硬件方面有独特的设计之外,UTM产品在软件平台上也专门针对安全功能进行了定制。专用的操作系统软件提供了精简而高效的底层支持,可以最大限度的发挥硬件平台的能力。UTM产品的操作系统及周边软件模块可以对目标数据进行智能化的管理,并具有专门的实时性设计,提供实时内容重组和分析能力,可以有效地发挥防病毒、防火墙、VPN等子系统功能。

紧凑型模式识别语言(Compact Pattern Recognition Language)简称CPRL,是为了快速执行完全内容检测而设计的。这种语言可以在同样的软硬件平台下提供高得多的执行效能,并且可以使防病毒、防火墙、入侵检测等多种安全功能的安全威胁辨识工作获得更好的协同能力。另外,这种实现方式还有利于集成更先进的启发式算法以应对未知的安全威胁。

动态威胁防护系统(Dynamic Threat Prevention System),是在传统的模式检测技术上结合了未知威胁处理的防御体系。动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间共享使用,以达到检测准确率和有效性的提升。这种技术是业界领先的一种处理技术,也是对传统安全威胁检测技术的一种颠覆。

UTM采用的技术[解释2]

实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术。

1.完全性内容保护(CCP)

CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。

它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

2.ASIC 加速技术

ASIC 芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台, 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力, 提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器 和网络系统要实现内容处理往往在性能上达不到要求。

3.定制的操作系统OS

专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。

4.紧密型模式识别语言 (CPRL)

这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。

UTM的优点

整合所带来的成本降低

将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

降低信息安全工作强度

由于UTM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署过程中可以大大降低强度。另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,UTM安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。

降低技术复杂度

由于UTM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。

UTM的缺点

网关防御的弊端

网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。

过度集成带来的风险

将所有功能集成在UTM设备当中使得抗风险能力有所降低。一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。

性能和稳定性

尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。

UTM发展趋势

总体来看,UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供了组合多种安全功能的可能,用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能,并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进,除了引发出的新市场需求之外,UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。按照目前的发展态势估计,UTM产品很可能代替目前传统的一些信息安全产品,成为信息安全市场上新的主流。根据IDC的数据,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平均接近百分之八十的年成长率,并于2008年成长成为一个容量达到20亿美元的市场细分。

早在2003年,在市场上销售UTM类型产品的厂商还只有不到十家,而截止至2004年底,仅推出UTM产品的知名厂商就已经达到了2003年的3倍以上。这些厂商既有老牌的网络安全设备厂商,也有防病毒、防火墙等领域的技术巨头,其它一些中小型的UTM厂商更是多不胜数。被认为是最早在市场上推出UTM类型安全产品的Fortinet公司仍旧占据着该市场的领先地位,但是这种领先已经受到了很多后来者的威胁。例如SonicWall公司在2005年第一个季度的营收与去年同期相比已经实现翻翻,而销售数量则接近去年该季度的3倍,成为UTM市场崛起的一股新的领导力量。国内的天融信能够连续数年成为国内安全设备占有率最高的厂商也同样证明了一个道理,持续的创新和对用户需求动向的把握是在安全市场成功的重要因素。

当前的整合式安全理念呈现出两种不同的发展方向,一是在统一威胁管理的框架下融合多个厂商的多种技术和产品,二是组合多种功能形成整合化的UTM安全设备。虽然整合式的UTM安全设备更加简单易用并具有更多先进的设计元素,但是整合多种现有产品形成有效的解决方案仍然会在UTM市场中占有重要的地位。首先是因为目前有大量的技术和设备资源是在UTM框架之前形成,我们不可能跨越这些资源从头建构各种安全设施,而且这样做也是没有任何必要的。UTM的先进性更多的体现在它的框架理念上,而并非局限于某种具体的产品。我们有足够的理由和能力将UTM的先进理念应用于其它形式和模式的安全设施之上。真正意义上的UTM产品应该象我们所提出的UTM概念的后半部分所描述的那样,形成一个标准的统一管理平台,只有这样才能提供足够强壮的安全防御产品满足用户的需求。真正深究统一威胁管理的内涵我们会发现,这既是安全产品不断向着整合化发展的直接结果,同时更是对信息安全体系化的不断精化和反哺归真。

