UTM设备的8个核心网络安全功能4887王中王鉄算盘奖

来源:http://www.smjxgs.com 作者:服务器&运维 人气:104 发布时间:2019-08-12
摘要:Palo Alto Networks: Palo AltoNetworks加强了传统防火墙功能,以保护加密流量的安全。其防火墙会对通过防火墙的数据进行解密和扫描,以检测恶意软件。此外,所有流量都根据应用来分类,

Palo Alto Networks:Palo Alto Networks加强了传统防火墙功能,以保护加密流量的安全。其防火墙会对通过防火墙的数据进行解密和扫描,以检测恶意软件。此外,所有流量都根据应用来分类,而之前未知的流量根据启发算法或者行为分析来分类。防火墙会基于应用类型以及用户和组策略来控制访问权限。

基于流的检测方式可以检查每一个到达数据包中的数据。如果没有发现威胁,就将数据包转到目标位置。基于代理的检测方式会缓冲构成一个事务的一系列数据包,在接收到所有数据包之后进行威胁扫描。基于流和基于代理的检测技术都能够将数据序列与威胁签名进行匹配,并且能够利用试探法检测零日攻击。

• web内容过滤

Sophos:因其反病毒软件产品闻名的Sophos公司在2011年收购了Astaro GmbH公司。Astaro GmbH公司的Astaro Security Gateway,即现在的Sophos UTM既有硬件,也有软件或虚拟设备,它还整合了DPI与其他安全功能。硬件设备型号既有支持10名用户的型号,也有支持多达5000名用户的型号。虚拟UTM可以使用Astaro提供的镜像在Amazon弹性云环境中运行。此外,Amazon虚拟私有云连接器能够连接Amazon云环境的专用私有网段和企业网络。

数据包检测方法可以分成两类:基于流和基于代理。

• 技术架构:正如其他网络安全技术,UTM设备包含一个或多个网络设备或服务器的主要技术架构。通常情况下,这些设备被放置在网络边界的关键位置,例如外部通信链路连接到企业网络的范围内。特别是在较大型企业,UTM设备或服务器可能被部署在企业各部分之间的边界,包括企业的不同部门。基本上来说,UTM部署在网络边界最有效,因为在那里网络具有不同层次的信任或安全策略。

Wedge Networks:Wedge所谓的深度内容检测产品会对数据包进行重组,然后这些数据包被压缩和解码成应用级对象,接着,Wedge的反垃圾邮件、反恶意软件和Web监控产品会检查整个对象来找出威胁。该公司的硬件设备提供反垃圾邮件、防病毒和网络监控等功能,能够支持各种规模的网络。

对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

• 入侵防御

目前,深度数据包检测(DPI)功能正被整合到入侵检测和网络管理设备中,于是很多供应商,包括从传统网络基础设施供应商到第三方供应商等都提供这种工具。一些供应商提供基于流的DPI,而其他供应商则提供基于代理的DPI技术。同时,一些供应商将DPI整合到多功能设备中,而其他供应商则将其作为独立设备。在本文中,我们将列出这些供应商及其产品。

Wedge Networks提出了另一种DPI机制:深度内容检测。Wedge的产品会收集一系列的数据包,然后执行解压缩和解码,将它们转换为应用程序级对象。这样,Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查,从中发现威胁。

• VPN:大多数UTM网络安全功能是专门针对攻击检测和阻止,而虚拟专用网络则是专门用于防止企业网络活动被窃听或未经授权使用的技术。VPN提供了一个受保护的通道,其他网络活动可以通过这个通道。VPN正越来越多地被用来保护企业的移动主机,例如笔记本、智能手机和平板电脑。这些设备通常使用不安全或薄弱的外部网络,而VPN可以为这些网络的使用提供保护。VPN也可以被配置为将移动主机的流量传输到UTM设备,而这允许所有UTM网络安全对移动流量进行检查,从而减少了这些设备造成的安全事故。

思科:融合了DPI的安全服务被整合到思科交换机、路由器以及网络安全设备中,例如ASA 5500系列自适应安全设备集成了防火墙以及IPS和VPN服务,并提供不同容量和配置的产品类型,另外,IPS 4300系列传感器提供与ASA 5500相同的IPS功能,但其部署不要求防火墙和VPN服务。

此外,DPI工具能够显示每一个应用程序所使用的带宽比例。所以,有一些DPI设备甚至帮助网络管理员基于这些数据控制带宽分配。DPI还可以用在网络测试设备中,帮助网络管理员诱捕和记录应用层发生的特定事件。

