| 摘要:国外的UTM技术和设备早在2002年就已经出现,这得益于国外市场的需求和企业对网络安全的重视,导致UTM蓬勃发展,以每年翻倍的速度迅速成为网络安全建设必备的主流设备,使用量已排在各类安全设备的榜首。目前UTM已经替代了传统的防火墙,成为主要的网络边界安全防护设备,大大提高了网络抵御外来威胁的能力。 |
传输层
拒绝服务:传输层的拒绝服务攻击以服务器资源耗尽为目的,它通过制造海量的TCP/UDP连接,耗尽服务器的系统连接资源或者内存资源。这种情况下,合法用户发出连接请求却因服务器资源耗尽而得不到应答。典型的如TCPFlood和UDPFlood攻击,目前在互联网上这类攻击工具随处可见,因其技术门槛低而被大量使用,是互联网的几大公害之一。某些情况下,攻击者甚至将攻击提升到应用层,既不只是发出连接,而且发出应用数据,这样的攻击因不易与合法请求区分而更加难以控制。
端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用TCP或UDP端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。
应用层
信息窃听与篡改:互联网协议是极其脆弱的,标准的IP协议并未提供信息隐秘性保证服务,因此众多应用协议也以明文进行传输,如Telnet、FTP、HTTP等最常用的协议,甚至连用户口令都是明文传输。这为攻击者打开了攻击之门,他们可以在网络的必经之路搭线窃听所关心的数据,盗取企业的关键业务信息;严重的甚至直接对网络数据进行修改并重放,达到更大的破坏目的。
非法信息传播:由于无法阻止非法分子进入网络世界,互联网上充斥着反动、色情、暴力、封建迷信等信息。非法分子通过电子邮件、WEB甚至是IM协议不断的发送各种非法信息到世界各地的网络终端上去。这些行为极大的破坏了社会的安定与和谐,对整个社会来讲,危害极大。
资源滥用:IDC的统计曾显示,有30%~40%的Internet访问是与工作无关的,而且这些访问消耗了相当大的带宽,一个不受控的网络中90%带宽被P2P下载所占用。这对于网络建设者来讲完全是灾难,它意味着投资利用率低于10%。
漏洞利用:网络协议、操作系统以及应用软件自身存在大量的漏洞,通过这些漏洞,黑客能够获取系统最高权限,读取或者更改数据,典型的如SQL注入、缓冲区溢出、暴力猜解口令等。在众多威胁中,利用系统漏洞进行攻击所造成的危害是最全面的,一旦攻击行为成功,黑客就可以为所欲为。
病毒:病毒是最传统的信息系统破坏者,随着互联网的普及和广泛应用,计算机病毒的传播形式有了根本的改变,网络已经成为病毒的主要传播途径,用户感染计算机病毒的几率大大增加。同时病毒正在加速与黑客工具、木马软件的融合,可以说病毒的破坏力达到了前所未有的程度。
木马:特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
UTM基础应用不可忽视
作为安全的多面手,UTM设备必须有一个整合功能的基础平台,目前在技术上,主要分为两大分支。
一类是以高性能防火墙为基础的UTM设备。这是目前多数UTM厂家的做法。对这种设备来说,一般都集成了全功能的防火墙,并在此基础上加入VPN、IDS、防病毒等功能。有业内人士甚至表示,这种设备主要是为了取代防火墙。
另一类是以高端IPS为基础,不断演化出UTM设备。这种做法比较新,包括防火墙、VPN、带宽管理、网页内容过滤等安全模块都会被安放到IPS的平台之上。这种做法对于IPS的性能、误报率、可靠性的要求都相当高,但是带来的好处也是显而易见,由于IPS的优势,可以对日益增多的系统渗透与复合攻击进行阻断与控制。
不过要强调的是,对于以IPS为基础的UTM产品,所集成的防火墙必须是全功能产品。特别是像NAT、动态端口等功能都要支持。因为如果仅仅集成了精简版的防火墙,对于有意延伸到高端应用的UTM显然不合适。另外,这类产品的吞吐量与误报率也不能忽视,毕竟这将对用户的网络运行带来影响。
总之,无论采用哪种方式,UTM在一定时期内,都会重点强调某一方面的功能强大,而这也正是UTM的“特色”——不管是防火墙,还是IPS,甚至是防病毒,附加的功能都是一个强有力的补充,是业余选手或半职业选手。但即使这样,对于普通用户也是足够了。
责任编辑:Lily
评论表单加载中...
