UTM身居云垂阵,进可攻退可守,变化中彼此声息相通,心心相印,纵横合击,势如破竹。
UTM产品基于统一威胁管理目标设计,用于全方位解决企业综合网络安全问题。产品提供全面的防火墙、病毒防护、入侵检测、入侵防护、恶意攻击防护,同时提供VPN和流量整形功能,在综合安全防护基础上,提供附加网络增值功能。
1 面临的挑战
随着网络中应用的越发复杂,企业内部除病毒传播、系统漏洞、黑客攻击等传统威胁外,木马、拒绝服务攻击、垃圾邮件、带宽滥用等问题也日益严重,并且在攻击方式、攻击目标上亦呈多样化发展趋势,具备单一功能的安全技术已无法防御如此复杂的网络威胁,可集成多种安全功能于一身的UTM产品,在快速发展并被越来越多用户认可的同时,也面临着重要挑战。
1.1 应用层深度检测
应用层深层检测的真正目的,不仅仅是对病毒的防御,还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。同时,作为部署在网关位置的UTM产品,在进行深层检测时必须确保不出现误判,如果深层检测出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。
1.2 UTM性能的提高
对于市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。某些品牌的UTM产品,标称防火墙性能上G,入侵防护、防病毒好几百兆,虽然在测试中也能达到,但必需是开单项功能时的测试数据。一旦功能全开,性能可能会下降到几十兆的地步,而原本标称几十万的并发连接则直奔几千而去。
1.3 UTM的协同运作能力
我们需要具备云安全防御技术及构架更完整、可定制性更强的UTM产品。除整合更多功能外,各功能模块之间的协同运作能力也将上升到新的高度。对于中小企业用户来说,新型的安全产品无论是在功能方面还是在性能方面都将更加细化和灵活。并且由于标准的兼容,产品之间可以组合使用,发挥完全一体化的效应。
1.4 UTM的易用性
网关的易用不只体现在管理、维护、配置上,还体现在设备的部署上,对网络的兼容性上。UTM产品确实需要在产品开发过程中贯彻“易用”这一原则,使产品能够具有长期的生命力。
2 解决之道
2.1 应用层深度检测
2.1.1 应用感控技术
应用感控技术不同于传统的基于端口和协议的状态包过滤技术,这种技术能通过流量识别网络上的应用程序,基于应用ID进行智能识别与控制,同时,可以辨别出来自同一网站的不同应用并且可以启用服务质量选项为这些应用优先分配带宽。
2.1.2 Web主动过滤技术
Web过滤是指上网监控功能,具备内容过滤的安全网关通过多重过滤与保护,对内容和网址进行监控,对内容不良的网站实行过滤,从而实现对网络内部人员上网进行监控URL的屏蔽列表。
2.2 UTM性能的提高
2.2.1 PSE预检技术和优化匹配技术
数据在进入设备后,除协议异常的流量流向异常检测模块外。主要的流量都交给PSE预检引擎。PSE预检引擎能够极高速的分离出清白流量和可疑流量,再将可疑流量交由特征优化匹配引擎进行进一步处理。融合引擎的技术原理如下图
PSE预检技术时一种将现有特征库进行数据抽象,形成体积远小于原特征的PSE库,然后利用这个PSE库的预检来加速网络处理的技术。实际上,类似的处理方法,我们在日常生活中经常会用到。就好像平常我们去门口接几个人,实际上我们对要接的人的身高、相貌、衣着等等都有个心理准备。那么,猫猫狗狗,这个不是人,不用看了;前面来了个外国人,这个也不用看了;又过来个2米多高的,这个也不用看了;我们要接的都是男的,女的也不用看了。我们会自觉不自觉的直接采用少量特征对大多数目标进行排除,只有少数差不多的目标才会详细的加以验证。 PSE预检技术也是如此,经过抽象处理的PSE库,所需检测时间不到常规的10%。那么,做个简单计算,当网络中可疑流量只占到20%时(这在实际中已经很高了),采用PSE预检处理可以将性能提升高达70%。当然,在同等网络情况下,PSE库构建得越小,往往可疑流量就越高,这之间的平衡是需要仔细斟酌的。
在PSE预检完成后,对于可疑流量再进一步的交给特征优化匹配引擎进行处理。为什么叫特征优化匹配引擎?我们首先需要知道,在网络上处理恶意流量,尽量跟传统的杀毒软件一样要用到特征匹配技术,但是对工作流程的需求有极大的不同。传统杀毒软件面对的是完整的文件,而诸如UTM这样的网络设备面对的是数据流,更准确一点说,是多个数据包,形成威胁的特征值可能分散在多个数据包中。作为一个网关设备,我们不能将所有数据包都先缓存下来,检测完毕再进行转发。否则必然造成网络的拥塞。这就要求在做特征匹配时,必须根据网络流的这种需求对匹配进行优化。相关优化方法有很多,其中相对高效的一种是基于自动机原理的优化匹配方法。
2.2.2 内容检测技术
贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全性内容保护采用了完全内容检测技术,即对0SI网络模型所有层次上的网络威胁的进行实时保护。与其他单纯检查包头或“深度包检测”的安全技术不同,它能够扫描和检测整个OSI堆栈模型中最新的安全威胁。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。
2.3 UTM的协同运作能力
2.3.1 主动云防御
云安全防御技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。实现立体全面的防护。
2.3.2 产品间的协同防护
