www.hj8828.com 1

www.hj8828.comUTM设备的8个主导互联网安全成效

目前,深度数据包检测(DPI)功能正被整合到入侵检测和网络管理设备中,于是很多供应商,包括从传统网络基础设施供应商到第三方供应商等都提供这种工具。一些供应商提供基于流的DPI,而其他供应商则提供基于代理的DPI技术。同时,一些供应商将DPI整合到多功能设备中,而其他供应商则将其作为独立设备。在本文中,我们将列出这些供应商及其产品。

深度数据包检测(DPI)工具主要用于服务提供商网络,而今企业网络管理员越来越多地采用这种技术,优化应用程序性能管理和保证更高水平的安全性。

Check Point
Software:
网络防火墙领导者CheckPoint公司提供一系列的安全设备,从保护数据中心或大型企业网络的高端产品,到针对小型企业或者分支机构的产品等。另外,该公司还提供保护VMware系统中虚拟机间流量的虚拟设备,以及针对Amazon
Web服务的虚拟设备,以帮助保护在Amazon云环境中运行的应用。

基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

统一威胁管理(UTM)设备使用多种检测和防御功能来阻止恶意活动。然而,在不同的产品中,这些功能的组合稍微有些不同,UTM设备最常支持的网络安全功能如下:

Check
Point的安全软件刀片可以单独购买,或者捆绑购买,可选服务包括防火墙、IPS、DLP、反垃圾邮件、防病毒、URL过滤和IPSec
VPN等。这些刀片可以安装在Check Point安全设备包括虚拟设备)中。

DPI工具:基于流与基于代理

www.hj8828.com 1

思科:融合了DPI的安全服务被整合到思科交换机、路由器以及网络安全设备中,例如ASA
5500系列自适应安全设备集成了防火墙以及IPS和VPN服务,并提供不同容量和配置的产品类型,另外,IPS
4300系列传感器提供与ASA
5500相同的IPS功能,但其部署不要求防火墙和VPN服务。

数据包检测方法可以分成两类:基于流和基于代理。

• 反垃圾邮件

Fluke Networks:因其电缆和数据通信测试设备而闻名的Fluke
Networks公司提供的OptiView XP网络分析仪和Network Time
Machine产品能够进行网络监控和性能分析。Network Time
Machine能够记录网络流量,并将流量分流到磁盘,以对网络问题和性能问题进行事后分析。

基于流的检测方式可以检查每一个到达数据包中的数据。如果没有发现威胁,就将数据包转到目标位置。基于代理的检测方式会缓冲构成一个事务的一系列数据包,在接收到所有数据包之后进行威胁扫描。基于流和基于代理的检测技术都能够将数据序列与威胁签名进行匹配,并且能够利用试探法检测零日攻击。

• 针对Web和电子邮件的防病毒技术

Fortinet:Fortinet公司的FortiGate安全设备既包括适用于服务供应商以及大型企业的型号,也有适合中小企业的产品型号。这些产品可以作为防火墙和IPS系统部署在网络边缘或者网络内部,并且它们还能够提供二层和三层路由、流量控制、网页过滤、广域网优化、web缓存、防垃圾邮件、防病毒和SSL
VPN。FortiGate虚拟设备提供与FortiGate硬件设备相同的功能,并且支持各种版本的VMware、Citrix
XenServer、开源XenServer管理程序。

对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

• 应用控制

Network Instruments:Network
Instruments公司的Observer软件、网络探针和GigaStor产品能够帮助网络管理员监控和捕捉网络活动以用于事后分析。其探针能够支持802.11、10Mb到10GbE、光纤通道和从T1到OC12的广域网。

例如,为了解决缓冲区大小的问题,Fortinet推出了一个产品,其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说,缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外,基于代理的检测的支持者则认为,基于流和基于代理的工具性能差别只是一种错觉,实际的事务处理时间非常接近。

• 防火墙

Palo Alto Networks:Palo Alto
Networks加强了传统防火墙功能,以保护加密流量的安全。其防火墙会对通过防火墙的数据进行解密和扫描,以检测恶意软件。此外,所有流量都根据应用来分类,而之前未知的流量根据启发算法或者行为分析来分类。防火墙会基于应用类型以及用户和组策略来控制访问权限。

同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

• 入侵防御