随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结,可以看出三个显著特点:
第一:攻击手段多样化,以网络病毒为例,从震荡波、冲击波,还有QQ病毒,可以看出现在的网络攻击手段中,既包括病毒攻击,也包括隐含通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。
第二:每一次攻击经常是多种手段并用,混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中,既包括病毒攻击、黑客攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式,如伊拉克战争期间流行的“爱情后门变种”病毒,集蠕虫、后门、黑客三者功能于一身,给互联网造成了巨大的破坏。
第三:攻击手段更新速度前所未有的快,业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或攻击行为,而同时并未有对应的防御工具被开发出来,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。
基于以上三方面对攻击多样化和融合特点的总结,可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态,无法很好的实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品,这些产品产生大量不同形式的安全信息,使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是,企业的安全管理体制也变得非常复杂,其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。
可以说复杂的网络安全解决方案成为人们关注的一个新焦点问题,如何使复杂变成简单,成为网络管理人员的一个困惑。UTM就是在这种背景下应运而生的,它的定义是将多种安全能力(尤其是传统上讲的防火墙能力、防病毒能力、攻击保护能力)融合在一个产品之中,实现防御一体化,这样就为简化安全解决方案、规避设备兼容性问题、简化安全管理提供了先决条件。因此,全面的立体防御是UTM存在的理由,更是UTM发展的方向,那么UTM所保护的网络将面临哪些威胁,或者说UTM应该提供哪些安全能力呢?
我们需要分析一下网络边界所面临的威胁,根据互联网协议的五层结构,我们可以归纳各类威胁如下:
注:虽然网络协议的多个层次均面临拒绝服务攻击和地址欺骗,但攻击技术和表现形式是不同的。数据链路层
拒绝服务:网络设备或者终端均需具有相邻设备的硬件地址信息表格。一个典型的网络侵入者会向该交换机提供大量的无效 MAC 源地址,直到硬件地址表格被添满。当这种情况发生的时候,设备将不能够获得正确的硬件地址,而无法进行正常的网络通讯。
地址欺骗:在进行 MAC 欺骗攻击的过程中,已知某主机的 MAC 地址会被用来使目标交换机向攻击者转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧的办法,网络攻击者改写了目标设备硬件地址表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式,黑客们可以伪造 MAC 或 IP 地址,以便实施如下的两种攻击:服务拒绝和中间人攻击。
网络层
拒绝服务:网络层的拒绝服务攻击以网络资源消耗为目的,它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗,使合法用户得不到应有的资源。典型的如Ping flood 和Smurf攻击,一旦攻击成功实施,网络出口带宽甚至是整个局域网中将充斥这些非法报文,网络中的设备将无法进行正常通讯。
地址欺骗:同链路层的地址欺骗目的是一样的,IP地址欺骗同样是为了获得目标设备的信任,它利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部主机,使网络设备或者安全设备误以为是可信报文而允许其通过。
非授权访问:是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问,对于一个脆弱的信息系统,这种威胁是最常见的。
传输层:
拒绝服务:传输层的拒绝服务攻击以服务器资源耗尽为目的,它通过制造海量的TCP/UDP连接,耗尽服务器的系统连接资源或者内存资源。这种情况下,合法用户发出连接请求却因服务器资源耗尽而得不到应答。典型的如TCP Flood和UDP Flood攻击,目前在互联网上这类攻击工具随处可见,因其技术门槛低而被大量使用,是互联网的几大公害之一。某些情况下,攻击者甚至将攻击提升到应用层,既不只是发出连接,而且发出应用数据,这样的攻击因不易与合法请求区分而更加难以控制。
端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP 或 UDP 端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。
应用层:
信息窃听与篡改:互联网协议是极其脆弱的,标准的IP协议并未提供信息隐秘性保证服务,因此众多应用协议也以明文进行传输,如Telnet、 FTP、HTTP等最常用的协议,甚至连用户口令都是明文传输。这为攻击者打开了攻击之门,他们可以在网络的必经之路搭线窃听所关心的数据,盗取企业的关键业务信息;严重的甚至直接对网络数据进行修改并重放,达到更大的破坏目的。
非法信息传播:由于无法阻止非法分子进入网络世界,互联网上充斥着反动、色情、暴力、封建迷信等信息。非法分子通过电子邮件、WEB甚至是IM 协议不断的发送各种非法信息到世界各地的网络终端上去。这些行为极大的破坏了社会的安定与和谐,对整个社会来讲,危害极大。
资源滥用:IDC的统计曾显示,有30%~40%的Internet访问是与工作无关的,而且这些访问消耗了相当大的带宽,一个不受控的网络中 90%带宽被P2P下载所占用。这对于网络建设者来讲完全是灾难,它意味着投资利用率低于10%。
漏洞利用:网络协议、操作系统以及应用软件自身存在大量的漏洞,通过这些漏洞,黑客能够获取系统最高权限,读取或者更改数据,典型的如SQL注入、缓冲区溢出、暴力猜解口令等。在众多威胁中,利用系统漏洞进行攻击所造成的危害是最全面的,一旦攻击行为成功,黑客就可以为所欲为。
病毒:病毒是最传统的信息系统破坏者,随着互联网的普及和广泛应用,计算机病毒的传播形式有了根本的改变,网络已经成为病毒的主要传播途径,用户感染计算机病毒的几率大大增加。同时病毒正在加速与黑客工具、木马软件的融合,可以说病毒的破坏力达到了前所未有的程度。
木马:特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
UTM产品应该提供对以上分析列举的攻击行为进行安全防护的能力。但并不是将这些安全防护能力简单的叠加在一起就可以称之为UTM;如果仅仅是功能的简单叠加,产品的管理复杂度并不能有效降低,同时会带来性能的急剧衰减,这样的产品是不可用的。因此UTM应该是产品设计上保证这些安全能力是有机融合甚至是完全一体的,这样才能真正实现简化安全解决方案,让用户的安全变得简单的目的。
据了解,2007年启明星辰推出了新一代UTM产品,天清汉马USG一体化安全网关。这是国内第一款完全采用一体化设计思想实现的功能全面的 UTM产品,真正做到了立体防御。具体来讲,天清汉马采用了综合分析、分流处理的设计思想,对各种数据的分析是在一个综合分析引擎中实现,由综合分析引擎判断出数据的合法性与否,如果合法则正常流过,如果非法则交与独立的处理引擎进行处理。采用综合分析引擎进行数据分析比各个安全模块采用独立的分析引擎具有更高的效率和安全性。同时,数据层面的统一处理为配制层面的统一管理提供的基础。