管住一切你可能面对的“威胁”

企业网所面临的安全威胁,好像都让CIO贾先生(以下简称贾CIO)遇到了。能够解救他的,似乎只有UTM。

企业网所面临的安全威胁,好像都让贾CIO遇到了。病毒、黑客、间谍、漏洞一个不少,就拿混合威胁说吧,去年春节爆发的MyDoom病毒,让贾CIO的邮件服务器瘫痪了2天。

MyDoom 是种很厉害的病毒,会通过电子邮件以很快的速度传播垃圾邮件,挤爆用户邮箱,从而阻塞网络。后经调查,它是利用全球数以百万计的被感染计算机实施针对特定企业的DoS攻击(拒绝服务攻击)。据统计,在MyDoom发作的最初五天里,就已造成600亿美元的损失。

作为集病毒和黑客攻击行为于一身的混合威胁的代表,MyDoom只是先锋,之后,贾CIO接连几次遭到混合攻击。由于这些攻击以难于防范的攻击途径进行传播,极不好对付,真是急煞了贾CIO。
后来,贾CIO看到一篇FBI的研究报告,上面分析说,多数攻击是通过内部传播和发起的(而不是通过外部发起的)。企业部署内部入侵检测系统,并在多个部门网段部署监控器,再采用电子邮件防病毒系统,可以防止病毒的传播。于是,贾CIO使用惯用的“头痛医头,脚痛医脚”的手法,将个人版防毒更换为网络版防毒(包括邮件服务器防毒)。事情有所好转。

好景不长,网络带宽又出问题了,带宽捉襟见肘,使得访问网络的速度不断下降,加之缺乏业务流优先级设定,致使网络效率也急剧下滑。

贾CIO彻底地检查了一下,发现网络速度下降的原因是大量用户在从事非生产性的网络活动,如使用P2P应用、多媒体应用以及利用微软MSN等进行语音或视频通信。运行这类应用即损失了生产力,又为针对内部网络的网络攻击打开了方便之门。

更让贾CIO心急如焚的是,后院要起火。设在上海、广州、成都等地分公司的工作人员经常访问内网,或者外地出差员工在入住酒店、星巴克咖啡馆等地也要访问内网,虽然使用了早已部署过的SSL VPN保护措施,但在访问过程中,还是会给“不法分子”提供可乘之机。
尽管攻击还没爆发,可已有专家提醒贾CIO关注这些来自远程或分布式环境的威胁,一旦威胁变攻击,后果不堪设想;并告知他,要消除这一威胁,应该为远程用户部署独立的VPN解决方案,将这些流量与企业网络相对隔离开。

贾CIO大脑有点乱,他觉得自己要做的事儿挺多,好像到处都是等他扑救的大火。
◆ 对于非生产性网络活动,他要通过实施内容过滤解决方案,降低对生产力的影响,同时还要避免间谍软件的骚扰。

◆ 为了减少网络垃圾(如垃圾邮件),他要精选反垃圾邮件解决方案,并选取合适的防火墙策略,通过关闭端口的方式,阻挡病毒的入侵。

◆ 还要不断为服务器、工作站、路由器、交换机以及防火墙本身打补丁。补丁可以解决现有的软件问题,也会为计算机带来负面影响,可能它带来的问题比所解决的问题还要多。

贾CIO幻想着一种神奇灭火器的出现,只需按下键钮,就能把各处大火扑灭。

在网络发展的初级阶段,采用单一的、有针对性的安全解决方案,不失为有效的防范手段。随着应用的广泛和深入,面对愈演愈烈的混合型威胁,这些方案无法提供充分、及时和统一的保护,更不能解决生产力下降的问题。

UTM—神奇的灭火器

统一威胁管理(Unified Threat Management,UTM)就是这样一种神奇灭火器。

UTM是由硬件、软件和网络技术组成的具有安全用途的设备,它提供防毒、防黑、防垃圾邮件等多项安全功能,并将它们集成在一个硬件设备里,构建了一个标准的统一管理平台。

前2年,市场上就出现过一体化的安全产品,它与现在的UTM有所不同。

将安全一体化

以前的一体化安全产品大多是在第三代状态检测防火墙的基础上集成其他安全功能而组成的。受到技术及性能的影响,这种产品很少集成网关防病毒和IPS功能,因为要做到扫描应用层数据来检测病毒和入侵,对主处理器是一个挑战,也是一个重负。

或者,即便包含了网关防病毒功能,也会为平衡性能与功能,而限制网关防病毒引擎扫描的协议种类。经过限制的一体化安全设备通常只支持POP3、SMTP、IMAP、HTTP和FTP这5种协议。而且,它们对同时扫描的文件数目和大小,都依硬件平台的不同而有明显的限制。

统一管理“威胁”

与单纯的在防火墙中整合其他安全功能不同, UTM更看中的是“对设备和对威胁的管理”。实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。
UTM 的特点是:能为用户定制安全策略,提供灵活性;能让用户自选功能,既可使用UTM 的全部功能,又可酌情使用最需要的某一特定功能;能为用户提供全面的管理、报告和日志平台,可统一地管理全部安全特性,包括特征库更新和日志报告等。概括起来,UTM有如下一些优势:

