隨著網(wǎng)絡(luò)中的應(yīng)用越來(lái)越復(fù)雜,安全問(wèn)題以出人意料的速度增長(zhǎng),并且在攻擊方式、攻擊目標(biāo)上亦呈多樣化發(fā)展趨勢(shì)。對(duì)近兩年來(lái)黑客和病毒對(duì)網(wǎng)絡(luò)所造成的威脅進(jìn)行總結(jié),可以看出三個(gè)顯著特點(diǎn):
第一:攻擊手段多樣化,以網(wǎng)絡(luò)病毒為例,從震蕩波、沖擊波,還有QQ病毒,可以看出現(xiàn)在的網(wǎng)絡(luò)攻擊手段中,既包括病毒攻擊,也包括隱含通道、拒絕服務(wù)攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。
第二:每一次攻擊經(jīng)常是多種手段并用,混合攻擊正在成為攻擊的主流。混合攻擊是指在同一次攻擊中,既包括病毒攻擊、黑客攻擊,也包括隱通道、拒絕服務(wù)攻擊,還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊方式,如伊拉克戰(zhàn)爭(zhēng)期間流行的“愛(ài)情后門(mén)變種”病毒,集蠕蟲(chóng)、后門(mén)、黑客三者功能于一身,給互聯(lián)網(wǎng)造成了巨大的破壞。
第三:攻擊手段更新速度前所未有的快,業(yè)界知名的SANS協(xié)會(huì)在其2006二十大安全隱患列表中將“零日攻擊”的爆增列為目前最嚴(yán)重的安全威脅。所謂“零時(shí)攻擊”是指如果一個(gè)漏洞被發(fā)現(xiàn)后,當(dāng)天或更準(zhǔn)確的定義是在24小時(shí)內(nèi),立即被惡意利用,出現(xiàn)對(duì)該漏洞的攻擊方法或攻擊行為,而同時(shí)并未有對(duì)應(yīng)的防御工具被開(kāi)發(fā)出來(lái),那么該漏洞被稱(chēng)為“零日漏洞”,該攻擊被稱(chēng)為“零日攻擊”。
基于以上三方面對(duì)攻擊多樣化和融合特點(diǎn)的總結(jié),可以理解為什么原先各自為戰(zhàn)的安全產(chǎn)品總是處于疲于應(yīng)付的狀態(tài),無(wú)法很好的實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)安全的保護(hù)。企業(yè)中可能會(huì)有防病毒、防火墻、入侵檢測(cè)等一系列安全產(chǎn)品,這些產(chǎn)品產(chǎn)生大量不同形式的安全信息,使得整個(gè)系統(tǒng)的相互協(xié)作和統(tǒng)一管理成為安全管理的難點(diǎn)。由此帶來(lái)的是,企業(yè)的安全管理體制也變得非常復(fù)雜,其系統(tǒng)配置、規(guī)則設(shè)置、反應(yīng)處理、設(shè)備管理、運(yùn)行管理的復(fù)雜性所帶來(lái)的管理成本和管理難度直接制約了安全防御體系的有效性,因而導(dǎo)致了網(wǎng)絡(luò)安全的重大隱患。
可以說(shuō)復(fù)雜的網(wǎng)絡(luò)安全解決方案成為人們關(guān)注的一個(gè)新焦點(diǎn)問(wèn)題,如何使復(fù)雜變成簡(jiǎn)單,成為網(wǎng)絡(luò)管理人員的一個(gè)困惑。UTM就是在這種背景下應(yīng)運(yùn)而生的,它的定義是將多種安全能力(尤其是傳統(tǒng)上講的防火墻能力、防病毒能力、攻擊保護(hù)能力)融合在一個(gè)產(chǎn)品之中,實(shí)現(xiàn)防御一體化,這樣就為簡(jiǎn)化安全解決方案、規(guī)避設(shè)備兼容性問(wèn)題、簡(jiǎn)化安全管理提供了先決條件。因此,全面的立體防御是UTM存在的理由,更是UTM發(fā)展的方向,那么UTM所保護(hù)的網(wǎng)絡(luò)將面臨哪些威脅,或者說(shuō)UTM應(yīng)該提供哪些安全能力呢?
