精华内容
下载资源
问答
  • UTM安全网关是什么.docx
  • 防火墙/UTM/安全网关

    千次阅读 2019-10-13 17:15:42
    安全产品 防火墙 安全网关 统一威胁管理 UTM FireWall

    写在最前:
    安全产品系列目录:目录&总述

    FireWall 防火墙

    用于边界安全防护的权限控制和安全域的划分
    防外不防内,隔离区域
    配置策略,按需划分,最小授权原则

    产品简介

        采用应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。

    产品特点

    1. 全面的应用、用户识别能力
    2. 细致的应用层控制
    3. 应用层安全防护能力
      入侵防护、URL过滤、防病毒、内容过滤
    4. 应用层安全处理性能
      基础网络数据包的高速转发,应用层安全处理的高性能
    5. 内网资产风险管理
    6. 云端安全管理模式
    7. 高稳定性和可靠性
    8. 支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能

    用户价值

    1. 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本
    2. 事前的风险预知和事后的检测&响应能力,主动发现被保护的资产对象,以及被保护对象的风险状况
    3. 帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估

    1.部署模式

    路由模式

        当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。路由器两端是不同子网
        采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
    路由模式

    透明模式

        如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
        采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
    透明部署

    旁路模式

        在其他设备上开一个镜像口接入,逻辑上类似透明模式,检查流量经过,但不能进行阻断
    部署简单,不改变现有结构,不影响速度,出现故障不会影响其他设备
    旁路部署
    旁路部署可以进行特殊流量配置,比如:三角传输
        三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例这种模式下只有入站方向流量进入到设备,服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,若充分信任内部安全性,这种配置可以提升处理能力。

    双机热备

        这种可能会用到混合模式:防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下
    主备模式
        主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
    负载分担模式
        两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断
    一般部署
    双机热备-一般模式
    会话备份
    双机热备-会话备份
    因为有重传机制
    所以在两台防火墙完全主备部署的情况下,即使不使用会话备份,在设备故障切换时只是会影响业务的切换时间,但不会完全导致业务不可用;对于新建连接,只是增加一次会话建立时间,对数据转发没有任何影响

    当两台防火墙做负载分担,而且数据流量存在来回路径不一致的时候,防火墙必须开启会话备份功能。
    因为开启了OSPF负载分担,以TCP数据流为例,假如Trust区域的某客户要去访问Untrust区域的资源,TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1,但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust,策略是禁止的,而且设备本身又没有会话,所以这个报文就会被丢弃,TCP连接建立失败。尽管TCP超时后会再次发起连接,但是如果上下两台路由器等价路由的Hash方式不变,报文会一直按着上面所说的路径转发,所以TCP连接永远失败。
    在这里插入图片描述

    工作过程

    路由工作模式
        防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
    透明工作模式
        防火墙工作在透明模式下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。
    混合工作模式
        防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间
        进行转发时,转发过程与透明模式的工作过程完全相同。

    UTM 统一威胁管理

    Unified Threat Management
    集成多种功能
    若开启多项功能,可能性能不足,大多用于中低端公司

    产品简介

        集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT(蓝牙)、IM(即时通讯)控制等多种应用

    产品特点

        集成多种产品功能,方便配置,管理

    用户价值

    1. 便于部署,维护
    2. 性价比高

    1. 部署模式

    与防火墙类似,但一般不用于区域划分(太贵),只在内外网之间放一个

    生产厂商

    防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:
    天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云

    展开全文
  • 安全网关UTM-统一威胁管理解决方案.docx
  • IDS、IPS和UTM的区别

    千次阅读 2017-01-04 16:14:31
    IDS、IPS和UTM的区别    在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像.那么这两款产品有区别吗?区别在哪?入侵防御和UTM...

                                                        IDS、IPS和UTM的区别

           在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像.那么这两款产品有区别吗?区别在哪?入侵防御和UTM之间该如何选择?未来它们将会如何发展,本文将就这几个问题做一一分析.