目前市场上出现的各种UTM产品和UTM解决方案更多的是在已有产品或已有解决方案的基础上进行整合和创新而成,统一威胁管理真正的威力尚没有被完全发挥出来。以UTM安全设备为例,很多厂商的产品仍旧是以防火墙系统为核心,并且在引导用户认知的过程中也体现出方式。这一方面是因为用户对防火墙产品的认同度较高,另一方面也体现了厂商在技术实现方面的一些脉络。完全以高于安全功能的更抽象层次进行设计的产品还不很多见,而只有这样才能最大限度的从UTM框架中获得最大的产品价值提升。同时延续对网关防御的担忧,目前市场上更加具有分布式和具有更高适应性的UTM解决方案同样稀少。所以我们认为目前UTM等整合式安全产品的出现仍停留在对传统产品的改善和颠覆,尚没有真正开启信息安全新时代的大幕。

展望未来的几年时间,UTM阵营将在很多方面取得突破,信息安全新格局的产生也有赖于此。用不了很久,UTM产品中就将集成进更多的功能要素,不仅仅是防病毒、防火墙和入侵检测,访问控制、安全策略等更高层次的管理技术将被集成进UTM体系从而使组织的安全设施更加具有整体性。UTM安全设备的大量涌现还将加速催生各种技术标准、安全协议的产生。在UTM理念尚没有被接受之前,众多安全厂商就已经在积极的寻找使不同厂商的产品可以互通合作的方式。例如CheckPoint发起的OPSEC联盟以及天融信倡导的TOPSEC联盟等等,都是在产品互操作性方面的积极努力,并且受到了大量厂商的拥护和支持。即使UTM安全产品被推出之后,这种对户操作标准的渴求应该得到延续,而不能因为UTM产品的出现就放弃了对不同厂商产品可互操作的追求。未来的信息安全产品不仅仅需要自身具有整合性,更需要不同种类不同厂商产品的整合,以最终形成在全球范围内进行协同的安全防御体系。在未来不但会制订出更加完善的互操作标准,还会推出很多得到业内广泛支持的协议和语言标准,以使不同的产品尽可能拥有同样的“交谈”标准。最终安全功能经过不断的整合将发展得象网络协议一样“基础”,成为一种内嵌在所有系统当中的对用户透明的功能。而这才是信息安全新时代到来的真正标志,我们期待着UTM为我们吹响向这一目标迈进的号角。

UTM问答

什么是UTM?
UTM 的全称是Unified Threat Management,中文翻译是统一威胁管理。UTM设备是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。UTM起源于为防止混合型、应用型攻击的快速蔓延而对灵活的、整合各种功能的设备的需求。

为保护单位网络,在只能购买一台产品的前提下,应该选择防火墙还是UTM?
UTM。因为威胁的发展趋势表明,攻击主要来自于两个方面,一是混和攻击,二是对应用层的攻击,要抵御这样的攻击,单台防火墙的防护能力是不够的,只有选择基于防火墙的UTM产品,才能提供全面的保护功能。UTM可以配置成防火墙,而防火墙不能配置成UTM。

市面上冒出很多UTM设备,如何判断其真伪?
判别UTM设备真伪的关键在于4W1H:全部功能(What)能否同时(When)在所有网卡(Where)(包括VPN隧道)上实现全双工(Way),并且有相应的功能设置界面及日志(How)。如果有些功能只能在某一网卡上实现,则和两台单一设备桥接在一起使用没有本质的区别,无法针对全部安全域实现统一威胁管理,因此只能叫做“多功能威胁管理(MTM)”,充其量也只是“UTM 1.0”。
另外,还可以通过公安部计算机信息系统安全产品质量监督检验中心公布的资料查看其是否通过了检测,对于那些以“内容过滤安全网关”或“小型防火墙”名义通过检测的产品,选择时要多加比较。

如何判别UTM产品里的一项功能的价值?
首先看该UTM产品是否模块化,如果是,则应判断其所处模块的整体价值;如果没有模块化,则应把该功能单独拿出和同类单一产品进行比较,如果不能够代替同类单一产品,则说明该功能还不完善,只是该UTM产品中的点缀,说的好听是锦上添花,说的难听是滥竽充数。另外,再看此项功能能否同时在全部网卡上生效,如果只能同时在一个网卡上生效,则价值至少缩水8成以上。

