1.深度檢測:用戶需要基于深度數(shù)據(jù)包檢測(DPI)的防火墻?;跔顟B(tài)數(shù)據(jù)包檢測(SPI)的防火墻僅能夠處理來自互聯(lián)網(wǎng)威脅的2%(這一數(shù)據(jù)基于SPI防火墻所分析的數(shù)據(jù)包頭流量和DPI防火墻所處理的數(shù)據(jù)包凈荷流量之比)。
2.個體差異:所有的UTM防火墻并非都是一樣的���,當然不同的深度數(shù)據(jù)包檢測防火墻也有所不同�����,有些就不能高效地處理大流量和大尺寸文件��。
3.動態(tài)更新:為使所采用的安全技術能夠滿足未來要求���,必須采用動態(tài)保護?��?蓜討B(tài)連續(xù)更新的安全設備正在成為事實上的行業(yè)標準�����。
4.高度集成:高度集成的設備是關鍵�����。部署分離的設備和技術也可以獲得某種形式的統(tǒng)一威脅管理(UTM)���,但在管理和維護方面的成本卻翻了幾翻�,并且實施的成本也非常高昂��。在當前的情況下���,這種點式解決方案的成本高昂又難于管理。
新型的網(wǎng)絡安全威脅使UTM(統(tǒng)一威脅管理)在網(wǎng)絡應用安全領域獲得了高速增長的市場份額���。根據(jù)IDC的定義���,UTM是指能夠提供廣泛的網(wǎng)絡保護的設備,它在一個單一的硬件平臺下提供了以下的一些技術特征:防火墻����、防病毒、入侵檢測和防護功能�。IDC的行業(yè)分析師們注意到,針對快速增長的混合型攻擊(基于互聯(lián)網(wǎng)的病毒已經(jīng)開始在應用層發(fā)起攻擊)����,需要一種靈活的、整合各種功能的UTM設備來防止這種攻擊的快速蔓延���。
混合攻擊檢測技術
UTM中的防病毒除了引用傳統(tǒng)的病毒檢測技術外����,還應該采用一些新的技術來提高病毒檢測的效率與性能,如采用流檢測的技術�����、混合攻擊的檢測技術和對未知病毒的檢測方法��。
通常的黑客攻擊采取以下步驟:
1)判斷入侵對象的操作系統(tǒng);
2)掃描端口�,判斷開放了哪些服務(這兩步有可能同時進行);
3)根據(jù)操作系統(tǒng)和所開放的服務選擇入侵方法,通常有“溢出”和“弱口猜測”等方法;
4)獲得系統(tǒng)的最高權力;
5)安放后門等病毒�����、清除日志等���。
如今的病毒技術趨于復雜化與多樣化�����,有些病毒能完全模擬以上的黑客攻擊行為���。所以如今的病毒不是單一的個體在戰(zhàn)斗�����,而是一組在戰(zhàn)斗�,每一個個體有不同的功能與特性�。它們包括端口掃描、漏洞掃描�、漏洞利用、獲得權限���、種植木馬后門,蠕蟲病毒形成各種攻擊與危害等�。這就是混合攻擊。
2.現(xiàn)狀
對于混合攻擊���,單一的主機防毒軟件或者網(wǎng)關防毒軟件是不能有效解決問題的;尤其是對此類未知病毒的混合攻擊����,更是無能為力����。這是因為目前的防毒軟件基本上都是基于補丁式的升級方式,是滯后于病毒的����。也許對于已知病毒的混合攻擊���,桌面的或者網(wǎng)關的防毒墻還能有效地對付混合攻擊中真正起到病毒作用的那個個體,但對未知的病毒攻擊也只能望洋興嘆�����。
3.檢測技術
在對付混合攻擊時UTM可以采取以下的技術�。
1)多層分解檢測技術
一個混合攻擊的病毒有多個模塊比如端口掃描,漏洞掃描之類的���,而UTM也有多個模塊來分別應對�����,各個模塊也各司其職��,分別用來對付此類病毒的各個模塊�,對于混合攻擊的防范可以通過與IPS的結合來有效應對�����,所以UTM是檢測混合攻擊最有效的產(chǎn)品�����。
2)漏洞利用代碼檢測技術
如今的病毒都喜歡利用漏洞來加以傳播,因此UTM的防毒技術模塊除了采用傳統(tǒng)的檢測方法外����,還應該根據(jù)漏洞利用代碼的原理來檢測已知或未知的此類病毒或者混合攻擊。
UTM對企業(yè)的重要性
大企業(yè)能夠清楚地意識到各種安全威脅�����,并采用聘請安全專家的方式來幫助他們抵御各種網(wǎng)絡威脅���。小型企業(yè)不可能花費很多人力�����、財力或時間來維護企業(yè)網(wǎng)絡的安全。但是�����, 這并不意味著他們可以忽略安全威脅�。統(tǒng)一威脅管理(Unified Threat Management,UTM)的出現(xiàn)���,可以幫助中小企業(yè)解決這一問題��。
許多小型企業(yè)所有者并不重視網(wǎng)絡安全問題�����。他們認為公司規(guī)模小�,市場地位無足輕重,因而黑客不會將這類網(wǎng)絡作為攻擊目標�。這種觀念是極其錯誤的。沙賓法(Sarbanes- Oxley Act)等法規(guī)嚴格要求企業(yè)在信息安全方面進行更多投資�。大企業(yè)能夠清楚地意識到各種安全威脅,并采用聘請安全專家的方式來幫助他們抵御各種網(wǎng)絡威脅���。擁有大型網(wǎng)絡的公司也通常擁有復雜的防火墻和入侵防御系統(tǒng)�����,并且定期更新和維護這些系統(tǒng)�����。而小型企業(yè)不可能花費很多人力����、財力或時間來維護企級網(wǎng)絡的安全。但是�,這并不意味著他們可以忽略安全威脅。
