混合式网络威胁成就UTM的新发展(下)

日期: 2008-09-09 作者:Fortinet.Jens Andreasssen 来源:TechTarget中国 英文

  真正的UMT功能组件应该包括:


  防火墙,具有执行面向连接的策略以及满足SSL和IPSec VPN需求的能力。


  入侵防御(IPS)已经看到了显著的提升,因为它可以抵御蠕虫的扩散并且阻止某些针对性攻击。然而,企业IT管理人员提出的对IPS的普遍担心是它在网络内部既创造了“干净” 的一面又创造了“肮脏”的一面。也就是说与一台受感染的计算机在同一个局域网段的机器将岌岌可危。为了实现完全有效,IPS必须放置在每一个终端设备的前端。


  在线防病毒已成为安全设备领域的一个推动力,因为大量垃圾或者受感染的电子邮件、即时通信内容和P2P文件正在对它们各自的服务器的处理能力造成影响。


  URL内容过滤最初与安全无关。但随着越来越多的网站开始包含恶意内容,它开始成为最终用户防御的一个重要组成部分。


  当然,正是由于这些UTM特性的组合功能,每当遇到带有新协议的网络攻击恶意软件进行威胁时,集成的设备会带来了更大的好处。


  这种功能结合型安全设备的下一个发展方向就是网络能力的提升。路由协议如OSPE, RIP和BGP为许多企业提供灵活的架构,从而省去设计、配置、维护单独的路由器和负载平衡设备的费用。在许多情况下,可以完全不用路由器即可对UTM进行部署,从而提升其为用户带来的价值。


  内部区隔一直存在问题。作为遏制威胁或者隔离部分网络的一种机制,这更像一个昂贵的组装件而不是一个一流的解决方案。所需的策略设置级别太过精细,并且要求管理人员具备广泛的技能,但这却除了一些大公司之外的大多数管理人员所缺乏的。当执行的需求被量化的时候,它看起来要么非常昂贵,要么并不能满足中小企业SMB所需要的性能。


  如UTM所示,对于各种规模的企业网络来说,聚合并集成安全功能在节省财力和精力方面是一种经济有效的解决方案。因此,这就为安全厂商提供了一个机会来开发新的方案,从而通过结合网络交换机、IPS、AV、防火墙和路由器的功能来确保网络结构。换句话说,这是将交换机和路由器整合到传统的UTM安全设备中去。


  方案建议:分段保护每一个部门网络


  这个方案主要依赖一个交换网络架构。这些通常包括核心交换机和接入交换机。虚拟局域网(VLAN)将被用于在需要时提供设备级精细度。交换机基于第2层和第3层执行策略。正常的数据流可以通过增加IPS功能进行过滤。理想的IPS过滤可以直接在交换机内进行。与互联网和第三方的连接也可以通过嵌入在交换机中的防火墙功能来实现。下一代UTM安全设备还将提供更多的网络分段,比如针对交易区和某些部门进行隔离。


  这些超级-UTM设备将会呈现出三种主要形态。运营商和服务提供商将试图通过这样的部署从它们的骨干网中过滤出恶意流量。然后就能够为其客户提供“清洁的管道”。这些年来这种构想一直存在,其中运营商应该试图尽可能清除他们网络上的病毒、木马、蠕虫和恶意软件。但是,到目前为止,由于很多原因仍未实现,比如成本、技术和在某些情况下的政治意愿方面的原因。


  第二种形态存在于企业核心网,这些先进的UTM设备将被用来分段和保护每一个部门甚至每一台设备。这是第一次真正的内部网络强化。


  在小型办公室或者远程办公室,将会实现最大效益。一台单独的设备不但将取代众多用于执行过滤和保护的安全设备,还将取代路由器和交换机。


  这一概念使UTM远远超出其诞生之初作为一个简单安全平台的想法。业界将会看到一些重要的错位现象,这是由安全设备开始容纳很多的网络功能所带来。传统的路由器和交换机厂商会发现他们以速度和简单性见长的产品无法适应深层包检测和精细防御的需求。专注于防火墙或IPS的安全厂商将会发现,它们正被结合了安全与网络的更加灵活的产品所取代。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