单位已购置了一台防火墙,还有必要再购置了一台UTM吗?
有必要。为了完善您的安全,消除"安全短板",对于安全等级高的资产的保护不能只依靠防火墙。在资金有限的情况下,选择购买UTM比选择购买IDS/IPS,防毒墙,AAA认证设备等单一功能设备更能适应单位发展的趋势。

UTM可以用于上网行为管理,以提高用户的生产率吗?
可以,二代UTM的应用过滤模块包括74类10万条URL的网页过滤功能、多语种关键词网页内容过滤,加上FTP过滤,邮件过滤、备份,MSN、QQ帐号级过滤,基本可以满足一般企事业单位的上网管理需求。另外,应用过滤模块还具有防病毒、防木马、防垃圾邮件、防网页钓鱼,流量拦截,VPN隧道内仍可进行上网行为管理等功能,这是一般旁路式监听产品所无法拥有的。广义的上网行为管理还包括身份认证,用户级时间、会话数、流量、带宽控制等,这不是只做第7层过滤就能达到的。另外,上网行为管理功能只是UTM的一部分,它偏重于内网出外网的管理,因此不能叫做UTM。

单位有一套应用系统准备对外发布,如何对其进行安全防护?
根据该应用系统的类型及价值,可以进行如下防护:防火墙(端口重定向、包过滤)、抗DoS攻击(SYN洪水攻击、IP碎片攻击、假冒IP地址攻击等)、时间控制(一天中的多段时间)、流量控制(每日/星期/月流量)、带宽优化(保障关键应用的带宽)、会话控制(保障资源合理利用)、WEB缓存(加快系统反应时间)、IDS(检测应用攻击)、IPS(阻拦应用攻击)、身份认证(鉴别使用者身份)、应用加密(不被窃听)、VPN(鉴别使用者身份、加密、抗抵赖)、负载均衡(保障应用性能)等。那种只靠防火墙+抗DoS攻击的防护措施只能保证应用系统基本的可用性,不能保证应用系统的机密性、完整性、可控性和不可抵赖性。

xx厂家既有防火墙、IDS又有UTM,怎么选择呢?
首先,看该UTM是否是OEM国外的产品,若是则不如直接选择国外品牌;其次,看该UTM包含了哪些原防火墙、IDS的功能,如果功能不全则不如选择原防火墙+IDS的组合。若资金有限,还是选择只做UTM厂家的产品性价比高。

因为某种原因,UTM可以不要入侵检测与阻拦模块吗?
可以。对于二代UTM产品,您可以选择不要除防火墙模块外的任何其它模块。

有无限制用户数的UTM/防火墙吗?
没有。所谓的“无限制用户数”是指:一、没有在管理功能上做限制,二、没有有效的控制用户会话数的手段。由于性能上的局限,这种产品所能带的用户终究是有限制的。

流量管理就是带宽管理吗?
不是。单位时间(每秒)的流量是带宽,一定时间范围内(每天/每星期/每月)的流量不是带宽而是总流量。目前市面上的防火墙/UTM/流量优化设备一般只有带宽管理功能而没有全面的总流量管理功能,二代UTM同时具备带宽和流量管理功能,既可以对IP又可以对用户的不同应用进行管理。

如何选择带宽(QoS)管理设备?
可以考虑两个标准:一、带宽管理功能和包过滤功能在同一条策略中设置;二、能针对源IP及目的端口的组合进行设置。如果带宽管理功能和包过滤策略分离,就不能做到统一带宽管理;如果只能针对源IP或目的端口进行设置就不能实现对每一客户端的精细控制,就有可能导致受控IP的所有应用同时变慢等副作用。

UTM可以被托管吗?
可以。二代UTM设有多个不同角色的用户,可以将策略管理员的职责外包给专业机构,如MSSP,在建立好安全策略后,还可以将此职责收回,也可以将审计员的职责外包给信息安全审计机构,同时,统一威胁管理也使得管理者的工作大大简便。

