第一:攻擊手段多樣化,以網絡病毒為例,從震蕩波、沖擊波,還有QQ病毒,可以看出現在的網絡攻擊手段中,既包括病毒攻擊,也包括隱含通道、拒絕服務攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。
第二:每一次攻擊經常是多種手段并用,混合攻擊正在成為攻擊的主流。混合攻擊是指在同一次攻擊中,既包括病毒攻擊、黑客攻擊,也包括隱通道、拒絕服務攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊方式,如伊拉克戰爭期間流行的“愛情后門變種”病毒,集蠕蟲、后門、黑客三者功能于一身,給互聯網造成了巨大的破壞。
第三:攻擊手段更新速度前所未有的快,業界知名的SANS協會在其2006二十大安全隱患列表中將“零日攻擊”的爆增列為目前最嚴重的安全威脅。所謂“零時攻擊”是指如果一個漏洞被發現后,當天或更準確的定義是在24小時內,立即被惡意利用,出現對該漏洞的攻擊方法或攻擊行為,而同時并未有對應的防御工具被開發出來,那么該漏洞被稱為“零日漏洞”,該攻擊被稱為“零日攻擊”。
基于以上三方面對攻擊多樣化和融合的特點,可以理解為什么原先各自為戰的安全產品總是處于疲于應付的狀態,無法很好地實現對企業網絡安全的保護。企業中可能會有防病毒、防火墻、入侵檢測等一系列安全產品,這些產品產生大量不同形式的安全信息,使得整個系統的相互協作和統一管理成為安全管理的難點。由此帶來的是,企業的安全管理體制也變得非常復雜,其系統配置、規則設置、反應處理、設備管理、運行管理的復雜性所帶來的管理成本和管理難度直接制約了安全防御體系的有效性,因而導致了網絡安全的重大隱患。
復雜的網絡安全解決方案成為人們關注的一個新焦點問題,如何使復雜變成簡單,成為網絡管理人員的一個困惑。UTM就是在這種背景下應運而生的,它的定義是將多種安全能力(尤其是傳統上講的防火墻能力、防病毒能力、攻擊保護能力)融合在一個產品之中,實現防御一體化,這樣就為簡化安全解決方案、規避設備兼容性問題、簡化安全管理提供了先決條件。因此,全面的立體防御是UTM存在的理由,更是UTM發展的方向,那么UTM所保護的網絡將面臨哪些威脅,或者說UTM應該提供哪些安全保護呢?
我們需要分析一下網絡邊界所面臨的威脅,根據互聯網協議的五層結構,我們可以歸納各類威脅如下圖:
拒絕服務:網絡設備或者終端均需具有相鄰設備的硬件地址信息表格。一個典型的網絡入侵者會向該交換機提供大量的無效 MAC 源地址,直到硬件地址表格被添滿。當這種情況發生的時候,設備將不能夠獲得正確的硬件地址,而無法進行正常的網絡通訊。
地址欺騙:在進行 MAC 欺騙攻擊的過程中,已知某主機的 MAC 地址會被用來使目標交換機向攻擊者轉發以該主機為目的地址的數據幀。通過發送帶有該主機以太網源地址的單個數據幀的辦法,網絡攻擊者改寫了目標設備硬件地址表格中的條目,使得交換機將以該主機為目的地址的數據包轉發給該網絡攻擊者。通過這種方式,黑客們可以偽造 MAC 或 IP 地址,以便實施如下的兩種攻擊:服務拒絕和中間人攻擊。
網絡層
拒絕服務:網絡層的拒絕服務攻擊以網絡資源消耗為目的,它通過制造海量網絡數據報文或者利用網絡漏洞使系統自身循環產生大量報文將用戶網絡帶寬完全消耗,使合法用戶得不到應有的資源。典型的如Ping flood 和Smurf攻擊,一旦攻擊成功實施,網絡出口帶寬甚至是整個局域網中將充斥這些非法報文,網絡中的設備將無法進行正常通訊。
地址欺騙:同鏈路層的地址欺騙目的是一樣的,IP地址欺騙同樣是為了獲得目標設備的信任,它利用偽造的IP發送地址產生虛假的數據分組,喬裝成來自內部主機,使網絡設備或者安全設備誤以為是可信報文而允許其通過。
非授權訪問:是指沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,對于一個脆弱的信息系統,這種威脅是最常見的。
傳輸層:
拒絕服務:傳輸層的拒絕服務攻擊以服務器資源耗盡為目的,它通過制造海量的TCP/UDP連接,耗盡服務器的系統連接資源或者內存資源。這種情況下,合法用戶發出連接請求卻因服務器資源耗盡而得不到應答。典型的如TCP Flood和UDP Flood攻擊,目前在互聯網上這類攻擊工具隨處可見,因其技術門檻低而被大量使用,是互聯網的幾大公害之一。某些情況下,攻擊者甚至將攻擊提升到應用層,既不只是發出連接,而且發出應用數據,這樣的攻擊因不易與合法請求區分而更加難以控制。
端口掃描:端口掃描攻擊是一種探測技術,攻擊者可將它用于尋找他們能夠成功攻擊的服務。連接在網絡中的所有計算機都會運行許多使用 TCP 或 UDP 端口的服務,而所提供的已定義端口達6000個以上。通常,端口掃描不會造成直接的損失。然而,端口掃描可讓攻擊者找到可用于發動各種攻擊的端口。為了使攻擊行為不被發現,攻擊者通常使用緩慢掃描、跳躍掃描等技術來躲避檢測。
應用層:
信息竊聽與篡改:互聯網協議是極其脆弱的,標準的IP協議并未提供信息隱秘性保證服務,因此眾多應用協議也以明文進行傳輸,如Telnet、FTP、HTTP等最常用的協議,甚至連用戶口令都是明文傳輸。這為攻擊者打開了攻擊之門,他們可以在網絡的必經之路搭線竊聽所關心的數據,盜取企業的關鍵業務信息;嚴重的甚至直接對網絡數據進行修改并重放,達到更大的破壞目的。
UTM產品應該提供對以上分析列舉的攻擊行為進行安全防護的能力。但并不是將這些安全防護能力簡單的疊加在一起就可以稱之為UTM;如果僅僅是功能的簡單疊加,產品的管理復雜度并不能有效降低,同時會帶來性能的急劇衰減,這樣的產品是不可用的。因此UTM應該是產品設計上保證這些安全能力是有機融合甚至是完全一體的,這樣才能真正實現簡化安全解決方案,讓用戶的安全變得簡單的目的。
2007年啟明星辰推出了新一代UTM產品,天清漢馬USG一體化安全網關。具體來講,天清漢馬采用了綜合分析、分流處理的設計思想,對各種數據的分析是在一個綜合分析引擎中實現,由綜合分析引擎判斷出數據的合法性與否,如果合法則正常流過,如果非法則交與獨立的處理引擎進行處理。采用綜合分析引擎進行數據分析比各個安全模塊采用獨立的分析引擎具有更高的效率和安全性。同時,數據層面的統一處理為配制層面的統一管理提供的基礎。這樣天清漢馬USG就真正作到了單點部署、立體防御、一體化設計、高效易管。