    用户选择之惑

           从出现先后顺序来看,入侵检测无疑是前辈:甚至最早的入侵防御产品就是在入侵检测产品的基础上改造而成.

           顾名思义,入侵检测产品就是对入侵行为进行检查的产品,那为什么要检测入侵呢?大家都知道,入侵检测技术起源于审计,是需要/想知道网络里到底发生过什么事情,毕竟网络世界不像真实世界这样可视化.而和入侵检测有着共同基础的入侵防御产品则不然,它的重点是防护,看上去更像我们熟悉的防火墙产品.当然,入侵防御也有和传统防火墙不一样的地方:防火墙的规则是允许具备某些特征的数据包通过,比如TCP 80端口的数据包,在Web服务跟前,就是被允许通过的;而入侵防御的规则刚好相反,不允许具备某些特征的数据包通过,某一个数据包携带的数据被认定为溢出攻击,就将被拒绝通过.当然,还有一种说法就是,防火墙关注的是会话层以下的网络数据,而入侵防御则关注会话层-应用层的数据.有一定技术基础的朋友一定能很快看出上面的问题,“且慢,这根本就不是问题,我完全可以做到只让那些符合某些规则(防火墙规则),又不具备某些特征(入侵特征)的数据通过”.“至于防火墙不关注会话层以上的数据,这就更简单了,不论以前是什么原因不关注,现在开始也分析好了,只要性能能跟上,技术上没有困难”. 没错,正是上面提到的所谓区别在硬件技术和检测技术的发展面前都已经不是问题了,才会UTM这一概念获得人们的认可:我们喜欢防火墙式的一劳永逸,我们需要入侵防御的应用层威胁防护,于是我们把这两个功能在一个硬件上实现了.一些安全厂商/用户并不能区别单独的入侵防御产品和UTM产品中的入侵防御之间的区别,于是就陷入了一个误区:我应该选择入侵防御还是UTM?如果入侵防御可以在UTM中实现,是不是以后就没有单独的入侵防御产品了?


    入侵防御还是UTM?

        这其实不能算是问题,UTM刚出现时很少有人选择,原因很简单:性能.有些号称UTM的设备在打开入侵防御功能后性能衰减严重,这UTM并未像想象中那样获得开门红.但摩尔定律的力量是强大的,随着硬件技术的发展,在效率不降低的情况下在一个盒子里完成多项工作,已经成为现实.

    这是不是就意味着UTM可以全面取代入侵防御产品呢?我们应当还记得前面提到的:防火墙是配置允许规则,规则外禁止,而入侵防御是配置禁止规则,规则外允许.相信很多人都会听说过这么一个功能:bypass,就是在串行设备遇到软件/硬件问题时,强制进入直通状态,以避免网络断开的一种技术.这个技术只在入侵防御产品中有应用,而不出现于防火墙产品中,这是为什么呢?诚然,在防火墙处于非透明模式下,bypass也无法保障通讯的通畅:比如说NAT模式下,防火墙内外网络不在一个网段,即使物理上强制直通,也会找不到路由而无法通讯.(说到这里笔者就要插一句了,曾见到有些入侵防御的技术要求中一方面要求提供路由接入模式,一方面又要求支持bypass,简直就是不知所云).但是最根本的原因还在于防火墙与入侵防御两种截然不同的数据处理流程:防火墙是只允许那些被允许的数据进入,即使在自身出现问题的情况下,也不能让未受允许的数据进入,防火墙不可能有bypass功能.而入侵防御刚好相反,其目标是保护后端的设备不受威胁行为的影响提供正常的服务,如果自身出现问题了,宁愿切换为通路,也不影响后端业务的运营,,bypass设备是的. 