1.成本经济

总体系统成本比缺乏安全性控制时所带来的潜在损失低得多。有关人士做过一个估算:传统百兆防火墙价格7~8万元,如果加上防毒、防垃圾邮件等安全产品,总成本在30万左右。而购买UTM产品,价格仅10万元左右。

2.简化系统

UTM设备大大降低了安全系统的复杂性,一体化的设计简化了产品选择、集成和支持服务的工作量,避免了软件安装和增加服务器的工作。安全服务商、产品经销商甚至最终用户通常能够很容易的安装和维护这些设备,而且支持远程管理。

3.减少维护

由于工作量大、压力也大,因此手工过程很容易出错,为了保证安全性,简便高效的管理操作是必需的。
UTM设备的维护量很小,它即插即用的,只需很少量的安装配置操作。

4.远程协同

不同功能必须完美配合,才可使安全检测容易进行。通过集成所有关键的安全功能,并且提供简化的管理,UTM解决了这些问题。
大多数UTM设备可以和高端软件解决方案协同工作。UTM设备提供易安装、可远程管理的特性。这样,安装在远程地点的很多硬件设备,在缺乏专业的安全管理人员的情况下,也可以很好的和大型集中式的软件防火墙协同工作。

5.避免危险

由于应用的需求,用户通常都倾向于尝试各种操作,而UTM安全设备的“黑盒子”设计限制了用户危险操作的可能,通过更少的操作过程,降低了误操作隐患,从而提高了安全性。

给贾CIO的选购建议

由此看来,贾CIO还是挺适合使用UTM设备的。
WatchGuard中国区总经理韩涌告诉用户,由于UTM 设备能够提供综合的安全功能和高效的性能,降低了复杂度,也降低了成本,UTM设备非常适用于中小企业、服务提供商和大型企业部门级或分支机构的网络环境。

目前,提供UTM设备的厂商越来越多,哪些厂商的产品得到市场和用户的一兴,不妨从销售排名中寻找答案。

据知名调查公司统计,技术领先、排名靠前的有:Fortinet,以基于ASIC芯片加速防病毒的UTM设备,曾以29.5%的份额领先于全球UTM市场;Symantec,领先的软件安全供应商,曾在2003年以2400万美元的销售额位居UTM市场前列;Secure Computing,从软件厂商转变为硬件设备的厂商,也曾以2280万美元的销售额排名第三; ServGate,综合了全面的上下文检测功能,曾在2003年占据9.5%的UTM市场份额;NetScreen (已被Juniper收购),曾在2003年占领了5%的UTM市场份额。

WatchGuard的UTM也不甘示弱。根据该调查公司的最新报道显示,在2005年第二季度中等价位(00到99)UTM市场上,WatchGuard销售量排名第一。这次产品价位是根据产品实际的销售价格而不是产品的报价来划分的。WatchGuard的销售量已超过了在2005年第一季度销售量曾一度领先的Fortinet和SonicWall。

WatchGuard Firebox X系列(如图1、2所示)非常适合贾CIO的应用环境。它集成防火墙、入侵检测和防御以及防病毒于一体,并为应对变幻莫测的新型攻击,新增了一些功能,可以帮助贾CIO应对前面遇到的问题。

比如,在Firebox X系列中,新增了SpamBlocker功能,它对贾CIO很有用,解决了贾CIO日益泛滥的垃圾邮件问题。它提供垃圾邮件过滤服务,通过与 Commtouch合作,利用正在申请专利的循环检测模式,简便、实时的检测垃圾邮件。根据测试,一封邮件发过来,只须300毫秒,即可判定它是否是垃圾邮件。而且准确率在97%以上。

Firebox X系列还增强了网关防毒和入侵防护功能,能够帮助贾CIO有效抑制MyDoom类的混合式攻击。该功能可实时地辨别并拦截可疑的网络活动及恶意代码,制止看似无害但试图利用系统漏洞的危险流量,保护信息资产免受分侵害;同时,使用此功能还可防范间谍软件、木马程序、缓冲溢出、即时消息及点对点使用等形式的安全威胁和违反安全策略行为。

此外,Firebox X系列增强了管理和控制功能,这让贾CIO再也不必为非生产性流量产生的带宽不足问题而伤神。该功能可以管理企业员工接入Internet的行为,避免因生产力流失、网络带宽被占用、Internet骗局、恶意代码及至法律责任等为企业造成的巨额经济损失,并按照用户或组别,提供更精细的Internet 访问管理。

值得一提的是,WatchGuard特别推出新版管理工具WSM,实现对大型、多设备及多客户部署的集中化管理,用户透过统一的管理平台,可同时升级几组Firebox X,快速检查所有设备,以及为任何设备或服务提供监测与配置工具等。贾CIO采购这种管理工具,灭起“大火”来,方便多了。

挑战伴行

UTM设备在管理上和功能的齐全性上有很强的优势,但“物极必反”,UTM也面临着由此带来的新挑战。一个是性能,那么多功能集成在一起,要达到更高的处理效率和更强健的防御能力,必须在算法、模式识别等方面进行创新设计,能否做到这一点,就看UTM提供商的研发实力了。

另一个是UTM自身安全问题。集成度高的安全设备一旦瘫痪,整个网络将被暴露在危险之中。目前,蠕虫病毒、黑客攻击异常猖獗,无孔不入,UTM若有个意外,网络系统瞬间必死无疑。可以采取传统的双机容错式的保险方案,只是会增加一倍的成本。