为安全起见,可以有多个DMZ区,一个DMZ区放一台服务器吗?
可以。您可以将任何网卡配置成DMZ区。

为了提高出网效率,可以有多个WAN连接吗?
可以。您可以将任何网卡配置成WAN连接,用于连接电信、网通、教育网等不同的网络。

内网控制(或某一其它)功能只能在LAN口处才有吗?
不是,根据需求及配置,您可以在任意网卡处拥有全部或部分功能,从而不影响内网安全域细化。

多WAN口的设备好还是多LAN口的设备好?
多LAN 口的设备更能保护内网安全,它相当于内置了一台三层交换机,各个LAN口所在的网络之间是缺省隔离的,并受到UTM的保护,这使得内网安全域可以细化,例如财务部、高级管理人员的网络可以和其它部门的网络分开,保障其不受内部人员或网络蠕虫的攻击(据美国FBI统计70~85%的攻击来自于内部),这是用网卡别名生成不同网段所不能比拟的。多WAN口设备主要用于业务连续性要求高的单位,不能解决内部的安全问题。多MDZ口的设备和多LAN口的设备类似,可以更进一步保障DMZ网络的安全。

只能有LAN、WAN、DMZ三种安全域吗?
不是,根据需求及配置,您可以拥有2~N个不同的安全域,相当于同时拥有N/2台UTM防火墙,其中N等于网卡的数量。那些号称有1LAN、1DMZ、 2WAN网卡的设备,由于网卡角色固定,扩展性及灵活性不高,不能满足变化多端的实际用户网络环境,所能实现的安全等级也不会很高。

为方便管理及节约投资起见,可以将管理员主机设在任意安全域内吗?
可以。您可以将管理员主机设在任意安全域内以方便管理。与此相反,您也可以将某一安全域专门用于管理以加强安全性。

内网的计算机是装备了可信计算技术的安全计算机,还需要老三样(防火墙、防病毒、入侵检测)的保护吗?
需要。可信计算技术只解决了用户及终端可信的问题(正确的用户使用正确的计算机),它不能保证用户及终端不受病毒(除了BIOS病毒)等外界攻击,也不能保证经过验证的用户及终端不攻击其他用户及终端。实践证明,在只装备了可信技术的计算机上安装Windows操作系统,将100%被黑,若是被网络蠕虫侵犯,这台可信计算机还将充当傀儡攻击其它计算机。因此,可信计算技术和"老三样"不是代替的关系而是互补的关系。

UTM可以用于内网安全吗?
可以。中神通内网安全网关是UTM在内网安全领域的实践,它在防御外部攻击的同时,也可以防御内网之间的窃听和攻击。

绑定IP及MAC地址可以用来解决身份认证问题吗?
不能,即使在一级接入交换机的端口上绑定,也不能根据IP及MAC地址来判定一台计算机是否合法,这是因为计算机的IP和MAC地址可以同时改变,在Windows下这种改变更加简便易行。

有更好的办法用来解决内网IP地址盗用的问题吗?
可以。您可以启用身份认证功能,将内网的安全域细化。

有更好的办法用来解决内网用户私设代理、路由逃避收费吗?
可以。一般用户机器和网关的不同在于同时连接数的不同,可以将内网用户的同时连接数设为一个合理值,并对连接会话的流量进行排序,流量排在前几名的连接可能是代理发出的。还可以检测同一IP的QQ、MSN帐号,多个帐号表明可能是代理。

可以通过封闭端口来阻止BT、P2P下载吗?
不能。BT、P2P的端口可以在全部65535个端口中变换,不能指定某个端口就是BT、P2P所用的端口。如果只保留80、53等常用端口而封掉1024以上端口将影响FTP等常见软件的使用,好的控制方法是在全开的前提下进行的,这样不会影响正常工作。

通过特征值来阻拦聊天、游戏、BT、P2P软件好吗?
不一定,可以用特征值来阻拦的网络软件只是很少的一部分,面对层出不穷、日新月异的此类软件,与其封堵不如限制使用,这样才能在不妨碍正常工作的前提下管好网络,即应该将工作重点放在优化正常工作流量上,而不是相反。