         这里需要补充一点,有些朋友看到上面的描述,可能会对入侵防御的“宽宏大量”表示不理解:bypass后就变成无防护状态了,太可怕了.其实,一般来说,入侵防御产品的bypass都是与其watchdog技术相结合的,watchdog保障了故障进程能自动恢复,真正处在bypass无防护状态下的时间并不长,一次bypass切换(防护——无防护——再次开始防护)可以在数秒钟内完成,并不会因此而网络长时间失去保护.

          可以看出,入侵防御产品的未来之路就是保护后端服务不受威胁影响而能正常开展业务.UTM类产品可以有入侵防御的模块,但结合了防火墙、AV等其它功能,其关注的目标必定是批量化的拦截,无暇专注于后端服务.入侵防御和UTM相比,可以用一个生活中的小例子来呼应:入侵防御就是个人保镖,而UTM就是小区保安,两者都是保护目标的安全,但受保护目标不同(保镖的目标聚焦,而保安的目标不聚焦)这两种类似的职业都有单独存在的必要.

         到底需要入侵防御还是UTM?取决于保护的目标主体.如果用以保护整个网络,那么应当选择UTM,除了入侵防御之外,还可依据用户需求提供防病毒、VPN等网关级安全应用.如果用以保护某一台或多台服务器(群),那么就应当选择入侵防御.当然这是有前提的,那就是入侵防御产品需要对服务器防护有相应针对性的特性,比如启明星辰公司的天清入侵防御产品,就专注发掘了Web服务防护功能.

        再看入侵检测产品,与入侵防御产品作为控制工具相对的,入侵检测产品给使用者提供了一个可视化的平台,通过这个平台,用户可以清楚地了解网络里到底发生了什么事情,当然,结论的产生还是需要加入大量的人工分析.比如,网络嗅探,入侵防御或者类似的控制工具,所关注的只是“禁止这一行为”,但嗅探可能来自于内部员工的正常网络检查行为,这就需要一个界面来告诉使用者,嗅探行为是谁干的、是否违规等等,而这就是入侵检测产品的作用所在.当你需要了解网络安全状况的时候,购买入侵检测产品将会是一个合适的选择. 

     

    入侵防御还是入侵检测? 

           即使有了基于前文的认知,但当前还有这样的言论出现:入侵检测能做的事,入侵防御都可以做,入侵防御是入侵检测的升级/换代产品.

            前文提到,入侵检测所关注的是可视化,对入侵检测来说,最重要的是 “呈现”.“呈现”主要取决于两点,一是呈现的内容,二是呈现的效果.呈现的内容表现在,事件是否更新及时,数据是否抓取完全.和入侵防御不一样,入侵检测产品是旁路部署甚至多点部署的,对整个网络进行监视.呈现的效果表现在是否能方便地从产品界面上获得有效信息,以便对接下来的工作进行指导:禁止或允许某些安全规则,评价某个区域的安全建设效果等.而入侵防御则更关注“防护”,准确而及时的防护,其关注重点并不是全局信息(而只是关键服务器群),也不关注信息分析.这导致了入侵检测和入侵防御在面对事件时的不同态度:入侵检测关注可疑事件,即使不能判断为具体的攻击行为,也要进行记录和分析备案;而入侵防御关注的都是明确的事件,是威胁就坚决予以阻断,不能认定为威胁则予以放行.而在用户交互界面层面,也有不同的态度:入侵检测关注信息展现,以图表呈现全面的信息以协助分析;入侵防御则不需要关注信息之间的关联,事件对入侵防御而言只是一个阻断报告的数据来源.,在选择入侵检测产品的时候,需要关注如下因素:它是否能保障“呈现”无障碍,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈现”的内容做出相应的决策判断. 

     

          当然,作为安全厂商,所需要做的就是,当开发入侵检测产品的时候,任何功能特性,都应当围绕“呈现”这个词来做,用户需要一个可视化平台.只有“呈现”,才是入侵检测的精髓,是入侵检测依然存在,不被其它产品取代的根本.

