现代经济活动离不开信息和网络,随着在经济活动中扮演的角色越来越重要,中小企业对网络和信息技术的依赖性也越来越强。IDC的一项调查数据显示,目前我国已有57.7%的中小企业实施了信息化。伴随着网络应用的不断深化,企业网络安全问题也摆在了中小企业面前。然而,随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。对近两年来黑客和病毒对网络所造成的威胁进行总结,可以看出三个显著特点:
第一:攻击手段多样化,以网络病毒为例,从震荡波、冲击波,还有QQ病毒,可以看出现在的网络攻击手段中,既包括病毒攻击,也包括隐含通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。
第二:每一次攻击经常是多种手段并用,混合攻击正在成为攻击的主流。混合攻击是指在同一次攻击中,既包括病毒攻击、黑客攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击方式,如伊拉克战争期间流行的“爱情后门变种”病毒,集蠕虫、后门、黑客三者功能于一身,给互联网造成了巨大的破坏。
第三:攻击手段更新速度前所未有的快,业界知名的SANS协会在其2006二十大安全隐患列表中将“零日攻击”的爆增列为目前最严重的安全威胁。所谓“零时攻击”是指如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或攻击行为,而同时并未有对应的防御工具被开发出来,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。
基于以上三方面对攻击多样化和融合的特点,可以理解为什么原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对企业网络安全的保护。企业中可能会有防病毒、防火墙、入侵检测等一系列安全产品,这些产品产生大量不同形式的安全信息,使得整个系统的相互协作和统一管理成为安全管理的难点。由此带来的是,企业的安全管理体制也变得非常复杂,其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。
UTM产品解决单机防毒的弊端
UTM产品架设在企业网络的入口,直接把病毒抵御在企业网络之外,而不必在服务器、终端设备中反复杀毒,从而提高了工作效率;其次,越来越多的网络病毒开始利用操作系统的漏洞进行攻击和传播。如果不及时修补操作系统的漏洞,这些利用漏洞传播的病毒就可以轻松绕过防病毒软件而直接感染计算机,使杀毒软件的功效大大降低。而UTM产品由于工作在企业网络的入口处,能够杜绝此类事件的发生,直接提高企业网的整体安全水平。
首先,传统的防病毒软件无法抵御类似于SQLSlammer的新型蠕虫的功击,如果工作站上的防病毒软件未及时更新或被禁用了,那么病毒仍然有机会感染工作站。UTM产品在企业网络的入口提供了简单的“即插即忘”式的保护,病毒在进入网络之前被直截了当地拦截,同时也避免了由于病毒入侵到服务器和工作站所引起的一系列的典型问题,为企业网络提供了一个额外保护层。
其次,在病毒传播事件中(就像以前LoveLetter、Nimda、Klez和SQLSlammer所引起的),邮件服务器可能会由于超负荷而宕机或拒绝服务,或者是仅仅因为害怕被感染而关机。UTM产品可以避免由于病毒传播而对邮件服务器造成的额外负载。
第三,从采用与防火墙集成的防病毒软件和采用网关防毒两种方案的对比来看,硬件UTM产品能够拦截攻击操作系统和应用软件安全漏洞的新型蠕虫(如SQLSlammer),而传统的与防火墙集成的防病毒软件是无法检测和清除该类蠕虫的。
垃圾邮件过滤
随着近期邮件型病毒所占比例的提高,大量病毒和垃圾邮件可能会使邮件服务器由于超负荷而宕机或拒绝服务,企业的业务受到严重影响。UTM产品可以在网关处即对电子邮件进行过滤,保障企业网内的用户不会收到垃圾邮件。企业网络可用来传输有用的资料,企业带宽能够得到更高效地利用。
虚拟专网应用
随着网络技术的飞速发展,移动办公逐渐成为新兴的办公方式,使用远程拨号实现安全的远程网络拨入成为新的产品需求。传统的VPN设备可以完全满足该需求,但中小企业具备人员少,资金紧缺等情况,单独购买VPN设备的投入和维护成本难以承受。UTM产品集成的VPN功能可以良好的支持中小企业VPN接入的需求,用户可以通过该功能快速建立本地与分支机构和企业部门间的加密通讯,使一些重要数据通过点对点隧道加密传输,确保其他未经授权用户无法读取到传输的数据信息。
性能瓶颈
当然,我们也不能不看到另一个问题,那就是性能。这也是UTM产品发展中的一个瓶颈问题。在网络的入口放置一台UTM产品,势必要对网络的性能产生影响。所有进入网络内部的数据流都需要先经过UTM产品,进行拆包分析,然后在重新组包,最后才到达客户端。这样的一个过程,势必会影响性能和速度。但目前市场上主流厂商的UTM产品都能很好的满足客户的实际需求,例如,一个面向soho级的百兆UTM产品,当全部功能打开的情况下吞吐量也在10M以上,而企业的实际带宽可能在2M-4M左右,所以企业用户的担心是大可不必的。