我們需要分析一下網(wǎng)絡(luò)邊界所面臨的威脅,根據(jù)互聯(lián)網(wǎng)協(xié)議的五層結(jié)構(gòu),我們可以歸納各類(lèi)威脅如下圖:
 |
數(shù)據(jù)鏈路層
拒絕服務(wù):網(wǎng)絡(luò)設(shè)備或者終端均需具有相鄰設(shè)備的硬件地址信息表格。一個(gè)典型的網(wǎng)絡(luò)侵入者會(huì)向該交換機(jī)提供大量的無(wú)效 MAC 源地址,直到硬件地址表格被添滿。當(dāng)這種情況發(fā)生的時(shí)候,設(shè)備將不能夠獲得正確的硬件地址,而無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。
地址欺騙:在進(jìn)行 MAC 欺騙攻擊的過(guò)程中,已知某主機(jī)的 MAC 地址會(huì)被用來(lái)使目標(biāo)交換機(jī)向攻擊者轉(zhuǎn)發(fā)以該主機(jī)為目的地址的數(shù)據(jù)幀。通過(guò)發(fā)送帶有該主機(jī)以太網(wǎng)源地址的單個(gè)數(shù)據(jù)幀的辦法,網(wǎng)絡(luò)攻擊者改寫(xiě)了目標(biāo)設(shè)備硬件地址表格中的條目,使得交換機(jī)將以該主機(jī)為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)攻擊者。通過(guò)這種方式,黑客們可以偽造 MAC 或 IP 地址,以便實(shí)施如下的兩種攻擊:服務(wù)拒絕和中間人攻擊。
網(wǎng)絡(luò)層
拒絕服務(wù):網(wǎng)絡(luò)層的拒絕服務(wù)攻擊以網(wǎng)絡(luò)資源消耗為目的,它通過(guò)制造海量網(wǎng)絡(luò)數(shù)據(jù)報(bào)文或者利用網(wǎng)絡(luò)漏洞使系統(tǒng)自身循環(huán)產(chǎn)生大量報(bào)文將用戶(hù)網(wǎng)絡(luò)帶寬完全消耗,使合法用戶(hù)得不到應(yīng)有的資源。典型的如Ping flood 和Smurf攻擊,一旦攻擊成功實(shí)施,網(wǎng)絡(luò)出口帶寬甚至是整個(gè)局域網(wǎng)中將充斥這些非法報(bào)文,網(wǎng)絡(luò)中的設(shè)備將無(wú)法進(jìn)行正常通訊。
地址欺騙:同鏈路層的地址欺騙目的是一樣的,IP地址欺騙同樣是為了獲得目標(biāo)設(shè)備的信任,它利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組,喬裝成來(lái)自?xún)?nèi)部主機(jī),使網(wǎng)絡(luò)設(shè)備或者安全設(shè)備誤以為是可信報(bào)文而允許其通過(guò)。
非授權(quán)訪問(wèn):是指沒(méi)有預(yù)先經(jīng)過(guò)同意,就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn),對(duì)于一個(gè)脆弱的信息系統(tǒng),這種威脅是最常見(jiàn)的。
傳輸層:
拒絕服務(wù):傳輸層的拒絕服務(wù)攻擊以服務(wù)器資源耗盡為目的,它通過(guò)制造海量的TCP/UDP連接,耗盡服務(wù)器的系統(tǒng)連接資源或者內(nèi)存資源。這種情況下,合法用戶(hù)發(fā)出連接請(qǐng)求卻因服務(wù)器資源耗盡而得不到應(yīng)答。典型的如TCP Flood和UDP Flood攻擊,目前在互聯(lián)網(wǎng)上這類(lèi)攻擊工具隨處可見(jiàn),因其技術(shù)門(mén)檻低而被大量使用,是互聯(lián)網(wǎng)的幾大公害之一。某些情況下,攻擊者甚至將攻擊提升到應(yīng)用層,既不只是發(fā)出連接,而且發(fā)出應(yīng)用數(shù)據(jù),這樣的攻擊因不易與合法請(qǐng)求區(qū)分而更加難以控制。
端口掃描:端口掃描攻擊是一種探測(cè)技術(shù),攻擊者可將它用于尋找他們能夠成功攻擊的服務(wù)。連接在網(wǎng)絡(luò)中的所有計(jì)算機(jī)都會(huì)運(yùn)行許多使用 TCP 或 UDP 端口的服務(wù),而所提供的已定義端口達(dá)6000個(gè)以上。通常,端口掃描不會(huì)造成直接的損失。然而,端口掃描可讓攻擊者找到可用于發(fā)動(dòng)各種攻擊的端口。為了使攻擊行為不被發(fā)現(xiàn),攻擊者通常使用緩慢掃描、跳躍掃描等技術(shù)來(lái)躲避檢測(cè)。
應(yīng)用層:
