在UTM问世之前,客户不得不安装多个功能单一的产品,例如、防、防设备和URL网关等,以防止多种不同的威胁。同时,还煞费苦心地采用其他IT解决来管理这些平台,这要求员工熟悉不同的接口、命令和特性。安全解决方案的混杂意味着需要购买多种产品,后期开支也不断提高,因此会耗费大量的前期购置和运行预算。
UTM设备非常适合运用于SMB或者分支机构的中型网络中,企业设立分支机构时,必需、防火墙等设备,许多大企业有一半以上的IT经费都花在分公司的信息基础建设里,选择UTM可以降低了网络的复杂度,也降低了客户的建设成本。
UTM显著特征
1.深度检测:用户需要基于深度数据包检测(DPI)的防火墙。基于状态数据包检测(SPI)的防火墙仅能够处理来自威胁的2%(这一数据基于SPI防火墙所分析的数据包头流量和DPI防火墙所处理的数据包净荷流量之比)。
2.个体差异:所有的UTM防火墙并非都是一样的,当然不同的深度数据包检测防火墙也有所不同,有些就不能高效地处理大流量和大尺寸文件。
3.动态更新:为使所采用的安全技术能够满足未来要求,必须采用动态保护。可动态连续更新的安全设备正在成为事实上的行业标准。
4.高度集成:高度集成的设备是关键。部署分离的设备和技术也可以获得某种形式的统一威胁管理(UTM),但在管理和维护方面的成本却翻了几翻,并且实施的成本也非常高昂。在当前的情况下,这种点式解决方案的成本高昂又难于管理。
新型的网络安全威胁使UTM(统一威胁管理)在网络应用安全领域获得了高速增长的市场份额。根据IDC的定义,UTM是指能够提供广泛的网络保护的设备,它在一个单一的硬件平台下提供了以下的一些技术特征:防火墙、防病毒、检测和防护功能。IDC的行业分析师们注意到,针对快速增长的混合型攻击(基于互联网的病毒已经开始在应用层发起攻击),需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。
混合攻击检测技术
UTM中的防病毒除了引用传统的病毒检测技术外,还应该采用一些新的技术来提高病毒检测的效率与性能,如采用流检测的技术、混合攻击的检测技术和对未知病毒的检测方法。
通常的攻击采取以下步骤:
1)判断入侵对象的;
2)扫描端口,判断开放了哪些服务(这两步有可能同时进行);
3)根据操作系统和所开放的服务选择入侵方法,通常有“溢出”和“弱口猜测”等方法;
4)获得系统的最高权力;
5)安放后门等病毒、清除日志等。
如今的病毒技术趋于复杂化与多样化,有些病毒能完全模拟以上的黑客攻击行为。所以如今的病毒不是单一的个体在战斗,而是一组在战斗,每一个个体有不同的功能与特性。它们包括端口扫描、漏洞扫描、漏洞利用、获得权限、种植后门,形成各种攻击与危害等。这就是混合攻击。
2.现状
对于混合攻击,单一的主机防毒软件或者网关防毒软件是不能有效解决问题的;尤其是对此类未知病毒的混合攻击,更是无能为力。这是因为目前的防毒软件基本上都是基于补丁式的升级方式,是滞后于病毒的。也许对于已知病毒的混合攻击,桌面的或者网关的防毒墙还能有效地对付混合攻击中真正起到病毒作用的那个个体,但对未知的病毒攻击也只能望洋兴叹。
3.检测技术
在对付混合攻击时UTM可以采取以下的技术。
1)多层分解检测技术
一个混合攻击的病毒有多个比如端口扫描,漏洞扫描之类的,而UTM也有多个模块来分别应对,各个模块也各司其职,分别用来对付此类病毒的各个模块,对于混合攻击的防范可以通过与的结合来有效应对,所以UTM是检测混合攻击最有效的产品。
2)漏洞利用代码检测技术
如今的病毒都喜欢利用漏洞来加以传播,因此UTM的防毒技术模块除了采用传统的检测方法外,还应该根据漏洞利用代码的原理来检测已知或未知的此类病毒或者混合攻击。
UTM对企业的重要性
大企业能够清楚地意识到各种安全威胁,并采用聘请安全专家的方式来帮助他们抵御各种网络威胁。小型企业不可能花费很多人力、财力或时间来维护企业网络的安全。但是, 这并不意味着他们可以忽略安全威胁。统一威胁管理(Unified Threat Management,UTM)的出现,可以帮助解决这一问题。
许多小型企业所有者并不重视网络安全问题。他们认为公司规模小,市场地位无足轻重,因而黑客不会将这类网络作为攻击目标。这种观念是极其错误的。沙宾法(Sarbanes- Oxley Act)等法规严格要求企业在方面进行更多投资。大企业能够清楚地意识到各种安全威胁,并采用聘请安全专家的方式来帮助他们抵御各种网络威胁。拥有大型网络的公司也通常拥有复杂的防火墙和入侵防御系统,并且定期更新和维护这些系统。而小型企业不可能花费很多人力、财力或时间来维护企级网络的安全。但是,这并不意味着他们可以忽略安全威胁。