• 应用控制:顾名思义,应用控制是管理用户可以运行哪些应用程序的过程。这可能涉及应用白名单功能以及确定哪些应用可以使用以及不可以被使用,并且,这还可能包括对应用使用的限制。这种限制的例子是,设置一天中的哪些时间,或者一周中的哪些天,用户可以使用特定的应用程序。另一个例子是,限制应用程序可以使用的带宽。强大的应用控制功能可以检测和执行应用策略,不管这个应用如何被使用来规避检测(例如,在不用的端口上运行、使用备用协议等)。对于网络安全来说,应用控制正变得越来越重要,因为很多应用程序具有恶意的性质或者包含可能造成数据泄露的可利用漏洞。应用控制还可以帮助企业限制应用程序的安装和使用,从而降低整体受攻击面。

WatchGuard Technologies:WatchGuard提供了一系列的防火墙设备,有支持大型企业的设备,也有支持中小企业的设备。其虚拟防火墙产品能够保护WMware环境中虚拟机的安全。针对小型企业的产品同样也整合了802.11n接入点。WatchGuard的XCS内容安全设备提供反垃圾邮件和反恶意软件、数据丢失防护、网页过滤、电子邮件加密和电子邮件附件控制等功能,并整合了DPI和其他安全功能。

同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

• 应用控制

Fortinet:Fortinet公司的FortiGate安全设备既包括适用于服务供应商以及大型企业的型号,也有适合中小企业的产品型号。这些产品可以作为防火墙和IPS系统部署在网络边缘或者网络内部,并且它们还能够提供二层和三层路由、流量控制、网页过滤、广域网优化、web缓存、防垃圾邮件、防病毒和SSL VPN。FortiGate虚拟设备提供与FortiGate硬件设备相同的功能,并且支持各种版本的VMware、Citrix XenServer、开源XenServer管理程序。

DPI工具:基于流与基于代理

• 虚拟专用网(VPN)

Check Point Software:网络防火墙领导者CheckPoint公司提供一系列的安全设备,从保护数据中心或大型企业网络的高端产品,到针对小型企业或者分支机构的产品等。另外,该公司还提供保护VMware系统中虚拟机间流量的虚拟设备,以及针对Amazon Web服务的虚拟设备,以帮助保护在Amazon云环境中运行的应用。

DPI功能越来越多地整合到其他网络安全和管理设备上,用于优化网络访问控制,甚至保证服务质量(QoS)。入侵防御系统(IPS)、统一威胁管理 (UTM)和数据泄漏保护(DLP)设备中的DPI功能不仅能够抵御恶意软件,还能够降低企业网络中个人设备引起的安全风险。

• 针对Web和电子邮件的防病毒技术

...

...

下面让我们来仔细看看UTM系统的每个核心网络安全功能。正如上所述,对于不同的产品,UTM系统对每个安全功能的支持程度可能会存在差异。例如,有的产品可能只支持最基本的web内容过滤,例如检查网址是否包含恶意内容,而其他产品则会进行更严格的web内容过滤,例如使用信誉服务和高级分析来确定每个网站的性质:良性或恶性。

Check Point的安全软件刀片可以单独购买,或者捆绑购买,可选服务包括防火墙、IPS、DLP、反垃圾邮件、防病毒、URL过滤和IPSec VPN等。这些刀片可以安装在Check Point安全设备包括虚拟设备)中。

基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

4887王中王鉄算盘奖结果 1

Fluke Networks:因其电缆和数据通信测试设备而闻名的Fluke Networks公司提供的OptiView XP网络分析仪和Network Time Machine产品能够进行网络监控和性能分析。Network Time Machine能够记录网络流量,并将流量分流到磁盘,以对网络问题和性能问题进行事后分析。

例如,为了解决缓冲区大小的问题,Fortinet推出了一个产品,其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说,缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外,基于代理的检测的支持者则认为,基于流和基于代理的工具性能差别只是一种错觉,实际的事务处理时间非常接近。

• 反垃圾邮件

针对托管安全服务供应商MSSP)产品的Wedge云解决方案能够通过在最终客户设备上放置浏览器或者客户端、再将网络流量导向到部署在云中的Wedge解决方案,来帮助MSSP确保其客户的安全。最终用户可以根据其个性化需求来配置安全和服务。

现在,DPI正被整合到其他的网络管理和安全设备上,因此有越来越多的网络技术供应商推出了这类工具。在关于DPI工具的系列文章中,我们将列举大量的DPI供应商。

• 防火墙

SonicWALL:今年被戴尔收购的SonicWALL公司提供了一系列的网络安全设备,既包括适用于服务供应商以及大型企业的产品,也包括适合中小企业的产品。这些产品同时提供防火墙和UTM服务,让网络管理员可以根据应用、用户或组来监控和控制带宽分配情况。SonicOS平台整合了DPI与其他安全功能。

