| |
中小企业用UTM合适吗?
| |
铭万网
|
时间:
2007年11月09日14:46
|
信息来源:
中小企业IT采购
| | 编 者 按 :以UTM为标志的整合式安全设备在短短的时间内引起了所有人的注意,整合式安全成为了业内人士口中的高频词汇,而UTM也被越来越多的中小企业认为是未来的必然发展趋势。
| UTM不等于安全模块的叠加
过多描绘UTM的美好未来有时并不总能产生正面的效果,我们应该恰当的面对UTM的问题。当前无论是从用户对UTM的认知还是厂商推出的UTM产品来看,防火墙仍然是整个架构的核心。而且有一些产品并没有很好的实现UTM架构,这些产品更多的是基于防火墙体系进行其它安全功能的整合。
我们认为这样的产品虽然也被划归为UTM类设备,但是从严格的意义上说,并不能将其作为完全的UTM产品来认识。广大用户在考察和选用UTM产品的时候,首先应该根据自身的情况清楚的界定对于UTM的要求。
我们不但要更好的利用UTM的外在,还要充分发掘UTM的精髓。另外,至少在目前还有一个问题的答案没有被完全揭晓。目前的UTM产品大多是网关型的产品。
我们知道,在面对当今复杂的安全威胁时,网关型的防御体系虽然有效,但仍无法独立构成完整的安全防御体系。我们期待着有更多的厂商跨越这条界限,更好地发挥UTM作为统一安全平台的优势,向用户提供更多具有创新性的安全解决方案。
安全挑战不容小觑
当前,企业和组织面对越来越复杂的病毒和恶意攻击,他们也采用了多种方法来应对,以期获得所希望的安全保护。新出现的混合威胁将数种独立的病毒结合起来,通过极度难以防犯的攻击渠道进行传播和实施攻击。最近最有名的混合威胁之一myDoom利用电子邮件做为其传播渠道,利用全球数以百万计的被感染计算机来实施针对特定企业的拒绝服务(DOS)攻击。据估计,仅仅在myDoom发作的最被五天时间里就带来600亿美元的损失。
除来来自混合型攻击的安全威胁以外,网络管理人员还面临网络带宽不够导致速度下降,缺乏业务流优先级而导致网络效率下降。许多情况下,网络速度下降都是由于网络中有太多的用户在从事非生产性的活动,如使用Napster、P2P应用、多媒体应用以及利用IM软件进行VOIP通信。运行此类应用即带来生产力损失,同时还为针对内部网络的网络攻击打开了方便之门。
为跟上网络发展步伐并解决网络威胁和生产力问题,企业购买并部署最好的点状解决方案,希望能够覆盖并对付所有潜在的威胁。IT经理利用点状解决方案来解决的问题之一就是保护网络免受内部攻击的威胁。根据相关的研究,多数攻击是通过内部传播和发起的而不是通过外部发起的。企业部署内部入侵检测系统,在多个部门网段布署监控器,并采用电子邮件防病毒系统,以期防止病毒的传播。IT管理员还必须关心来自远程或分布式环境的威胁,例如当员工在酒店或国外旅行时,如果他们启动VPN客户端,那么网络威胁就有可能通过这些点进入企业网络。为消除这一威胁,企业为远程客户部署独立的VPN解决方案,将这些流量与企业网络相对隔离开。
为了应对无线网络安全性问题,企业采用独立无线网络的方法将内部网络与无线网相对隔离开来,同时通过实施内容过滤解决方案来降低对生产力的影响,同时避免间谍软件的骚扰。为了减少网络垃圾(如垃圾邮件)的骚扰,企业采用防垃圾解决方案,同时采用防火墙解决方案通过关闭端口的方式来减少病毒的入侵。最后,IT经理还要不断为服务器、工作站、路由器、交换机以及防火墙本身打补丁。尽管补丁可以解决现有软件的问题,补丁会为计算机带来负面的影响或者会引入旧的程序,因此有时带来的问题会比解决的问题还要多。
尽管点状解决方案在过去是有效的,但越来越多的证据表明,这些解决方案无法针对目前的威胁提供充分、及时和统一的保护。这些广泛传播的病毒不仅会消耗现代企业大量(并且不确定)的资金,同时还会导致生产力下降,需要IT管理人员花费大量时间进行管理。点状安全性解决方案确实无法针对这些复杂的威胁提供充分的保护,也无法解决生产力降低问题。
