2008-06-20 10:56 文章来源：网界网

用“深层检测”技术武装UTM

作者：cnw.com.cn

当今最新型的蠕虫病毒可以在几分钟之内就蔓延到全球范围，新的漏洞公布后几个小时就能出现针对漏洞的攻击行为或工具。同时，目前的威胁多数已经从网络层发展到应用层，包括入侵、蠕虫、病毒、P2P滥用等。

面对安全威胁的发展趋势，传统的防火墙已经显得无能为力。它无法检测出利用正常业务端口展开的恶意威胁与攻击，也无法检测和控制占用用户大量网络资源的IM、P2P软件。在这种情况下，融合多种安全能力，能够针对应用层进行深层检测、实现立体防御的UTM设备应运而生。

UTM的挑战

作为新一代的安全网关，UTM与传统防火墙的一大区别就是具备深层检测能力。通过深层检测，UTM可以识别出传统防火墙无法应对的威胁和网络滥用。但是，实现深层检测有以下三个难点。

第一，全面。深层检测在部分用户看来是网关防病毒的同义词，实际上，其真正目的不仅仅是对病毒的防御，还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。只有实现了“全面”的深层检测，才能给网关安全带来足够的保障。

第二，精确。UTM一般都是在网关处进行部署，在进行深层检测时必须确保不出现误判。如果深层检测出现了误判，那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。无论是对最新的病毒变种还是对传统的溢出攻击，UTM的深层检测都必须确保精确识别。

第三，管理。传统的深层检测设备管理起来复杂烦琐，需要用户具备较高的技术能力，能够有针对性地分析检测结果，并根据分析结果和行业特点对设备进行优化配置，才能取得比较好的效果。简化配置操作，方便用户管理，是用户对深层检测功能的迫切需求。

另辟蹊径

目前常用的深层检测方法有两种，一是通过定义报文特征来实现对已知攻击及网络滥用的检测，其优势是技术上实现简单、迅速。但仅能识别已知攻击和应用；另一种是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。

目前来看，将动态检测与静态检测有机结合，消除各自刚性，可以形成一种“柔性检测”的机制。在这种机制下，可以有效发挥两种检测技术各自的优势，从而进一步提高检测的覆盖面。换句话说，无论是黑客攻击、P2P软件还是病毒变种，在柔性检测机制下都可以做到最大程度的覆盖。

其实，各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下，通过VFPR（快速协议识别）、基于原理的SQL注入检测、基于行为的关联分析算法等，都可以进一步增强一体化安全网关的精确检测能力。

另外，一些安全厂商专门建立了面向网络攻防研究的积极防御实验室（AD-LAB），这可以在第一时间内获得各种安全事件信息，并对各类安全事件进行深入研究，从而确保用户在最短时间内获得对最新攻击的精确防御能力。

需要指出的是，在UTM领域预置行业安全配置模板，简化配置管理流程已经成为趋势。目前业界已经形成了“让安全变得简单”的安全设计理念，通过预置基于行业的应用层安全策略配置模板，可以大大降低终端用户的配置复杂度。这些模板，是众多安全厂商通过对大量行业用户网络威胁的调查、总结得到的适合该行业用户的安全策略配置模板。对于绝大多数用户，只需直接引用配置模板，即可获得适合本行业的有效的入侵防御及防病毒功能。而对于常见IM及P2P软件，业内的共识则是通过提供额外的快速配置界面，帮助用户直接针对常见的网络滥用行为进行策略配置。

责任编辑：袁源