当前位置:瑞星首页 » 网安产品
UTM产品应当具备的功能

据公安部公共信息网络安全监察局调查结果显示:我国2005年5月至2006年5月间发现的网络安全事件统计情况如下:



图1 我国2005年5月至2006年5月间发现的网络安全事件

其中,54%的被调查单位表示发生过信息网络安全事件,比去年上升5%;其中发生过3次以上的占22%,比去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是最突出的网络安全情况,占发生安全事件总数的84%:“遭到端口扫描或网络攻击”(36%)和“垃圾邮件”(35%)次之。在发生的安全事件中,攻击或传播源来自外部的占50%,比去年下降7%;内外部均有的占34.5%,比去年上升10.5%。


由此可见,病毒、蠕虫和木马仍旧是给企业网络安全造成威胁的罪魁祸首,所以,整合归整合,UTM仍旧应该把病毒防护作为其最应该关注的问题。首先,我们来了解一下目前UTM产品普遍采用的2种防毒技术:一种是基于数据流的过滤,这种技术通常是用ASIC芯片来实现的,其实现方法与网络协议无关,只是把已知的病毒规则加入到UTM中,对接收到的数据包的内容进行强匹配,因此速度非常快,可以有效的在骨干网络上对当前最流行的病毒进行过滤,但缺点也很明显,这种设备通常比较“笨”,无法对其“不认识”的病毒或格式复杂的文件采取任何分析;另一种是基于文件的过滤,这种技术通常是在人们熟悉的X86平台上实现的,其实现方法是基于协议代理,通过协议识别把利用某种协议进行传输的数据重新组合起来,做文件还原,再进行病毒查杀,这种方法可以对压缩包、复合文档(OLE对象)、病毒的加壳变形甚至是未知病毒等进行有效的识别处理,适合用在Intranet出口保证企业内部网络安全,但由于其要对传输的文档进行缓存并扫描,其速度相对来说慢一些。所以,对于一些厂商鼓吹的ASIC架构的高性能,实际上是牺牲了病毒的识别率为代价的。甚至在中低端产品中ASIC厂商为了降低成本,其过滤性能还没有X86平台好,因此不能光听概念,应在实际环境中综合评估。


除了认识病毒识别的方法,接下来还应该关心一下UTM对病毒进行查杀的实际支持情况,主要考虑以下几个方面:支持的病毒种类与数量、病毒库的升级频率、支持的病毒过滤协议、VPN通道杀毒以及防病毒策略的配置方式等内容。目前来说,病毒总数已经达到70万以上,为了达到有效的病毒防护,病毒升级的频率应能够达到一天一次,另外,应支持对于网络中常用的应用协议,例如:HTTP、POP3、SMTP、FTP进行杀毒,较好的产品还支持IMAP、MSN等协议;对于病毒过滤策略配置的实现方式,一般应支持防火墙策略,允许用户指定接口与区域,以便实现针对性防毒。


下面来关注UTM的反垃圾邮件功能。同样,反垃圾邮件的实现方式也分成2种,一种是本地过滤,另一种是基于集中式过滤。本地过滤是目前许多产品采用的方式,所谓的本地是指管理员需要手动在本地计算机上添加反垃圾邮件规则,并对其不断的维护更新,这种方法管理成本高、消耗本地计算机资源还容易发生漏报;而集中式过滤,采用了分布式技术,在互联网上的所有检测服务器实时对邮件的发送行为进行监控,并互相同步,保证的规则的统一,因此过滤效果往往较好,另外,由于这种方法是基于邮件发送行为的,因此与邮件使用的语言无关,并且能够有效处理图片垃圾邮件的问题,这都是传统的本地过滤技术无法完成的任务,但这种方法也有自己的缺点,会对网络资源造成部分开销。


接下来了解IPS功能。这部分主要需要关注UTM的误报情况,因为中小企业的管理员通常没有精力来分析是误报,还是真的有攻击;另外还有了解打开后对性能的影响程序,以便选择性对主要安全威胁进行过滤。
除了对防病毒、防攻击以及反垃圾邮件这三个对用户网络安全造成影响最大的这三个方面之外,我们来了解一下UTM还应该关注的其他问题:

  • VPN——网关上的配置要尽可能的简单,应该能够支持Windows的VPN客户端拨号程序,这样任何受信用户在任何地点都可以连接到企业内部网络;
  • 内网管理能力——主要有MAC管理,能否自动学习到每个用户的机器名信息,便于做管理,机器名信息是否能自动带入其它模块;还要了解其流量控制与带宽管理的细节,是否能与用户相关,并且很方便的设置;最后还要了解一下,能否对应用进行管理,如IM、P2P、游戏软件、股票软件等。
  • 日志管理能力——UTM应该提供本地病毒、垃圾邮件隔离、日志审计、统计报表,且无须再配其它软件或硬件来管理日志与报表。如果UTM无法对其管理的内容提供有效的报告,那么就显得没有任何意义了。所以,优秀的UTM设备都应该提供丰富直观的日志报告,有些内容甚至是实时提供的,这些内容使得网络管理员可以方便的监控网络的状态和安全状况。如果UTM可以提供足够的可扩展性和一个好的集中管理工具,报表界面应该能够提供绑定在UTM设备上的所有安全功能的信息。随着网络应用的不断增加,传统的文字型日志已经不能很好的满足管理的需求,如果不进行特殊的处理,管理员很难从日志中直接发现他们感兴趣的内容。因此,现在很多的UTM都提供了图形日志界面,这使得监管网络变得更加容易。除了用文字记录日常的数据报告,控制台还应该提供哪些应该提醒管理员注意的“头条”项目。
  • 集中管理与联动功能——优秀的UTM应该提供集中管理功能,不少UTM还能与网络中的杀毒软件网络版进行联动,阻止有安全隐患的计算机上网,并发送管理员报警,让管理很容易发现网内的安全短板,以便及时解决。在UTM的领域里,集中管理可以帮助管理员对网络有一个全景的掌握。另外,这种集中管理的方式可以充分兼容于原有的分散式的解决方案,在一个位置对网络中的所有设备进行管理,这与当今强调的可扩展性和灵活性是一致的,这样,那些新的设备和老的设备,UTM提供的功能以及UTM没有的功能,都可以通过集中管理联系起来,统一在UTM管理之下。除此之外,集中管理还有其他的好处。当发现问题时,集中化的管理提供了更快的响应时间和对问题更完整的可视性,它为跨越距离管理安全提供了更多的可能性,网络管理员不仅可以集中管理同一个局域网内的设备,他甚至可以跨越很多个站点来管理远程安全设备,这对于没有足够资金在每一个远程站点上部署专门的安全人员的中型公司来说,是非常经济的。
  • 系统升级功能——在过去,UTM设备捆绑的很多安全组并不一定都能够自动升级,因此管理员只能一一手动进行更新,对于维护来说,这是一项很让人头疼的事情。有的UTM甚至就没有提供升级功能,用户还需要另行购买用来处理升级的程序。而现如今,UTM几乎都提供了专业的升级功能,它可以自动下载各种组件需要的最新的签名,并且管理员可以只通过单击一个按钮来完成整个操作。并且,有些新型的设备还支持升级包的自动分发功能,可以保证处在企业内部计算环境中每一个角落的设备都能够获得自动更新,在很大程度上简化了管理员的日常工作。