统一威胁管理 为网络安全性埋单
现在,企业和组织寻求的是一种统一的集成式网络安全性解决方法?在单个单元内实现所有这些分立安全技术和生产力保证技术。这也就是统一威胁管理(UTM)。UTM是防火墙安全设备市场的新兴发展趋势。传统防火墙产品演化为这样一种产品:不仅能够防止入侵,还可以完成过去需要多个系统才能够完成的内容过滤、垃圾过滤、入侵检测和防病毒功能。
UTM是信息资产保护解决方案自然的融合和最新发展。结合技术的整合和封装的进展,UTM及时响应了二十一世纪保护信息资产所面临的巨大挑战。有效的统一威胁管理应当。通过集成所有关键信息和安全性功能,并且提供简化的管理,UTM解决了所有这些问题。高效整合的UTM解决方案可以大大降低企业安全计划的成本并提高其可靠性。
市面上一些通行的UTM解决方案针对复杂的应用层和基于内容的攻击提供了智能化程度最高的实时网络保护。结合网关防病毒、防间谍软件和入侵防御服务(IPS),这一解决方案处理多种威胁进入点并对所有网络层进行彻底扫描,从而可以同时防御并清除内部和外部威胁。利用高性能深度数据包检测引擎扫描多种应用类型和协议并利用全面的签名数据库对文件进行匹配,达到直接在安全网关上实现了威胁保护。
许多点状解决方案企业采用了一种称为状态数据包检测的防火墙架构。这种架构主要在网络层判断数据包是否是真正用户所请求的以及是否应当被允许进入网络。这种方法可以灵活地有选择地控制源于外部网络的访问,但相对来说,对于内部传输则没有限制。考虑到许多病毒实际上经常通过组织内的电子邮件服务传播,因此很明显许多威胁将会绕过状态数据包检测这一级的保护。
从安全厂商SonicWALL了解到,由于采用了称为深度数据包检测(DPI)的全面方法。这种方法将下载、电子邮件传输以及压缩的文档与全面且连续更新的签名数据库进行比较和匹配。可以实时扫描检测并阻止伪装可执行代码和宏病毒文件。
利用DPI技术,一些UTM解决方案可以在应用层对信息进行检查,从而防止针对应用漏洞的攻击。这一DPI引擎可以扫描多种应用类型和协议,包括SMTP、POP3、IMAP、 FTP、 HTTP、NetBIOS、数十种其它流式协议以及50多种IDP应用。引擎可以扫描所有网络层,包括链路层、IP层、TCP/UDP、静态端口(Static Port)、动态端口(Dynamic Port)以及应用层。因此企业远程站点网关、内部网络、文件下载、服务器以及桌面都受到全面的保护。做为更多一层安全性,还从应用层来防止内部和外部威胁。
进化中的UTM
显然,企业无法利用现有的状态数据包解决方案有效地保护网络免受混合威胁的侵害。事实上,状态数据包检测防火墙仅能够检测通过防火墙的总流量的约2%,而UTM解决方案则对流经防火墙的流量进行100%的深度数据包检测。然而,即使是支持DPI的UTM解决方案也并非全都一样有效。例如,同样声称是UTM,还要区分“有限”DPI还是“全面”DPI。就其全面性来说。
此外,许多UTM解决方案在文件扫描时需要文件缓存,在更新过程中需要重新启动,这些都降低了防火墙的总体性能。实事上,一些UTM解决方案独特技术使其能够处理的文件大小无限制,并且能够处理成千上万的并发下载,从而为不断发展的网络提供终极可扩展能力和性能。避免了在签名更新后进行重新启动,因此可以提供连续的保护,不会影响生产力。
|
上一页 [1] [2] [3] 下一页>>
| | | |
本网引文仅用于传播,无经营目的;文章观点纯属作者个人意见,不代表本网观点;与本文相关意见及异议,请发信至zhaofeng@mainone.cn或致电:58271212-545。
| | |
| | | |
|
