UTM 一把尚未开封的“瑞士军刀”.docxVIP

PAGE 1 PAGE 1 UTM 一把尚未开封的“瑞士军刀”  东软徐松泉认为，UTM往往被称为网络安全的“瑞士军刀”，然而事实的状况是用户在实际使用时，发觉这把军刀特别钝，甚至到了无法使用的程度。  UTM是由硬件、软件和网络技术组成的具有特地用途的设备，由于媒体及UTM厂商的大力宣传，用户往往对UTM期望很高，以为UTM是万能的。通常来说，UTM需要具备防火墙、VPN、防病毒、入侵检测与阻断、流量分析、内容过滤、P2P协议过滤、3A认证等众多功能。  东软徐松泉认为，UTM往往被称为网络安全的“瑞士军刀”，然而事实的状况是用户在实际使用时，发觉这把军刀特别钝，甚至到了无法使用的程度：比如在启用防病毒功能后，绝大多数UTM产品性能都会下降到一个用户不能接受的程度－启用防毒功能前的非常之一甚至更低，这在当今千兆网络日益普及，大步向万兆迈进的时候，UTM低得可怜的性能明显难当网络安全防护的重任。  UTM的问题在哪里？  UTM的问题在于，UTM所需的硬件平台远没有到成熟的水平。UTM的关注点是在应用层安全，然而，真正实现应用层安全，无论是相应的硬件技术，还是应用层深度检测的软件架构，以及两者的紧密结合，技术上还有很长的路要走。  UTM无疑是定位在网关安全防护，我们来看一下网关安全产品的发展过程：最早的交换机的访问掌握是在二层，路由器的访问掌握是在三层，由于路由器的CPU处理能力很低，因此路由器上做状态检查和三层的访问掌握会严重影响路由器的性能，因此渐渐出现了防火墙产品，两者在硬件体系结构上最大的差别就是CPU的处理能力，即使是基于ASIC技术的防火墙，其使用的CPU的处理性能也远高于路由器的CPU，这是因为，相对于路由处理，防火墙的计算是一个计算密集型的任务，因此，必需有相应的具有强大计算能力的硬件支持。  我们回过头看一下UTM，以病毒过滤为例，通常处理的都是七层数据（SMTP、HTTP等等）。要精确地检测应用层的攻击，单包检测的精确率是很低的，必需进行协议级数据的还原以保证检测的精确性，降低漏报率。网络中常用的应用协议在数十种，与状态检测相比，不同应用层协议重组的计算量提升了一个数量级以上，即使是目前计算能力最强的CPU在进行数百兆流量的协议还原时也会造成性能瓶颈，并大大增加网络延迟。  因此，目前的硬件体系结构还不足以支持深度的应用检测和过滤。多核CPU，包括RMI、CAVIUM等公司的多核平台是一个突破的方向，但目前产品还处于市场导入期，价格昂贵，大规模普及并成为主流尚待时日。多核平台是UTM性能满意部署要求的前提条件，假如多核技术走向成熟，比如INTEL的80核的CPU产品实现量产，完全可以突破目前硬件平台的处理瓶颈。  硬件的问题解决后，软件上最大的挑战在于计算任务的并行化以及攻击防备开发的模式上。一个UTM产品必需能够在协议、漏洞、攻击以及业务等多个层次上进行检测，才能供应全方位的防护，否则，针对一个漏洞的攻击理论上可以开发出很多种攻击工具，只针对攻击特征进行检测难免挂一漏万。同样道理，协议层次上的安全防护及安全性增加也是UTM必需的功能。  五个层次确保安全  很早之前，东软就开始进行深度防备的基础研究工作，在多引擎/多核并行计算以及深度检测语言平台（NEL）都取得了重大的突破，下一步的工作将是NEL平台与领先的多核计算平台进行紧密的集成。通过与INTEL等硬件厂商的合作，估计在2008年左右就可以解决目前UTM所存在的性能瓶颈，以及漏报率和误报率居高不下的问题。  东软的NEL是一个开发的平台，在这个平台之上可以进行比较复杂的计算。NEL在五个层面上考虑了攻击防备的问题：第一个层面是协议异常检测。为什么放在最前面呢？因为对于特定的协定，比如说HTTP、SMTP、FTP等等都可以找到规律，哪些协议交互数据是正常的，哪些交互或数据包是RFC规范所不允许的。通过这样的方式，在协议上的层次上就可以拦截许多的攻击和非法访问。  第二个层次是基于漏洞特征的攻击检测规则。漏洞规则核心的想法是基于漏洞特征而不依靠于攻击者使用漏洞的方式来做检测。这个检测最大的好处是可以特别高效地防备众多的攻击变种，而且可以在攻击者实施攻击之前就可以把这些东西检测出来。  第三个层次是基于攻击签名的规则。签名的规则实际上有一个最大的好处就是能够比较清楚地了解攻击详细实施的方式，了解攻击者利用的究竟是一些自己的编码或工具，还是利用了一些固定的攻击工具来实施攻击。  UTM在详细部署和实施当中，用户会依据自己特有的需要，制定一些个性化、定制化的应用级安全防备规则。这就需要用自定义的方式来做的，也就是第四个层次上的