在独立系统上开发UTM已经成为趋势(下)

站稳脚跟

IDC公司的分析师Charles Kolodgy在2004年首次提出“统一威胁管理安全设备”这个术语时,与其说是他引入了一类新的产品,还不如说是宣布了一股潮流。当时防火墙在添加各种功能,而Kolodgy最初给出的UTM定义要求产品把防火墙、入侵检测与预防以及反病毒扫描等功能集成到单一设备中。如今的UTM产品包括诸如此类的众多功能。概要如下:

·防火墙:这种应用广泛的安全产品近来渐渐失宠。不过在真正的默认拒绝部署环境下,防火墙仍是一项可靠的安全措施;而UTM设备源于防火墙的事实表明了其合适的部署模式:你只要对网络非常了解,知道把防火墙部署在网络上的哪个部位比较好,那么这个部位可能也适合部署其他安全特性及功能。另外,防火墙厂商们没有止步不前。在最新一代的防火墙理念当中,一度应用于开放系统互连(OSI)网络模型第1层到第3层的概念如今针对这个模型的全部7层,允许规则应用于数据和应用程序,不管使用哪个端口或者哪种协议。

·入侵检测与预防系统:虽然入侵检测系统(IDS)和入侵预防系统(IPS)背后的理念有着细微差异——或者说,本该如此,但它们较之传统防火墙的作用主要在于能够查看数据包内部,而不是只是根据数据包头来做出安全决策。遗憾的是,IPS代表了默认允许机制:制订的规则旨在阻止各种攻击、漏洞或者其他可疑行为,之外的各种流量却可以长驱直入。

虽然通常来说,IPS经过合理调整后,可以减少大部分恶意流量,但IDS/IPS厂商们很难跟上从服务器攻击到客户机端漏洞的转变。网络网关入侵预防系统存在视角问题:很难发现不是针对网络套接字(network socket)的攻击。比方说,浏览器插件漏洞可以在加密的JavaScript代码里面发送;而JavaScript代码采用在SSL事务里面进行加密的HTTP内容编码来进行压缩。要是端点上没有运行相关软件,或者缺乏完美模拟端点的完备功能——这又是网络IPS缺乏的功能,IPS就没有任何可靠办法来阻止这种攻击。

·反病毒:最初的UTM定义包括网关反病毒功能,这通常意味着SMTP和HTTP扫描。有些产品把保护对象扩大到了对等协议、文件传输协议或者聊天客户软件。最近出现的UTM产品没有单纯的反病毒功能;相反,把反间谍软件、反垃圾邮件和反恶意软件等功能都包括在内。最新技术利用行为扫描来对传输文件进行检查,从而识别潜在威胁,而不是依靠静态指纹数据库。当然,不管扫描是基于行为还是基于特征,它们仍都采用默认允许策略。随着市场不断发展,除了这“三大功能”外,UTM产品还新添了诸多功能,包括:

·网络基础设施功能:考虑到UTM背后的理念以及已经流行的这一趋势:把虚拟专用网(VPN)等其他网络功能集成到防火墙产品里面,许多UTM设备也就成了完全实用的一体化网络基础设施(network-infrastructures-in-a-box)。它们可能包括网络地址转换(NAT)、服务质量或者VPN之类的功能。UTM产品中的VPN功能不但包括SSL或者其他客户机/服务器VPN技术——这些技术让远程员工可以访问公司内部的资源,还包括站点到站点VPN技术。

·内容过滤:内容过滤常常与通过URL黑名单服务(这是需要订购许可证才能更新的诸多UTM特性当中的一项)的Web内容过滤有关,经常被厂商吹嘘成能够提高生产力。当然,高明的用户几乎总是能找到办法来访问他们想要查看的内容。

·数据泄漏预防:数据泄漏预防(DLP)产品在过去这几年一直很流行。预计它们会继续合并到传统的UTM产品当中。如今,许多产品拥有一些简单的数据泄漏预防机制,如电子邮件关键字过滤或者阻止电子邮件中的附件,但IBM的Proventia产品线领先一步,声称拥有一整套完备的DLP功能。

·网络访问控制:虽然即便不与其他众多功能结合在一起,网络访问控制(NAC)或者网络准入控制(取决于销售厂商)的概念也很难定义,但它对下面这种产品来说很有必要:在网络上处理与安全有关的各项工作,从而控制访问、执行端点安全策略,或者与其他NAC系统集成起来。SonicWall公司的强制反病毒检查就是证明厂商往这个方向迈出了一小步的例子。

·基于身份的访问控制:对网络网关产品而言,基于身份的访问控制(IBAC)是另一项比较新的安全技术。自计算机问世以来,操作系统、应用程序及其他设备就在采用授权和验证思想。不过,把这种思想运用到网络网关的IBAC还是比较新的一种方法。Cyberoam公司把这种基于身份的保护技术作为其 UTM产品线的一项基本功能。