安全管理无止境 统一威胁管理大放异彩

日期: 2008-05-18 作者:Jordan Wiens翻译:戴浩军 来源:TechTarget中国

  首先,让我们来想象一下通过机场安检时的情景。你先走到安检员面前,让他仔细检查你的登机牌和证件,通过后马上又有机场警察拿着金属探测器挡住你的去路,如果探测器没有发出警报,你就可以继续前行,但走不到几步,又得在行李检查线前停下来,等待警卫搜查行李内是否有易燃易爆物品。


  在IT世界里,当数据包进入一个高度警戒的网络时,也会遇到类似的情况。随着越来越多用于检查非法入侵、恶意程序、网络攻击、数据泄漏和垃圾邮件的安全软件投入应用,进入系统的数据必须经过多重的检查与核证。与此同时,企业的安全成本当然也在日益增加。有人提出了用一种多功能的产品来替代以上所有的这些安全程序,统一威胁管理(unified threat management,下称UIM)的理念就这样诞生了。


  UTM产品适用于各种规模的网络。尽管它们目前主要用于中小型企业,但在分布广泛的大型企业中UIM仍然大有勇武之地。毫无疑问,分布式企业以后将会配置多种UTM产品,而这就会带来管理问题。


  企业需要对UTM设备的广布网络进行管理,并将其整合到现有的安全体系当中,幸运的是,大多数厂商都支持用于管理和整合的平台。像Check Point软件公司、思科系统公司(Cisco Systems)、国际商业机器公司(IBM)及Juniper网络公司这类具有成熟安全套件的大型厂商,都将UTM设备集成到了公司现有的整体安全体系中,这是不足为奇的。令人欣喜的是,一些还没有大型综合安全套件的厂商,如Astaro公司、Cyberoam公司、飞塔公司(Fortinet)、信客公司(Secure Computing)、索尼克公司(SonicWall)和合勤公司(ZyXel),也明确表示要解决多重设备管理和安全技术整合的问题。


  至于成本方面,UTM市场有一个很有趣的现象,那就是许多设备的内部都整合了开源组件,因此催生出了不少成本低廉的设备,促进了竞争,使用户大大受益。不过,企业必须同时关注通用公共授权证(GPL)的变动,以免惹上侵权官司。


  优劣分明


  将安全功能全部集成到一个设备上的做法具有很多显而易见的优点,如降低成本、整理安全报告、统一操作界面、简化网络结构以及减轻管理负担等。事实上,这些优点也促进了终端安全套件市场的进一步整合。在桌面电脑市场上,杀毒产品已经成为了安全体系的核心,围绕这一核心正不断地添加周边功能;而在网络市场,防火墙产品则占据了主导地位。


  另外,集成安全设备还有一些潜在的好处。首先,它不仅仅意味着虚拟化程度的提高,还能促进计算机向着节能的方向发展。通过UTM可以减少安全设备的数量,从而减少能源开支。此外,UTM还能增强更多成熟产品之间的协作,这可不是我们在说笑。比如说,防病毒模块、反垃圾邮件模块和内容过滤模块可以共享同一个恶意网址的数据库。飞塔公司发挥了这种集成做法的最大功用,其整个网络平台的设计完全以UTM为中心,同时保留了自身的所有模块和电子签名数据库,这在UTM厂商中是极为罕见的。


  当然,把所有功能集成到一起还是有缺点的。单个UTM产品不可能发挥所有部件的最佳功效。Check Point公司、IBM和Juniper公司的UTM设备集成了公司最高端的防入侵系统(intrusion-prevention systems) ,但除了它们之外,大多数UTM防入侵系统在入侵侦测和防御的功能和深度上还是不及独立的系统。同样,UTM的防病毒和反垃圾邮件功能也不如独立的产品。
 
  另外,厂商在推销UTM产品时也会有意夸大其辞。君不见,哪款笔记本电脑的电池寿命能有厂商承诺的那么长,而又有哪种啤酒能像电视广告上吹得那样让你周围美女云集?因此,对于UTM销售人员夸下的海口,企业应当有充分的准备。对安全产品进行单一性能评估时,就已经很难量化网络的带宽请求了,而对于由6个或更多独立模块组成的设备来说,在真实的网络环境下,如果所有模块全部开启,那实际性能肯定大大低于厂商的承诺。正因为此,许多产品都添加了硬件加速功能,但是,如果你没有在网络上实际试用过,你根本无法知道是否可行。


  集成安全系统的另一个潜在缺陷,在于把所有的鸡蛋都放进了一个篮子里,也就是说,如果安全体系的某一个环节被突破,那很可能会对整个体系造成影响。现在安全软件的发展趋势是增强保护效果,而不是全面整合。