     

    展开全文
  • 防火墙概述

    2021-12-30 13:23:09
    从古至今,墙予人以安全之意。 防火墙分类 防火墙分类 按物理特性划分 按性能划分 按防火墙结构划分 按防火墙技术划分 软件防火墙 百兆级防火墙 单一主机防火墙 包过滤防火墙 硬件防火墙 ...

    防火墙的定义

    什么是防火墙?

    墙,始于防,忠于守。从古至今,墙予人以安全之意。

    防火墙分类

    防火墙分类
    按物理特性划分按性能划分按防火墙结构划分按防火墙技术划分
    软件防火墙百兆级防火墙单一主机防火墙包过滤防火墙
    硬件防火墙千兆级防火墙路由集成防火墙应用代理防火墙
    ......分布式防火墙状态监测防火墙
    ............

    防火墙的功能

    1. 访问控制
    2. 地址转换
    3. 网络环境支持
    4. 带宽管理功能
    5. 入侵检测和攻击防御
    6. 用户认证
    7. 高可用性

    防火墙安全策略

    定义:

    • 安全策略是按一定规则,控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
    • 规则的本质是包过滤。

    主要应用:

    • 对跨防火墙的网络互访进行控制
    • 对设备本身的访问进行控制

    防火墙安全策略的原理

    防火墙安全策略作用:

    根据定义的规则对经过防火墙的流量进行过滤筛选,再进行下一步操作。

    安全策略分类

    • 域间安全策略
    • 域内安全策略
    • 接口包过滤

    防火墙发展历程

    传统防火墙(包过滤防火墙)——一个严格的规则表

    判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

    工作范围:网络层、传输层(3-4层)

    和路由器的区别:

    普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。

    防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

    技术应用:包过滤技术

    优势:对于小型站点容易实现,处理速度快,价格便宜

    劣势:规则表很快会变得庞大复杂难运维,只能基于五元组

    匹配规则:

    ①有允许规则:是;

    ②有拒绝规则:否;

    ③无相关规则:否;

    传统防火墙(应用代理防火墙)——每个应用添加代理

    判断信息:所有应用层的信息包

    工作范围:应用层(7层)

    和包过滤防火墙的区别:

    包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。

    应用代理防火墙工作7层,检查所有的应用层信息包,每个应用需要添加对应的代理服务。

    技术应用:应用代理技术

    优势:检查了应用层的数据

    劣势:检测效率低,配置运维难度极高,可伸缩性差

    传统防火墙(状态检测防火墙)——首次检查建立会话表

    判断信息:IP地址、端口号、TCP标记

    工作范围:数据链路层、网络层、传输层(2-4层)

    和包过滤防火墙的区别:

    包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。 是包过滤防火墙的升级版,一次检查建立会话表,后期直接按会话表放行。

    技术应用:状态检测技术

    优势:主要检查3-4层能够保证效率,对TCP防御较好

    劣势:应用层控制较弱,不检查数据区

    入侵检测系统(IDS)——网络摄像头

    部署方式:旁路部署,可多点部署

    工作范围:2-7层

    工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头

    目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

    分析方式:

    1、基于规则入侵检测;

    2、基于异常情况检测;

    3、统计模型分析呈现;

    入侵防御系统(IPS)——抵御2-7层已知威胁

    部署方式:串联部署

    工作范围:2-7层

    工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通

    目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御

    防病毒网关(AV)——基于网络侧识别病毒文件

    判断信息:数据包

    工作范围:2-7层

    目的:防止病毒文件通过外网络进入到内网环境

    和防火墙的区别:

    防病毒网关防火墙
    专注病毒过滤专注访问控制
    阻断病毒传输控制非法授权访问
    工作协议层:ISO 2-7层工作协议层:ISO 2-4层
    识别数据包IP并还原传输文件识别数据包IP
    运用病毒分析技术处理病毒体对比规则控制访问方向
    具有防火墙访问控制功能模块不具有病毒过滤功能
    传统的病毒检测方法
    MD5完全匹配二进制序列
    病毒特征码特征码部分匹配二进制序列
    规则匹配正则表达式,当A出现时且B和C只有一个出现
    沙箱虚拟执行,开销大,潜伏期长
    字节信息 原始底层特征 人为定义

    Web应用防火墙(WAF)——专门用来保护web应用

    判断信息:http协议数据的request和response

    工作范围:应用层(7层)

    目的:防止基于应用层的攻击影响Web应用系统

    主要技术原理:

    ①代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制

    ②特征识别:通过正则表达式的特征库进行特征识别

    ③算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等

    统一威胁管理(UTM)——多合一安全网关

    包含功能:FW、IDS、IPS、AV

    工作范围:2-7层(但是不具备web应用防护能力)

    目的:将多种安全问题通过一台设备解决

    优点:功能多合一有效降低了硬件成本、人力成本、时间成本

    缺点:模块串联检测效率低,性能消耗大

    下一代防火墙(NGFW)——升级版的UTM

    包含功能:FW、IDS、IPS、AV、WAF

    工作范围:2-7层

    和UTM的区别:

    与UTM相比增加的web应用防护功能;

    UTM是串行处理机制,NGFW是并行处理机制;

    NGFW的性能更强,管理更高效

    防火墙的性能指标

    性能指标1——吞吐量

    吞吐量:防火墙能同时处理的最大数据量

    有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率

    衡量标准:吞吐量越大,性能越高

    性能指标2——时延

    定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

    用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发(Store and
    Forward)的性能。

    衡量标准:延时越小,性能越高

    性能指标3——丢包率

    定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。

    衡量标准:丢包率越小,防火墙的性能越高

    性能指标4——背靠背

    衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

    性能指标5——并发连接数

    定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。

    衡量指标:并发连接数指标越大,抗攻击能力也越强。

    展开全文
  • 群魔乱舞, 信息社会入侵威胁与日俱增 群众呼声, 少花钱多办事,... 网关安全系统向何处去? 是孤胆英雄还是团队作战? 我们还需要更加冷静思索 如何真正满足用户的安全需求,是摆在信息安全厂商面前的一个难题。尽...
    群魔乱舞,

    信息社会入侵威胁与日俱增
    群众呼声,

    少花钱多办事,

    还要一体化解决诸问题。

    网关安全系统向何处去?

    是孤胆英雄还是团队作战?

    我们还需要更加冷静思索

    如何真正满足用户的安全需求,是摆在信息安全厂商面前的一个难题。尽管各个厂家前仆后继,技术路线层出不穷,但鲜有成功者。究竟UTM趋势如何,我们不妨来看两个观点的PK。

    防火墙、入侵检测、防病毒俗称网络安全“老三样”,长期以来一直作为标准安全产品,在实现网络安全从无到有的过程中发挥了重要作用。

    但是,随着技术不断进步,用户对于网络安全的投入产出比要求越来越高,希望在构建、部署和维护网络安全系统的过程中能尽量少花钱多办事,能一步到位解决常见的安全威胁。

    正方:

    一、用户不断要求降低安全投资成本

    构建安全系统是一件非常复杂的过程,用户需要投入大量财力、物力和精力,除网络信息安全涉及的技术门槛高、产品昂贵的因素之外,主要原因在于大部分安全产品如防火墙、VPN、IPS、防病毒等功能单一,每个设备买之前都需要货比三家,购买总价高。为了集中管理、存储日志或者及时更新产品,可能还需要为各家不同的产品分配策略服务器、日志服务器或更新服务器,这些附加的投入会随着安全产品的引进而成倍增加。可见,对用户来说,非常迫切希望降低在安全建设上的投入,希望能省时、省心、省力地完成安全建设。