UTM产品的协同防护要以安全策略为中心,综合运用检测、防护、报警、响应等工具,对可能发生的威胁进行立体防御。如:防火墙模块和终端产品联动可进行终端的准入控制、IPS模块与终端产品联动可进行内网终端入侵行为的及时阻断、VPN模块与终端产品联动可进行远程终端的接入认证等。
2.4 UTM的易用性
2.4.1 一键配置
一键配置功能让管理人员可以通过WEB界面,对每个按键对应的工作模式进行重新定义。例如,在实际的一个案例中,用户将‘低’定义为调试模式,不做任何拦截策略,用于在网络出现联通性故障时调试使用。“中”定义为常规运营模式,根据事先定义的策略对恶意流量进行拦截,同时进行上网行为管理。而“高”则根据用户的《信息系统应急预案》,定义成除了ERP、Web、邮件和财务应用外的完全阻断模式。当发生安全事件,需要启动信息系统应急预案时,不必再单独配置UTM设备,只需简单的按下“高“键即可。而应急状态解除后,也仅需按下“中”键即可恢复常规运营。为了防止按键被误按,三色按键右方设计了安全开关,平常将旋转开关置于“锁“的位置即可。三个按钮虽然是固定死的,但是它代表的策略是动态变化的,是能够定制的。
“一键配置”功能,在多功能安全集成产品的易用性方向上可谓是革命性的一步,是中小企业用户,以及大型企事业用户分支机构的上佳选择。
2.4.2 集中管理
UTM的价值在于简化管理,即以最精简的单一设备来达到所需要的网络管理水平,并具有快速迁移、集中管理、节省成本的优势。通过部署安全管理系统软件,可实现对安全网关的集中管理,有利于快速完成多台安全网关设备的部署实施工作,并方便管理员对多台安全网关进行管理维护。如:根据设备心跳信息,自动发现在线安全设备;支持以拓扑地图形式呈现用户网络部署情况,并可以进行自动拓扑布局调整,呈现设备运行状况;可通过浏览器远程登录安全设备的管理界面,进行配置和管理;集中监视设备运行状态、资源占用情况、设备告警情况、设备在线用户信息、网络连接状态等;支持监控任务订制,监控任务后台自动运行,设备历史运行状态呈现与分析;实时监控设备的各类告警信息,并可采用声音、邮件、短信、弹出窗口等多种方式进行响应;支持集中的日志采集、存储、查询、统计、在线分析等审计功能。
2.5 产品现状及发展
面对UTM设备不可避免的性能损失,以及不同规模、不同需求的用户,哪些UTM才是适合的?哪些方案才是可行的?UTM产品相对于单独购置各种功能设备,可以有效的降低成本投入,这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度的降低对安全供应商的技术服务,有利于中小企业用户建立更加合理和真实的解决方案。
在未来,我们将看到构架更完整、可定制性更强的UTM产品。除整合更多功能外,各功能模块之间的协同运作能力也将上升到新的高度。对于中小企业用户来说,新型的安全产品无论是在功能方面还是在性能方面都将更加细化和灵活。中小企业用户可以购买到最大限度贴近自身需求的产品,从而使资金得到充分利用。而且在适合需要的情况下,用户也可以选择租用安全产品。并且由于标准的兼容,租用的产品也可以和企业已有的产品及将来购买的产品组合使用,发挥完全一体化的效应。
3 如何选择好的UTM产品
3.1 网络访问控制
深度防护策略可很好的实现网络访问控制。深度防护策略包含源地址、目的地址、源端口、源MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接等,对于不符合规则的访问,系统可以拦截并日志告警。
3.2 应用的内容识别控制
UTM需拥有完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过UTM时,UTM启动过滤引擎,对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时,UTM即可应用智能识别技术进行细粒度控制或一键封锁。
内容过滤库的处理上力求收集齐全、分类准确、更新及时。通过采用网站全智能搜索引擎技术收集互联网站点,并进行智能分类、人工核验的处理手段对网站进行分类。应最少支持50多种的URL类别,分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类,另外,由于在互联网上每天都有大量新网站出现,UTM可通过在线升级的方式,使URL库中的网站处于持续的更新状态。
3.3 病毒防御
UTM设备采用自有知识产权的病毒防御引擎和国内知名病毒厂商特征库,可整体提升设备本身安全性、可扩展性。UTM设备主要针对HTTP,SMTP,FTP,POP3,IMAP等多种协议的病毒防御,并可自定义非标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。对当前流行的过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒进行检测与阻断。
3.4 入侵防御
UTM入侵防御功能在蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御方面应具备完善的检测、阻断、限流、审计报警等多种防御手段,来满足用户的各种应用需要。可检测和阻断RedCode、Slammer、sober,Zotob、nimda等多种国内外流行的蠕虫病毒,并可通过会话数管理防御未知蠕虫病毒的攻击;可检测和阻断Sub7、netbus、bandook、Doly、GateCrasher等上百种国内外主流的后门程序;可检测和阻断ARP攻击、UDPFlooding、SynFlooding 等网络层拒绝服务攻击,而且还可以处理CC,DNS Query Flooding等多种应用拒绝服务攻击。对所有的攻击行为不但可以检测和阻断,同时需要审计、报警、限值带宽等防御手段。
