第4章 入侵防御
入侵防御是UTM设备中最为基础、也是最重要的功能之一。在UTM设备刚刚出现时,大家就公认UTM是一款将防火墙、入侵防御、VPN和防病毒功能集成到一起的网关产品,在第1章概述中提到的市场调研中也可以看出,用户对于入侵防御功能有着很高的期望。同时在UTM中,入侵防御虽然只是作为一个功能模块对外展示,但实际上,很多其他的功能模块也调用了入侵防御的资源。
在UTM的主要功能模块中,防火墙与VPN完全遵循国际标准,不同的UTM设备只是在界面、易用性及细节功能上有所差异;防病毒功能更多地取决于病毒样本的积累和病毒库的完善程度。而不同UTM设备的入侵防御功能的原理、实现以及用户价值差异性较大,因此,入侵防御功能的好坏可作为UTM设备的衡量指标。
本章将对UTM设备中的入侵防御技术进行介绍,便于读者理解相关技术,更加深入地理解入侵防御在UTM设备中的作用。
4.1 入侵防御与UTM
4.1.1 入侵防御技术的由来
每一项技术都是在用户真实需求的情况下产生的,因此,在了解入侵防御技术之前,先让我们看一看用户的需求是什么,或者说,先分析一下用户面临的威胁。在学术上,将用户面临的威胁分为以下三类。
· 对网络自身与应用系统进行破坏的威胁:这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象,通过技术手段导致网络设备、主机、服务器的运行受到影响(包括资源耗用、运行中断、业务系统异常等)。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,对网络自身的资源进行了占用,导致正常业务无法正常使用;
· 利用网络进行非法活动的威胁:此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击,以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马,不法分子通过这个工具可获得用户的个人账户信息,进而获得经济收益。
· 网络资源滥用的威胁:此类威胁的特点是正常使用网络业务时,对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为,但大量的P2P下载会对网络资源造成浪费,有可能影响正常业务的使用。
传统防火墙功能只能帮助用户部分解决第三类威胁,由于防火墙本身不具备对应用层协议的检查过滤功能,因此无法应对基于应用层的第一类和第二类威胁,如黑客入侵、木马、应用层DoS攻击等。
因此,用户需要新防御技术来弥补传统防火墙技术的不足,它可以在应用层的内容检测基础上加上主动响应和过滤功能,弥补传统的主流网络安全技术不能完成更多内容检查的不足,进而填补网关安全产品内容安全检查的空白。入侵防御技术由此而生。
4.1.2 入侵防御技术在UTM上的实现
相对于UTM的整体概念与技术,入侵防御技术出现得更早些,由于UTM是广泛应用入侵防御技术的主要产品之一,可以认为UTM概念与技术是推动入侵防御技术发展的主要动力之一。在UTM上实现入侵防御功能,需要解决以下三个难点问题。
· 全面:UTM中入侵防御的真正目的,不仅仅是对黑客入侵的防御,还包括对溢出攻击、恶意脚本等恶意攻击的检测及防御。只有实现了“全面”的入侵防御技术,才能给网关安全带来足够的保障。
· 精确:作为部署在网关位置的UTM设备,在实现入侵防御功能时必须确保不出现误判,如果入侵防御出现了误判,那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。无论是对最新的网络滥用还是对传统的溢出攻击,UTM的深层检测都必须确保精确识别。
· 管理:传统的入侵防御管理起来复杂烦琐,需要用户具备较高的技术能力,能够有针对性地分析检测结果,并根据分析结果和行业特点对设备进行优化配置,才能取得比较好的效果。简化配置操作、方便用户管理,是UTM用户对入侵防御功能的迫切需求。
针对入侵防御功能在UTM中实现的难点,业界从不同角度提出了多种解决方案或思路,主要有以下三种解决方案或思路。
· 有机组合各类检测方式,确保检测的全面和准确:常用的入侵防御工作原理有两种,一是通过定义报文特征来实现对已知攻击及网络滥用的检测,其优势是技术上实现简单、迅速;但仅能识别已知攻击和应用。另一种是通过分析攻击产生原理,定义攻击类型的统一特征,能准确识别基于相同原理的各种攻击、不受攻击变种的影响,但技术门槛高、扩充复杂、应对新攻击速度有限。如果能够将两种检测方式进行有机组合,将能有效提升检测精度和覆盖面。
· 借助云安全:目前,云安全已成为安全行业的热门话题,简单地说,云安全就是将所有互联网用户检测出的威胁进行存储和分析,并将其用到其他用户。例如说,如果用户A已经检测出某个特定会话为大规模蠕虫攻击,则云安全可以向所有UTM设备通报会话特征,并立刻更新其入侵防御功能。借助云安全,UTM可以更加迅速和准确地实现入侵防御功能。
· 从开发流程入手实现易管理特性:即从产品开发时,先完成界面的开发,同时与用户保持沟通,确保产品界面的易用性,在完成界面开发之后再逐步实现各功能模块。
4.1.3 UTM中入侵防御功能的价值
采用具备入侵防御能力的UTM设备可以带来如下好处:
1.极大提升UTM的安全能力。对于黑客入侵、恶意代码等对网络安全影响大的威胁,入侵防御起到很好的防御作用,使UTM的安全能力得到极大提升,使网络边界变得安全、可信;
2.简化安全建设的实施。在UTM中实现UTM功能,使得用户不需要再单独购买IPS产品,使得安全建设实施得到了简化;
3.简化设备管理维护。作为UTM的一个主要功能,入侵防御在管理维护的易用性上有很大的提升,不再需要管理员有非常专业的技术积累,便可以轻松做到对主要入侵行为的防御;同时UTM的管理系统对各种安全功能提供了一体化的安全策略设置,入侵防御的策略也包含其中,这同样大大减少了维护工作量;
4.提高整体性能。真正的UTM设备会采用一体化的设计思想,将防病毒、入侵防御、内容过滤等复杂计算模块融为一体,在同一特征库的基础上统一进行特征匹配,这相当于在针对特定的数据进行防病毒、入侵防御、内容过滤等安全检查时,仅需要进行一次安全分析即可,而那些采用设备分离的技术方案(防火墙、入侵防御、防病毒、内容过滤采用独立的设备,串在一起部署)则无法具备这样的好处,当然进行一次安全分析的效率远高于进行多次安全分析;
5.节省投资。虽然UTM的价格高于防火墙、防病毒网关等其他安全网关的价格,但一台UTM的价格远低于独立的防火墙、防病毒网关、VPN网关、防垃圾邮件网关、内容过滤网关和网络入侵防御这些设备的价格之和。