  开源之争


  某些UTM产品一开始其实就是一堆开源技术的简单组合。例如,把 Snort的入侵检测和防御系统、ClamAV的防病毒技术以及IPTables和Netfilter的防火墙拼凑在一起,就基本上可以搭建出一个UTM了。通过简单的整合,再加上一个接口和报告机制,这款UTM就可作为产品上市了。


  Smoothwall公司销售的正是这样的产品,并且对此毫不讳言。该公司的产品甚至连界面都是开源和免费的。SmoothGuard 1000能够保护1,000个网络节点,而售价仅为5,000美元,是其他同类产品的1/2到1/3。Check Point公司的同类产品就卖到了15,500美元。而Astaro公司也坦率地承认,其UTM产品(起价1,200美元)的引导区使用了开源,不过它声称这是同类中最佳的总体方案,还表示最近将开源的Squid HTTP代理换成了内部开发的代理。


  有些UTM厂商瞧不起那些基于开源技术的产品,但事实上,开源软件同商业软件不分伯仲。对于内部资源有限但又想采用UTM的公司而言,它们可以先对各个环节进行风险评估,在风险最高的环节投入资金使用商业软件,而其他地方则可用开源软件作为补充。


  尽管如此,在选择开源还是商业UTM产品时,还是需要注意一些问题。首先,授权的变化可能会影响到新版软件的开发。例如,在Nessus弱点扫描软件由2.0升级到3.0时,Tenable Network Security公司改变了它对这款软件的授权,尽管主要原因可能是由于3.0版软件的绝大部分开发工作都是由内部程序员进行的。不过,此前版本的授权是不会被撤销的。


  另外一个问题涉及到GPL的衍生作品条款。有关GPL的许多早期解释都认为,基于编译版的应用程序接口开发的程序不能算是衍生程序。举例来说,把Snort软件拿出来,在配置、管理和输出数据模块上封装一个Web接口,这样得到的产品不算是衍生品。只要原来的程序没有被修改,那么整个软件就不需要GPL授权。但是,现在有一些开源作者对此惯例提出了反对意见。Nmap和Snort公司现在已明确要求,任何利用其程序来制作的软件,如果影响到了UTM厂商的利益,那就必须事先获得授权,例如添加源文件及数据文件,或是用安装程序来封装等。


  在我们采访过的UTM厂商中,Snort的应用极为普遍,但只有在Sourcefire公司的网站上,Astaro公司才被列为了集成商。其他公司要么正计划放弃使用3.0系列的产品,要么就是和Sourcefire公司私下达成了某种授权协定。Sourcefire公司拒绝透露其中的具体细节。
安全功能一览


  2004年,当国际数据公司(IDC)分析师克罗齐(Kolodgy)杜撰出新术语“统一威胁安全应用设备”时,他只是在阐述一种趋势,并不是真的想创造一类新的产品。那时防火墙正在加入各种各样的功能,克罗齐最初定义的UTM包括防火墙、入侵侦测和防御、病毒扫描等功能。目前的UTM产品不仅包含了以上功能,还具有很多其它功能。摘要如下:



  • 防火墙:最近这种随处可见的安全产品已经失宠了。尽管如此,在真正默认阻止的配置中,使用防火墙仍然是可靠的安全措施。另外,UTM设备的原型是防火墙,这就说明了一个合理的部署模式:网络上任何便于安装防火墙的地方都可以安装其它安全功能。另外,防火墙厂商并没有驻足不前。在最近的防火墙体系中,原本用于第1到第3层OSI网络模型的理念现在已经瞄准了整个堆栈,允许为数据和程序设立相应的规则,而不须考虑具体的端口或协议。

  • 入侵检测和防御系统:入侵检测系统和防御系统基本上没什么区别, 它们对传统防火墙的价值体现在探测内部数据包的能力,而不仅仅是探测数据包头。可惜的是,入侵防御系统采用的是默认允许的规则:也就是说,系统只会阻挡网络攻击和可疑行为,对其他任何数据都会默认通过。

  虽然正确配置的入侵防御系统总体上能够抵挡多数的恶意网络攻击,但随着网络攻击的突破口从服务器转向客户端,系统厂商们就有点应付不了了。网关入侵防御系统通常有一个盲点,它很难以发现那些不以网络套接字为目标的攻击。例如,在SSL交易内部有经过加密的HTTP内容编码,而在该编码中则压缩有加密过的JavaScript,浏览器插件病毒便可潜伏于其中。除非在终端电脑上装有安全软件,或者系统具有几近完美的终端仿真能力,否则任何网络入侵防御系统都无法阻止上述类型的攻击。