    二、用户不断要求增强安全防范能力

    相当一段时间内,对PPDR模型的理解被简化为IDS联动,这从侧面反应了用户对安全效果的不满:防火墙有控制能力但不能做深度检查,IDS可以检查应用安全但没有控制能力。单一功能安全设备的防范效果肯定是有限的,用户不满意是正常的。随着防垃圾邮件、防钓鱼欺骗等更多安全设备的出现,用户对安全设备的整合、联动的需求更加强烈,只有做到真正的融合和互动,才能进行全面的安全过滤和防范。

    三、用户不断要求提高安全运维效率

    首先,大部分网络安全系统是在原有的信息系统基础上增加的,在增加的安全设备与原有网络设备、安全设备之间都可能遇到产品兼容性问题,在部署实施中会相互冲突,安全设备越多,冲突的机会就越多,这在客观上增加了部署实施的难度。有时,个别安全设备可能导致系统验收推迟几个月。

    其次,每个安全设备都有一套自己的配置管理方法,因此,很多用户要求厂家派人安装调试,包括配置安全策略,自己基本不改动。众所周知,安全策略必须根据实际情况不断调整,如果固定不变,系统的安全保障效果肯定会打折扣。

    最后,在安装调试完成后,如果设备出现问题,用户还需要联系不同厂商来解决,有时甚至需要协调相关的几家厂商同时到场分析解决,非常复杂。

    可见,从安全系统运行维护的角度看,在不牺牲功能、性能的前提下,用户希望安全设备越少越好。

    四、技术不断发展趋向深度协同安全

    防火墙、IDS、防病毒技术经过多年发展,现在已经逐渐成熟并稳定下来,开始相互渗透,相互补充。近两年,出现了一个明显的趋势:防火墙、IDS、防病毒甚至内容过滤厂商分别从自有产品出发,通过增加不同的安全功能模块发展UTM。实际上,这主要得益于硬件技术的发展。为了解决深度检查大量耗费CPU资源,除ASIC加速芯片外,一批新的硬件解决方案出现了,如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI,这些硬件能大幅度加速内容匹配,使UTM从概念变成了可用的产品。

    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-124266/,如需转载,请注明出处,否则将追究法律责任。

    转载于:http://blog.itpub.net/10294527/viewspace-124266/

    展开全文
  • 启明星辰统一威胁管理设备使用手册,手册分几个系列,总共4本
  • 单一的安全技术以及多种安全产品的简单堆砌都已无法满足复杂网络综合性防御的需要,而以整合式安全技术为代表的UTM安全网关能够很好地为企业信息安全构建有力的保护屏障。通过分析矿山企业的信息安全需求,研究与阐述...
  • LanGate UTM的网络安全审计系统是一套高性能、高稳定性的网络安全审计及信息安全审计的硬件设备。系统部署在网关位置,能实现网络访问记录、邮件访问记录、上网时间控制、不良站点访问禁止、不良应用程序封毒等功能...
  • UTM 是统一威胁管理(Unified Threat Management)的缩写,这是一种被广泛看好的信息安全解决方案。目前被提及较多的定义是由IDC 提出的:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项...
  • SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus@G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破UTM在...
  • 凭借状态防火墙、IPS、防病毒特性(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件以及 Web 过滤等一套完整的统一威胁管理(UTM)安全特性,SSG 500 系列可作为单独的安全网关实施,用于阻断蠕虫、间谍软件...
  • UTM安全网关专题讲解(1) UTM安全网关专题讲解(2) UTM安全网关专题讲解(3) UTM安全网关专题讲解(4) UTM安全网关专题讲解(5) UTM安全网关专题讲解(6) 攻防技术 1.网络攻击 攻防技术 2.ddos攻击防范.1.tcp 攻防...
  • 华为防火墙UTM技术

