7月號特輯:UTM為企業打造安全的網路環境

本文作者:admin       點擊: 2006-07-24 00:00
前言:
際網路的出現改變了人們的生活方式和企業營運的特點,然而越來越強大的網路就像一把越來越鋒利的“雙刃劍”,在帶給人們便利的同時也帶來了深深的對於網路入侵和資訊安全的憂慮和擔心。一個小的病毒所造成的系統崩潰、一個小的後門所造成的機密資訊洩漏……這都成為跟電腦跟網路打交道的人的夢魘。如何才能讓企業的機器能免遭病毒侵害、安全無故障地運行?如何才能讓自己企業的機密“天不知、地不知、你不知,只有我知”?

2005年有一個新的名詞引起了全球資訊安全領域人士的關注,那就是統一威脅管理(UTM),根據IDC的預測,到2008年為止,UTM將會佔據整個資訊安全市場57.6%的江山,成為未來資訊安全領域的主流設備。

然而究竟什麼才是UTM?UTM與以往的資訊安全解決方案又有什麼關鍵性的區別?它的出現對於改善現在的網路安全又有什麼樣的作用?帶著這諸多的疑問,記者採訪了WatchGuard Technologies首席戰略官Mark W. Stevens。


讓中小型企業用得起的UTM平臺

“UTM是由防火牆發展出來。後來有廠商(如WatchGuard)在防火牆加入VPN及IPS功能,有一段時間用Integrated Security Appliance來稱呼。很多廠商對UTM的定義都不一樣。有機構對UTM作出以下的定義:在一個產品中,至少包括了防火牆、VPN、IPS、防病毒等功能,就可以稱為UTM。以WatchGuard的產品來說,除了以上基本UTM功能之上,還增加了Anti-Spamming、Anti-Spyware及URL Filtering等功能。”Stevens先生如此跟我們解釋了UTM設備的標準。
 
UTM的興起是因為網路應用的廣泛讓網路攻擊的方式越來越多樣化,防火牆已經不足以應付。然而,VPN、IPS、Anti-Spamming由於其高昂的價格所以也只應用於資金雄厚的大型企業,然而中小型公司的網路其實面對跟大企業一樣的威脅。作為一家專注於提供UTM統一解決方案的廠商,WatchGuard更希望將UTM的產品做成讓中小型公司都可以負擔。Stevens先生說“它們價錢昂貴是因為它們多數是軟體,都要運行於各自的硬體上,使整體價格高得嚇人。但是隨著CPU越來越快,記憶體湧量越來越高,以及軟體等相關技術的發展,把這些不同的網路安全功能集合在同一產品中便成為可能,使中小型公司都可以負擔得起。”

WatchGuard安全網路的定義
有很多用戶有誤解,以為防火牆/UTM只是用來分隔網路內部及外界的設備。其實,我們會建議我們的客戶也以我們的UTM把不同的內網隔開。這樣,除了可以防止病毒從一個部門傳到另一個部門外,還可幫助防止跨部門的攻擊。
另外,將來也有可能會把Identity Management也加進UTM,增強內部監控。好像WatchGuard Firebox SSL產品,就已經提供身份確認(Authentication)及用戶群存取控制(Access Control)的功能。
WatchGuard Firebox X巧妙的將防火牆、VPN、IPS、防病毒、Anti-Spamming、Anti-Spyware及URL Filtering等多種保護功能集于一身,加強對客戶網路的保護。Intelligent Layer Security(ILS)將各個UTM功能整合在Security Operating System及軟體上。除了提供高性能以外,更能提供更佳的安全功能。因為有很多攻擊並不針對某一項安全功能,ILS能在不同安全層面上互相通報,所以更能有效的捍衛受保護的網路。
 

展望未來,UTM足可應對新的技術發展與威脅
在分析現有的UTM架構的時候,Stevens先生說道,“目前來說,NP、ASIC、FPGA(Field Programmable Gate Array)或者General-purpose CPU(譬如x86)都可以用來實現UTM的架構,不過從長遠來看,通用型CPU將是大勢所趨。”

“NP主要增加網路有關的性能。雖然FPGA已比ASIC靈活,可以比較靈活的處理IDS及Anti-virus需要更新signature的功能,但對於現今的Unified Threat Management(UTM)的需求,無論NP,ASIC或FPGA都不夠靈活處理。對其他的UTM功能如Anti-Spamming、Anti-Spyware及URL Filtering來說,用General Purpose CPU架構才能提供足夠的性能與靈活性來匹配,FPGA並不適合用來設計此等功能。未來UTM的架構將採取General-purpose CPU,這是我們幾年以前便已經看到的趨勢。譬如我們此次推出的Firebox X便是採用了通用型CPU的架構,”

網路威脅會隨著網路技術的發展以及用戶的使用習慣等而變化,攻擊者往往都會選擇新興的技術或者應用群體比較大的應用來攻擊,由於網路的快捷性,使得這種攻擊往往在很短的時間之內便擴散開,而造成不可挽回的損失。因此只有未雨綢繆才能防範於未然。那麼下一個網路威脅會以什麼形式出現呢?Stevens先生說到,“以今年的發展,無線電話、無線網路等的發展越來越成熟,P2P/IM被越來越多用戶使用。我想,都會吸引攻擊者針對這些技術和應用來設計攻擊。”另外,Stevens先生還強調,今後的網路攻擊已經不再局限於單一的攻擊模式,就目前來說已經呈現出攻擊的多途徑的趨勢。

電子郵件:look@compotechasia.com

聯繫電話:886-2-27201789       分機請撥:11