相比UTM、防毒牆等概念,用戶關注的只是網關處如何確保網絡安全以及對病毒攻擊的攔截。
有一天,在一家大型外企工作的小王,利用午休空擋通過MSN將一個名爲Dancing Skeleton的遊戲小程序傳給朋友分享,當消息發過去後,屏幕上卻跳出一個惡意網頁的警告窗口。
事後,該企業CIO分析得出,這其實是一個利用節慶活動作爲掩飾的攻擊程序,用戶一旦瀏覽該網頁即會自動下載執行,且無法察覺已遭攻擊。至於爲什麼能夠成功抵禦這種風險,他解釋說,這主要是部署在企業網關處的UTM(統一威脅管理)發揮了作用。
對於網絡安全而言,終端的防毒軟件就像維護普通治安的警察,網關處的UTM則是抵禦外來風險的邊防駐守。
UTM駐守
從2008年上半年的十大病毒列表可以看出,“機器狗”、“磁碟機”、“AV終結者”等病毒的主要特性在於破壞電腦的“保安”系統,利用各種手段破壞用戶終端的防病毒軟件,然後瘋狂下載各種木馬,從而實施各種形式的攻擊破壞。
瑞星公司研發部副總經理馬傑表示,這使得防病毒軟件對新病毒的防範始終滯後於病毒的出現,在面對熊貓燒香這種技術性不高,但變種數量極其龐大的病毒時,不僅用戶倍感煎熬,防病毒廠商也是疲於奔命。
以上述外企爲例。在網關端防毒系統的報表數據中,一個月內,網關端便阻攔了超過52萬件違例事件,包括不符合企業網站瀏覽規範如鏈接遊戲網站、股票網站等,平均每天超過1.7萬件,換算到每小時則至少有708件。
也就是說,網關端平均每分鐘所阻止的各種違例事件高達12件,試想,如果把這些任務都轉交給客戶端的防毒軟件,其結果可想而知。
因此,對於企業的整體網絡安全而言,如果僅憑端點防護病毒的入侵,已經顯得有些“力不從心”。事實上,網絡安全是基於一系列獨立端點工具和過濾設備共同構成,它們主要位於網絡的邊界處,雖然這些設備足以阻擊基本的網絡攻擊,但卻無法提供足夠的集成、智能或策略執行能力。
對此,更多企業開始把目光投向了UTM(統一威脅管理)。它將防病毒、IPS、防火牆、反垃圾郵件等功能模塊封裝成一個“盒子”。在馬傑看來,這樣有助於機構部署衆多對策,而無需部署、管理和維護相應數據的獨立的、物理的“盒子”和相應的管理控制檯。
智能化反病毒引擎
雖然UTM集合了多種功能模塊,可以在網關處對網絡安全實施整體的應對防護。但在用戶看來,無論UTM是側重於防火牆還是防毒牆,這些概念上的區別並不重要,他們關注的只是網關處如何確保網絡安全以及對病毒攻擊的攔截。
曾經,思科和華爲提出了一種三維防護網絡的概念,如今,反病毒廠商瑞星又對其做了更新。與思科等網絡廠商注重網絡流量的順暢和高可用性不同,瑞星將焦點聚集到網關處,在UTM的基礎上,關注網關的穩定性和病毒處理的效果。
一旦發現數據包出現異常,三維網絡防護模型就可以爲內容安全,如URL過濾、信息防泄露和應用安全提供必要的策略。其實,瑞星就是試圖提供更加智能的反病毒引擎、更快捷的安全事件響應和更全面的反安全解決方案。
以瑞星最新推出的RSW-9300爲例,這種傾向於X86架構的UTM,使用了四核雙至強平臺,防火牆最大的吞吐量可達到900Mbps,HTTP殺毒吞吐則爲600MBps,並提供了4個千兆端口。
值得一提的是,它對HTTP協議進行了特殊的優化處理。在用戶通過HTTP協議獲取數據時,防毒牆會向用戶端發送數據並對數據實施緩存,直到用戶完整接收到最後一個數據包時,防毒牆會暫時不向用戶轉發數據,而是對數據進行還原檢查,當防毒牆發現病毒時,立刻就將停止最後一個數據包的轉發,從而避免用戶遭遇病毒威脅。