3.5 异常流量管理
网络中经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务;IP/Port扫瞄的行为将让企业内部的网络架构轻易被黑客得知;大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。UTM设备内建的异常检测模块,可以检测各项偏离预期的网络行为。对网络流量异常检测,不单只使用计数的方式,还使用专门的统计算法,可以准确地检测网络流量的异常情形。自定义网络流量异常的触发参数,除了内建网络流量标准模式供比对以外,还另提供微调机制,供网络管理人员针对所管理的网络环境流量作进一步的细微调校。
3.6 应用监控管理
应用监控管理功能可以根据不同的时间、群组,对即时聊天软件、网游、P2P软件等下达严格的管理策略,应用的识别应基于应用行为和数据特征,而不是基于端口号。对P2P应用中的加密传输,要采用应用行为识别与主动探测相结合的方式,来有效地克服了加密后无法识别的业内难题。通过精确的识别,对IM软件实现了细粒度的控制,不但可以控制登陆,而且对文字聊天,文件传输,音频、视频都可以实现分类控制。
3.7 VPN功能
UTM设备需要支持标准IPSec、SSL、GRE、PPTP 、L2TP等VPN。加密强度可分等级,加密算法应包括DES、3DES、AES、IDEA、RC4。基于远程用户接入的安全考虑,需采用USBKey方式的证书认证,实现接入用户的身份鉴别,实现基于角色(账号)的权限管理和访问控制。
3.8 统一的集中管控
UTM设备应具备专用的集中管理系统,有利于快速完成多台UTM设备的部署实施工作,并方便管理员对多台UTM设备进行管理维护。在集中管理系统中用户网络部署情况以拓扑地图形式呈现,并可以进行自动拓扑布局调整。通过浏览器远程登录UTM设备的管理界面,进行配置和管理。实时监控设备的各类告警信息,并可采用声音、邮件、短信、弹出窗口等多种方式进行响应。
4 网御星云的解决方案
网御是国内最早自主研发安全网关产品的厂商之一,早在1999年,先后取得了“防火墙入侵检测与响应的方法(专利号021008515)”、“网关级计算机病毒防范的方法(专利号011091789)”等一系列发明专利成果。
网御根据多年信息安全实践经验以及对用户未来需求的把握,建立了“下一代安全架构(NSA:Next-generation Security Architecture)”的技术理念,在产品开发中以“弹性架构的安全平台”作为安全设备的技术框架和基础设施,该平台规范了底层硬件、平台软件、安全应用和高可靠的标准接口,为包括安全网关在内的各类安全网关提供了基础的操作系统和二次开发平台。网御针对“弹性架构的安全平台”,专门成立了新技术研究所,并巨资引入业内领先的技术和人才,进行持续数年的研发,才取得了技术上的突破。该平台目前已成为网御防火墙、VPN、安全网关、IPS、UTM等系列安全网关产品的基础平台。彻底解决了传统安全产品开发周期长、可靠性低、适应范围窄等关键问题,体现了产品技术平台化、模块化的发展趋势,为网御安全网关的快速开发和发展打下了坚实的技术基础。
网御安全网关基于经过防火墙、IPS等产品长期考验的“弹性架构的安全平台”,在稳定性、成熟度上具有先天的优势。网御安全网关将协议状态分析、非缓存病毒检测技术、基于状态的流模式快速匹配、智能协议异常检测、应用软件监控等技术完美地结合在一起,配合实时更新的病毒特征库和入侵攻击特征库,可有效防御基于网络入侵行为,阻断网络病毒的传播,并具有丰富的上网行为管理。在众多国内乃至全球安全厂商中,网御已经成为安全网关产品市场和技术的领跑者。
4.1 2009年IDC市场排名报告中:网御UTM产品排名第一
在中国UTM产品市场中,网御在所有厂商中排名第一,市场占有率达到20.8%。
4.2 通用安全平台VSP
网御专用安全操作系统VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面。通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使网御UTM产品在性能方面进一步提高。
4.3 统一安全引擎USE
网御安全网关采用高效的统一防御引擎USE。它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
USE克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,协议分析机、应用识别、内容检测、异常分析等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用联想的专利技术——基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。
统一安全引擎通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。USE采用标准化的技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。
4.4 可信架构主动云防御技术
网御UTM产品通过与已部署的防病毒网关、IPS、防火墙等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。
5 总结
对于UTM产品的应用,我们提倡根据用户需求及网络状况进行合理选型,在完善功能及性能的基础上,大力发展各模块协同运作能力。针对单点威胁,触发多模块协同防护将是我们发展的重点。