    2021-07-23 10:10:07
    UTM:统一威胁管理,融合了IPS入侵防御系统,AV网关防病毒,上网行为管理,防DDOS攻击等特性,为了更好的解决来自企业内部、外部的攻击威胁提供了强有力保障(UTM包含入侵防御和内容过滤) 入侵防御(IPS): 入侵...
  • UTM全解析

    2017-11-14 13:19:00
    UTM(United Threat Management)意为统一威胁管理,是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合...
  • 安全HCIP之UTM

    2020-10-06 21:08:10
    USG:Unified Security Gateway,统一安全网关(防火墙Firewall) UTM:Unified Threat Management,统一威胁管理 IPS:Intrusion Prevention System,入侵防御系统(直入,能检测,能处理) IDS:Intrusion ...
  • 中转网关(Transit Gateway)Connect功能介绍SD-WAN或软件定义的广域网长期以来一直用于通过公共Internet连接数据中心和分支机构。在现在的网络设计中,这些网络还...
  • SonicWALL的UTM技术网关安全与IPS方案(转)[@more@]  回顾2004年,病毒流行趋势是以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,同时其他利用网络协议以及应用漏洞进行攻击与...
  • UTM的中文名字叫统一通信管理,说白了就是把一些涉及到安全边界的安全产品融合到一起,都装到一个盒子里面。针对大公司核能需要一些大吞吐的平台来防护内网安全,但是针对一些小的公司, 他们可能没有这部分的预算,...
  • 梭子鱼Web安全网关11.0版本,可使用户更加快速地扫描SSL页面,增强高级威胁保护,并允许在Chromebooks上执行策略配置。 产品亮点: • 梭子鱼Web安全网关610及更高型号,现配置专用的SSL加速硬件,针对加密网站流量...
  • 什么是UTM? 统一威胁管理(UTM) ...在安全市场上最新出现了一类产品,我们称之为统一威胁管理(UTM)设备。这类产品集成了多种安 全技术于一身,包括防火墙,虚拟专用网(×××),***检测和防御(IDP),网关防...
  • 识别各种安全设备及当今体现形态-区别UTM与NGFW博文配套免费教学录像位置:http://edu.51cto.com/course/course_id-5321.html1.1 现代化网络中常见网络安全设备1.1.1防火墙、如何弥补防火墙与生俱来的缺点、关于...
  • 从宏观意义上来说,位于安全边界的防护设备就可以被视为是安全网关,这些设备可能只具有防火墙或内容过滤等单一的功能,也可能具备了UTM规范中所要求的多种安全功能和防护范围。也就是说,安全网关未必一定达到了UTM...
  • 在应用安全网关产品的投标中,往往可以看到UTM,上网行为管理,防病毒网关,Web安全网关这几类的产品。一个企业的公开招标,可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑,究竟什么样的产品才是...
  • UTM平台不仅集成了spamBlocker、网关防病毒/入侵保护系统(Gateway AV/IPS)、WebBlocker URL过滤、漏洞评估等功能,同时能够提供拖拉式VPN统一管理和对BT控制和流量控制等多种安全服务的支持。尤其重要的是,该软件...
  • 边界安全防护设备

    千次阅读 2021-09-27 10:28:08
    目录 ...1. 防病毒网关安全防护 2. 防病毒网关的作用 3. 防病毒网关设备的优势 四、UTM(统一威胁管理系统) 1. UTM基本概念 2. UTM的优势 3. UTM的局限性 4. UTM的应用场景 一、IPS(入侵防
  • 然而随时间的迁移,近年来诸如UTM、USG、Web安全网关、上网行为管理之类的新名词逐渐占据了用户的眼球。在快餐文化盛行的年代,这种层出不断的新名词或许并不让人意外,但毕竟安全还是讲求实事求是的。我们不禁要问...
  • 华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A课程目标:本课程卷A的核心目标是:对华为USG防火墙的入门规划、架构设计、和任何环境都可能用到的必配功能,及相关工作经验进行演示和描述。让初学者快速...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,485
精华内容 594
关键字:

utm安全网关