浅论U TM 技术

李 为

(天津市新华职工大学,天津市 300040)

浅论U TM 技术

李 为

(天津市新华职工大学,天津市 300040)

论文首先详细分析了新兴的U TM技术产生的背景及原因,然后研究了其应用的主要安全技术。并客观的指出了U TM的优缺点,并进行分析。最后展望了该技术的未来发展方向。

网络技术;U TM;网络安全

U TM(Unified Threat M anagement,统一威胁管理)是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬件设备里,构成一个标准的统一管理平台。这个概念是由IDC最先提出的,IDC首次将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视。

一、U TM产生的背景

随着网络的日益发展和应用软件的变化,网络安全管理者不得不面对日益增长的网络威胁。而这些网络攻击的方式已经从传统的简单网络层数据攻击升级到多层次的复合型攻击。这些日益增强的混合型攻击集成了网络层和应用层数据的威胁,基本都会嵌入部分黑客程序和木马。入侵用户后,迅速在内部网络形成DOS/DDOS攻击流的蠕虫病毒最为显著,它们借助邮件,网页及数据共享等途径可以快速传播。

根据互联网协议的层次结构,我们可以归纳各类威胁如下:

1.数据链路层。拒绝服务:一个典型的网络侵入者向该交换机提供大量的无效 M AC源地址,直到硬件地址表格被添满,而无法进行正常的网络通讯。

地址欺骗:网络攻击者改写了目标设备硬件地址表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络攻击者。通过这种方式,黑客们可以伪造 M AC或IP地址,以便实施如下的两种攻击:服务拒绝和中间人攻击。

2.网络层。拒绝服务:网络层的拒绝服务攻击以网络资源消耗为目的,它通过制造海量网络数据报文或者利用网络漏洞使系统自身循环产生大量报文将用户网络带宽完全消耗,使合法用户得不到应有的资源。典型的如Ping f lood和Sm urf攻击,一旦攻击成功实施,网络出口带宽甚至是整个局域网中将充斥这些非法报文,网络中的设备将无法进行正常通讯。

地址欺骗:同链路层的地址欺骗目的是一样的,IP地址欺骗同样是为了获得目标设备的信任,它利用伪造的IP发送地址产生虚假的数据分组,乔装成来自内部主机,使网络设备或者安全设备误以为是可信报文而允许其通过。

非授权访问:是指没有预先经过同意,就使用网络或计算机资源被看作非授权访问。

3.传输层。拒绝服务:传输层的拒绝服务攻击以服务器资源耗尽为目的,它通过制造海量的TCP/UDP连接,耗尽服务器的系统连接资源或者内存资源。典型的如 TCP Flood和UDP Flood攻击,目前在互联网上这类攻击工具随处可见,因其技术门槛低而被大量使用,是互联网的几大公害之一。

端口扫描:端口扫描攻击是一种探测技术,攻击者可将它用于寻找他们能够成功攻击的服务。连接在网络中的所有计算机都会运行许多使用 TCP或 UDP端口的服务,而所提供的已定义端口达6000个以上。通常,端口扫描不会造成直接的损失。然而,端口扫描可让攻击者找到可用于发动各种攻击的端口。为了使攻击行为不被发现,攻击者通常使用缓慢扫描、跳跃扫描等技术来躲避检测。

4.应用层。信息窃听与篡改:互联网协议是极其脆弱的,标准的IP协议并未提供信息隐秘性保证服务,因此众多应用协议也以明文进行传输,如 Telnet、FTP、HTTP等最常用的协议,甚至连用户口令都是明文传输。这为攻击者打开了攻击之门,他们可以在网络的必经之路搭线窃听所关心的数据,盗取企业的关键业务信息;严重的甚至直接对网络数据进行修改并重放,达到更大的破坏目的。

非法信息传播:由于无法阻止非法分子进入网络世界,互联网上充斥着反动、色情、暴力、封建迷信等信息。非法分子通过电子邮件、W EB甚至是IM协议不断的发送各种非法信息到世界各地的网络终端上去。

资源滥用:IDC的统计曾显示,有30%至40%的Internet访问是与工作无关的,而且这些访问消耗了相当大的带宽,一个不受控的网络中90%带宽被P2P下载所占用。

漏洞利用:网络协议、操作系统以及应用软件自身存在大量的漏洞,通过这些漏洞,黑客能够获取系统最高权限,读取或者更改数据,典型的如SQL注入、缓冲区溢出、暴力猜解口令等。在众多威胁中,利用系统漏洞进行攻击所造成的危害是最全面的,一旦攻击行为成功,黑客就可以为所欲为。

病毒:病毒是最传统的信息系统破坏者。

木马:特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。

以上这些威胁,给网络运营造成严重的影响,以往分散的防毒墙很难应对这种混合的攻击。这使得网络安全管理者不得付出更多的维护成本来管理自己的网络,极大增加了安全维护成本,基于这个背景,U TM技术应运而生。