限制了源端IP的最大同时会话数是否能够解决BT下载等资源滥用的问题?
不能。关键在于不好确定具体的取值,如果小了,例如,100,从整体上讲,单个用户的滥用行为不会影响到整个网络的性能,但是每个用户可用的资源将受到固定的限制,即在限制BT下载的最大同时会话数的同时也限制了正常工作用的最大同时会话数,最终结果是工作效率的下降,这可能比因BT下载而导致的损失更大更持久;反之,如果大了,例如,1000,则不足以限制因多个IP同时BT下载而导致的资源滥用。总之,这种方法是一种似是而非的解决方案,二代UTM可以做到基于会话的最大同时会话数的控制,即对源IP+目的IP+目的端口+协议组合的控制,可以完美的解决BT下载等资源滥用的问题,同时不会影响正常工作效率。

可以查看同时连接数吗?
可以。您可以查看客户端的同时连接数,也可以查看服务器的同时连接数,并且可以按多种条件进行查询,查到的连接可以马上中断,即所见即所断。

设置时间策略后,当时间到时可以将已建立的连接中断吗?
可以。状态检测防火墙的基本功能不仅包括建立、维护新连接状态,还包括定时或手工中断已建立的连接,如果只做到前者而做不到后者就会导致安全策略只能控制新连接而不能控制已建立的连接,使得防火墙形同虚设。

针对应用的用户认证、授权、计费(AAA)可以不只限于WEB应用吗?
可以。您可以针对任何应用启用用户认证、授权、计费(AAA)功能,但只有WEB应用才有认证重定向功能。如果只对WEB应用(一种应用)做用户认证(一个A)则意义不大。

WEB重定向需要修改网站的网页吗?
不需要。您不用修改任何网站的网页。

针对应用的流量控制可以不只限于WEB或P2P应用吗?
可以。您可以针对任何应用启用流量控制功能。那些只针对P2P应用的流量控制没有普遍性,不能控制所有的应用,适用于ISP方的控制而不适用于终端客户的使用。

可以不让用户通过WEB邮件、网盘等上传文件吗?
可以。您可以通过WEB代理的"最大上下载文件大小"参数进行控制。

可以提供过滤URL来阻止用户浏览黄色网站吗?
不一定,目前全世界的黄色网站有3.7亿之多(截止2007年6月),而厂家的URL数据库最多也就是千万级的,且不谈不能覆盖全部黄色网站,就是把现有 URL全都过滤一遍,其上网速度也将慢得出奇。另外,加密隧道的使用将逃避所有的URL过滤设备的检查,对此用户应该有心理准备。

如何设置网页的内容过滤?
在设置关键词之前请先确定网页编码的格式,同样是显示简体中文,网页的编码格式就有GB2312和Unicode两种,因此要查看网页源代码,确定网页编码的格式后,再设置关键词及其权重。

为什么内网装了防病毒软件仍然病毒、木马泛滥?
因为现在的病毒、木马在释放出来前都是经过各种防病毒软件的检测,在做到基本“免疫”之后才会放出来捣乱,各种防病毒软件只有取得病毒、木马样本之后才能做到防病毒(参看:CCW报道:熊猫烧香病毒幕后黑手曝光)。这种结构性的缺陷导致各种病毒、木马泛滥成灾,性能再高的内容过滤设备对此也无能为力。二代UTM可以从病毒、木马的源头防止这种情况的发生,起到了治标又治本的作用。

网关防病毒和网络版防病毒软件有什么区别?
网关防病毒是对内网所有网络流量进行实时的过滤,协议有HTTP、POP3、SMTP等,网络版防病毒软件的控制方式是网络的,执行端还是在各个终端处。在桌面防病毒软件不起作用的时候,网关防病毒可以帮助这些机器抵御来自网络的病毒,因此是桌面防病毒软件的最佳拍档。如果您要保护Windows共享资源,请选用IDS/IPS模块,它具备5000多条针对windows漏洞的防御规则,可以让您放心打开PC防火墙共享Windows资源。