  • 防病毒:最初定义的UTM包括以SMTP和HTTP病毒扫描为代表的网关防病毒功能。某些防病毒软件把点对点协议、文件传输协议或聊天客户端也列入了防护对象。目前,在最新的UTM产品中,已经不存在单一的防病毒功能了,反间谍软件、反垃圾邮件和反恶意软件等各种功能统统都有。最新的技术使用了针对文件传输的行为扫描,以此来侦测潜在威胁,而不再依赖于静态的数字指纹数据库。当然,无论是行为侦测还是指纹侦测,采用的都是默认允许策略。

  随着UTM技术的不断发展,UTM产品又配备了各种新的功能,其中包括:



  • 网络基础组建功能:在UTM体系下,将诸如虚拟专用网络(VPN)等其它网络功能集成到防火墙产品中已经成为了一种广泛的潮流,在此前提下,许多UTM设备已经完全具备了独立组建内部网络基础的功能,包括NAT、服务质量(QoS)及VPN等。UTM产品中的VPN功能包括站点到站点VPN连接、SSL或其他客户端——服务器VPN技术,从而使远程工作的员工可以访问公司内部资源。

  • 内容过滤:一提到这项功能,多数人会自然联想到基于网址黑名单(需要申请授权以获得升级的众多UTM功能之一)的网络内容过滤。软件厂商经常吹嘘说内容过滤能够提高生产力。然而,用户们只要动动脑子就总能获得自己想看的内容。

  • 数据丢失防护(DLP):数据丢失防护产品在近几年风靡一时,传统的UTM设备中也集成了这项功能。现在,有些UTM产品已经具备了简单的数据丢失防护机制,例如电子邮件关键字过滤或是附件拦截。IBM走在了其他厂商的前面,它推出的Proventia系列产品率先具备了整套数据丢失防护功能。

  • 网络访问控制(NAC):即使没有同其他功能结合在一起,网络访问控制的具体概念也很难定义。尽管如此,UTM产品应该尽一切可能采取安全措施来控制网络访问,实施终端安全策略,或是集成其他网络访问控制系统。SonicWall公司的强力防病毒检查代表了朝这个方向迈出的第一步。

  • 基于身份的访问控制(IBAC):基于身份的访问控制是网关产品中另一种较新的安全技术。从计算机诞生以来,认证和授权概念一直被操作系统、应用程序和其他设备所采用,但把身份访问控制用于网关的做法实属首例。Cyberoam公司就把基于身份的安全防护作为了UTM产品的一项基本功能。

  边界之争


  由于拥护一些极端的安全理念,耶律哥论坛(JERICHO FORUM)近年来受到了不少业内人士的质疑。


  耶律哥原是圣经中的一座古城,其城墙在所谓的圣战中坍塌,耶律哥论坛的名字就来源于此典故。论坛认为网络防护不该依靠外部硬件设施,而应当采用深度的防御。耶律哥论坛虽然没有全盘否定网络边界防御,但却极力强调了传统安全体系的局限性。该论坛支持用反边界(deperimeterization)理念来替代传统的安全体系,主要理由如下:


  首先,互联网上的应用程序越来越多,而且以HTTP为基础的新协议也在不断诞生,因此传统的网络监测产品越来越没有用武之地了。


  其次,在过去的六年间,原本针对服务器的网络攻击逐渐转向了客户端,这意味着与拥有隔离区(DMZ)的服务器相比,内部客户机更容易被攻破。现在,黑客们已经有相当的把握向你的网络核心发起攻击。


  最后,时常脱离和进入安全体系的设备越来越多,传统的安全边界防御措施根本无法应付。


  分层防御真的能取代网络边界统一威胁管理吗?完全不是。事实上,深度防御安全系统的缺点之一就在于它需要大量资源的支持。UTM在提供多样化防护措施的同时,简化了执行和管理,因此更易于实施附加的内部控制,使你的网络高枕无忧。(译|

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 世界是灰色的:也谈对NGFW的几点思考

    网络安全行业,从来不缺乏新产品、新技术,尤其以2012年在国内不断兴起的下一代防火墙为代表。然而一直困扰企业用户的,就在于大家很难明确区分下一代防火墙与传统防火墙、UTM的区别……

  • 哪些组织将受益于统一威胁管理产品?

    多数 UTM 厂商提供一系列不同容量和能力的设备。由于 UTM 设备的模块化属性,管理员可以启用所有或部分特性以适应环境需要。

  • 统一威胁管理产品的“硬币两面”

    统一威胁管理(UTM)产品是专用安全系统,采用优化过的硬件和软件,可以同时执行多项安全功能,如防火墙、入侵检测与防御、防病毒、虚拟专用网络以及更多。

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。