二、U TM的主要技术

实现U TM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。以下为一些典型的技术:

1.完全性内容保护(CCP)。CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。

它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁,包括不良W eb内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

2.ASIC加速技术。ASIC芯片是U TM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。

3.定制的操作系统OS。专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、V PN、反垃圾邮件、IDP等功能。

4.紧密型模式识别语言。这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法,利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。

5.动态威胁管理检测技术。动态威胁防御系统(D ynam ic Threat Prevention System,简称D TPS)是由针对已知和未知威胁而增强检测能力的技术。D TPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。D TPS通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异常检测引擎检查,提高整个系统的检测精确度。

简单的说,U TM具有以下的应用优势:降低安全管理复杂度、集成的维护平台、单一服务体系结构、集中的安全日志管理、组合式的安全保护、应用的灵活性、良好的可扩展性和进一步降低成本。

三、U TM的主要优点

从以上U TM的应用优势,可以总结出U TM的三大优点:

1.整合所带来的成本降低。将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,U TM产品有望解决这一困境。包含多个功能的U TM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

2.降低信息安全工作强度。由于U TM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以在部署过程中可以大大降低强度。另外,U TM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,U TM安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。

3.降低技术复杂度。由于U TM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能性。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用U TM产品可以提高这些组织应用信息安全设施的质量。

四、U TM的主要缺点

尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。U TM技术的实现必须要有强大的硬件平台支撑,否则,难以适应当前的网络性能要求。目前U TM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。以下是U TM必须克服的缺点:

1.网关防御的弊端。网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的U TM设备目前尚不是解决安全问题的万灵药。

2.过度集成带来的风险。将所有功能集成在U TM设备当中使得抗风险能力有所降低。一旦该U TM设备出现问题,将导致所有的安全防御措施失效。U TM设备的安全漏洞也会造成相当严重的损失。

五、U TM技术未来发展展望

从2004年IDC正式给出U TM的定义时算起只过了六年的时间,到如今,它已远远超出最初IDC定义时防病毒、入侵检测和防火墙的范围,它还可将内容过滤、反垃圾邮件、VPN等诸多安全功能集成到一个设备中来,这种设计模式在当前网络威胁复杂化的趋势下,更能满足企业对威胁管理多样化的要求。这种情况下,IDC提出了U TM的下一代技术标准:X-U TM(也称为可扩展U TM或企业级U TM)。

X-U TM并非一个新的产品类型,我们更应该说,它是下一代的U TM。作为U TM的下一代技术标准,X-U TM的核心在于面向用户安全需求进行灵活扩展,使其优秀的多层安全技术紧密融合并有效使用。与传统U TM技术相比,X-U TM技术标准更加关注产品的功能集成度、产品的网络层强壮性、技术融合的可用性、简化管理复杂度、灵活的产品部署,以及全功能的原发型响应支持。

而要实现这些,X-U TM首先必须解决性能上的问题。根据IDC的X-U TM技术标准,XU TM安全产品在全功能打开情况下,不仅要完成HTTP的大包处理,而且要完成各种网络应用协议的小包处理,在此基础上单个端口吞吐量仍然可以达到1Gbps,再加上其具有的高可用性(会话级别切换)、多安全区域等功能,从而可以从技术上保证企业用户关键应用的安全实现。而且,在真实的网络环境中,X-U TM设备放在企业内网里需要承担不同的协议和流量,其处理引擎必须具备分类处理的能力。比如在1G的出口流量中,针对 HTTP的实现应用层安全处理吞吐至少应达到400M、SM TP 300M、POP3 300M,而网络层转发应该达到1G。而这些都对U TM厂商的综合实力提出了严峻考验,这些厂家必须具备不断发展的核心的软件及硬件技术和服务能力。

目前,仅有部分U TM厂商已推出可以称为X-U TM的产品,但各方面性能还是差强人意。但我们可以预见,随着技术的发展,在不远的将来,X-U TM将为以其令人惊讶的实用性,真正地实现从网络到应用的融合,实现统一威胁扩展的理念。

[1]胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.

[2]启明星辰.U TM(统一威胁管理)技术概论[M].北京:电子工业出版社,2009.

A bs tra c t:This paper analyzes in detail the background of U TM technology,the main security techniques in its app lication,its merits and demerits,and last but not least,its development direction.

Key word s:netw ork technology;U TM;netw ork security

A Brief Discussion of UTM Technology

L IWei

(Xinhua Staf f and Workers University,Tianjin 300040 China)

TP393

A

1673-582X(2011)02-0106-04

2010-10-15

李为(1980-),女,天津市人,研究生,天津市新华职工大学讲师,主要从事计算机应用方面的研究。