有更好的办法用来阻拦MSN、QQ聊天吗?
有。您不必在客户端安装任何控制软件,不必让客户端加入域,不必阻拦客户端的IP,也不必上网查询MSN、QQ服务器IP地址,因为二代UTM只针对MSN、QQ帐号进行阻拦,而且可以为您找出最新的MSN、QQ服务器IP地址。IM过滤的三重境界是:端口过滤、协议过滤和帐号过滤,帐号级过滤可以对客户端设施更加灵活的访问控制策略,可以避免因封MSN、QQ而带来的工作上的不便,是目前最好的控制方法。

P2P、HTTP TUNNEL如何检测?
首先,在打开的端口中不包括常见的P2P服务端口,这将导致P2P通过Port 80通讯。然后,启用Port 80过滤功能,通过查看日志找到P2P、HTTP TUNNEL软件留下的痕迹,在Port 80过滤规则中拒绝这些特征,这样可以将大部分P2P、HTTP TUNNEL通讯阻拦。

所有模块都打开,网速变慢怎么办?
首先,查看DNS服务器设置是否是本地ISP提供的,IE浏览器是否中毒等,可以通过IP地址访问一个稳定、快速的站点(例如百度等),确认不是所有网站同时出了问题。另外一种情况是网络内有ARP病毒,注意查看ARP、系统日志,及时了解ARP请求的异常情况。其次,查看是否是因为硬件处理能力不够而导致网速变慢,如果是这样,建议增强硬件配置,或将安全模块分散在多台优强UTM中使用。

性能是防火墙、UTM最重要的因素吗?
不全是。防火墙、UTM是控制设备,其最重要的因素依次为安全、稳定、性能、扩展性,路由器、交换机是连接设备,其最重要的因素依次为性能、稳定、扩展性、安全。例如,当无法检测网络蠕虫的攻击而导致其在网上蔓延时,一台高性能的防火墙、UTM所具有的"同时连接数"及"每秒新建连接数"的性能指标在帮助它长时间不当机的同时,也帮助了网络蠕虫大面积的传播,与此相反,一台马上当机的低性能的防火墙、UTM反到能阻止这种情况的发生。

利用虚假IP地址进行攻击会使入侵阻拦(IPS)产生负面影响吗?
不会。入侵阻拦利用多项技术尽量减轻这种影响。首先,每条规则均可自定义,其次,使用IP地址白名单方式,然后,可以将阻拦限制在发生攻击所在的网卡处,再次,可以将阻拦时间设为一段较短的时间。

IPSEC中可以用证书认证而不用CA吗?
可以。请使用RSA证书认证,它比共享口令认证安全,比X.509证书认证简便,适用于10个连接以内的IPSEC虚拟专用网。

用户远程访问必须使用VPN吗?
不一定。VPN的优势之一是加密,若远程访问的应用有加密措施,则使用优强UTM的基于用户认证的安全策略(应用)就可以满足客户的需求。

用户远程接入的首选是SSL VPN吗?
不一定。SSL VPN的起源是为了多种应用(HTTP、FTP、终端服务、X11、VNC等)只通过80或443端口访问远程服务器,可是当客户端方网关进行内容过滤时,这种连接将被拦截。反之,若不检测则这种或其它隧道技术也可以利用80或443端口逃避网关的检查,成为网关上的一个"洞"。若SSL VPN丧失配置便利的优势,则二代UTM的PPTP VPN可以成为用户远程接入的理想选择。所以,SSL VPN作为内部的工作门户比作为远程接入更合适。

PPTP用户可以改口令吗?
可以。二代UTM提供WEB Portal,用户可以在其上修改口令,而且不需要任何第3方的软件或服务(CA、RADIUS等)。一个不能让用户自己修改口令的VPN产品,其可用性几乎为零。

IPSEC、PPTP VPN加密隧道内可以进行并发连接数、带宽、流量管理、内容过滤以及入侵检测与阻拦(IDS/IPS)吗?
可以。二代UTM可以对VPN隧道进行全功能的控制,能够提供比所谓的“Clear VPN”更全面的控制。
 

点赞 (1)
  1. youximigang说道:

    我是学相关专业的,觉得文章写得不错,以后会经常来逛[face_11]

  2. 钢绞线说道:

    第一次听到这个名词啊嘿嘿

  3. 云南瑶浴说道:

    来看看博主的文章, 顺便支持下。

  4. 游资说道:

    来看看博主的文章

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Captcha Code