信息竊聽(tīng)與篡改:互聯(lián)網(wǎng)協(xié)議是極其脆弱的,標(biāo)準(zhǔn)的IP協(xié)議并未提供信息隱秘性保證服務(wù),因此眾多應(yīng)用協(xié)議也以明文進(jìn)行傳輸,如Telnet、FTP、HTTP等最常用的協(xié)議,甚至連用戶(hù)口令都是明文傳輸。這為攻擊者打開(kāi)了攻擊之門(mén),他們可以在網(wǎng)絡(luò)的必經(jīng)之路搭線竊聽(tīng)所關(guān)心的數(shù)據(jù),盜取企業(yè)的關(guān)鍵業(yè)務(wù)信息;嚴(yán)重的甚至直接對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行修改并重放,達(dá)到更大的破壞目的。
非法信息傳播:由于無(wú)法阻止非法分子進(jìn)入網(wǎng)絡(luò)世界,互聯(lián)網(wǎng)上充斥著反動(dòng)、色情、暴力、封建迷信等信息。非法分子通過(guò)電子郵件、WEB甚至是IM協(xié)議不斷的發(fā)送各種非法信息到世界各地的網(wǎng)絡(luò)終端上去。這些行為極大的破壞了社會(huì)的安定與和諧,對(duì)整個(gè)社會(huì)來(lái)講,危害極大。
資源濫用:IDC的統(tǒng)計(jì)曾顯示,有30%~40%的Internet訪問(wèn)是與工作無(wú)關(guān)的,而且這些訪問(wèn)消耗了相當(dāng)大的帶寬,一個(gè)不受控的網(wǎng)絡(luò)中90%帶寬被P2P下載所占用。這對(duì)于網(wǎng)絡(luò)建設(shè)者來(lái)講完全是災(zāi)難,它意味著投資利用率低于10%。
漏洞利用:網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)以及應(yīng)用軟件自身存在大量的漏洞,通過(guò)這些漏洞,黑客能夠獲取系統(tǒng)最高權(quán)限,讀取或者更改數(shù)據(jù),典型的如SQL注入、緩沖區(qū)溢出、暴力猜解口令等。在眾多威脅中,利用系統(tǒng)漏洞進(jìn)行攻擊所造成的危害是最全面的,一旦攻擊行為成功,黑客就可以為所欲為。
病毒:病毒是最傳統(tǒng)的信息系統(tǒng)破壞者,隨著互聯(lián)網(wǎng)的普及和廣泛應(yīng)用,計(jì)算機(jī)病毒的傳播形式有了根本的改變,網(wǎng)絡(luò)已經(jīng)成為病毒的主要傳播途徑,用戶(hù)感染計(jì)算機(jī)病毒的幾率大大增加。同時(shí)病毒正在加速與黑客工具、木馬軟件的融合,可以說(shuō)病毒的破壞力達(dá)到了前所未有的程度。
木馬:特洛伊木馬是一種惡意程序,它們悄悄地在宿主機(jī)器上運(yùn)行,就在用戶(hù)毫無(wú)察覺(jué)的情況下,讓攻擊者獲得了遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限。攻擊者經(jīng)常把特洛伊木馬隱藏在一些游戲或小軟件之中,誘使粗心的用戶(hù)在自己的機(jī)器上運(yùn)行。最常見(jiàn)的情況是,上當(dāng)?shù)挠脩?hù)要么從不正規(guī)的網(wǎng)站下載和運(yùn)行了帶惡意代碼的軟件,要么不小心點(diǎn)擊了帶惡意代碼的郵件附件。
UTM產(chǎn)品應(yīng)該提供對(duì)以上分析列舉的攻擊行為進(jìn)行安全防護(hù)的能力。但并不是將這些安全防護(hù)能力簡(jiǎn)單的疊加在一起就可以稱(chēng)之為UTM;如果僅僅是功能的簡(jiǎn)單疊加,產(chǎn)品的管理復(fù)雜度并不能有效降低,同時(shí)會(huì)帶來(lái)性能的急劇衰減,這樣的產(chǎn)品是不可用的。因此UTM應(yīng)該是產(chǎn)品設(shè)計(jì)上保證這些安全能力是有機(jī)融合甚至是完全一體的,這樣才能真正實(shí)現(xiàn)簡(jiǎn)化安全解決方案,讓用戶(hù)的安全變得簡(jiǎn)單的目的。
據(jù)了解,2007年啟明星辰推出了新一代UTM產(chǎn)品,天清漢馬USG一體化安全網(wǎng)關(guān)。這是國(guó)內(nèi)第一款完全采用一體化設(shè)計(jì)思想實(shí)現(xiàn)的功能全面的UTM產(chǎn)品,真正做到了立體防御。具體來(lái)講,天清漢馬采用了綜合分析、分流處理的設(shè)計(jì)思想,對(duì)各種數(shù)據(jù)的分析是在一個(gè)綜合分析引擎中實(shí)現(xiàn),由綜合分析引擎判斷出數(shù)據(jù)的合法性與否,如果合法則正常流過(guò),如果非法則交與獨(dú)立的處理引擎進(jìn)行處理。采用綜合分析引擎進(jìn)行數(shù)據(jù)分析比各個(gè)安全模塊采用獨(dú)立的分析引擎具有更高的效率和安全性。同時(shí),數(shù)據(jù)層面的統(tǒng)一處理為配制層面的統(tǒng)一管理提供的基礎(chǔ)。