将DPI整合到其他网络安全和管理设备上

• 反垃圾邮件:大家可能都已经非常熟悉反垃圾邮件技术,但你可能不知道的是反垃圾邮件软件可以有效地阻止基于电子邮件的攻击。很多垃圾邮件信息具有恶意的性质;例如,它们可能试图通过社会工程技术诱骗用户泄露敏感个人信息(包括密码、PIN、社会安全号码等)。随着社会工程成为攻击者攻击系统和身份盗窃的最常见方法之一,企业应该尽可能地阻止恶意电子邮件接近用户,或者应该标记为垃圾邮件或存储在单独的垃圾邮件文件夹以供用户进行后续评估。反垃圾邮件还能够有效地阻止内部产生的垃圾邮件(来自受感染台式机和笔记本)被发送到企业外部。

Network Instruments:Network Instruments公司的Observer软件、网络探针和GigaStor产品能够帮助网络管理员监控和捕捉网络活动以用于事后分析。其探针能够支持802.11、10Mb到10GbE、光纤通道和从T1到OC12的广域网。

深度数据包检测(DPI)工具主要用于服务提供商网络,而今企业网络管理员越来越多地采用这种技术,优化应用程序性能管理和保证更高水平的安全性。

除了这些核心功能,有些UTM产品还提供了其他网络安全功能,例如负载均衡、数据丢失防护(DLP)和带宽管理等。

统一威胁管理(UTM)设备使用多种检测和防御功能来阻止恶意活动。然而,在不同的产品中,这些功能的组合稍微有些不同,UTM设备最常支持的网络安全功能如下:

因为每个UTM设备(设备或服务器)在网络安全中发挥着重要的作用,企业必须确保所有部署都有冗余来应对UTM故障的情况。请记住,由于UTM提供防火墙和其他核心安全功能,UTM故障可能会导致网络流量无法传输到UTM所在的网络位置。多年以来,专家们建议,企业在关键位置部署冗余的防火墙,而在这些位置部署多余的UTM设备更加重要。另外,在灾难恢复规划期间不要忘记UTM,热站点和其他备用未知必须受到保护,并且在灾难发生时可以进行转移。

安全功能

• 针对Web和电子邮件的防病毒技术:防病毒技术是最古老的网络安全技术之一。UTM工具通常提供恶意软件扫描功能来分析电子邮件和web应用程序流量,并且在某些情况下,还能够分析经常用来传播恶意软件的其他网络应用流量(例如,即时消息收发服务)。防病毒软件已经没有以前那么有效,因为恶意软件已经变得更具针对性和个性化,同时,防病毒软件主要是基于签名,它更适合检测已知恶意软件。不过,防病毒软件仍然很有必要,因为它能够阻止很多攻击。

• 防火墙:防火墙是网络安全控制的最根本方面,它限制了主机间网络连接的建立。与防病毒软件一样,防火墙已经没有以前那么有效,因为攻击的性质已经发生改变。与此同时,现在很多攻击涉及建立未经授权的网络连接。虽然这种情况发生的可能性已经显著下降,但这仍然是一个问题,特别是对于包含敏感信息的主机,例如数据库服务器。即使是没有太多安全边界的企业,通常仍然需要防火墙来保护他们最有价值的网络资产。

• 入侵防御:入侵防御技术(也被称为入侵检测技术或者入侵检测和防御技术)被用来识别和阻止其他UTM网络安全功能无法阻止的攻击类型。对于不同的产品,入侵防御技术也有所不同,但一般来说,最有效的产品通常采用了组合方法,例如基于签名、异常和声誉的检测。这让入侵防御软件可以同时阻止已知和未知的攻击,后者填补了UTM检测功能的一个重要缺口。

【编辑推荐】

• Web内容过滤:Web内容过滤最初是一种很简单的技术,用来防止对未经授权网站的访问。后来,web内容过滤功能进行了扩展,涵盖了很多其他技术,它能够用于确定web请求是否应该被允许或者禁止。其中一个例子就是,使用声誉服务来判断每个网站的良性或恶性性质。还有分析技术可以扫描网站是否存在安全违规行为,这些行为可能表明网站存在严重安全问题,例如感染或恶意内容。你企业需要使用web内容过滤服务的程度取决于你企业特定的web安全政策,特别是当标记的网站为 “不合适”以及在本质上并不一定是恶意时。

本文由4887王中王鉄算盘奖结果发布于服务器&运维,转载请注明出处:UTM设备的8个核心网络安全功能4887王中王鉄算盘奖

关键词:

上一篇:ITSM的价值呈现,周密摸底IT服务管理

下一篇:没有了

最火资讯