層層挖掘 全息解讀UTM技術背后工作原理

　其實，UTM的出現始于一些中小企業用戶缺乏安全技術人員，希望以在網關處的一個硬件設備一攬子解決所有的安全問題。隨著網絡威脅的急劇增大，使得UTM技術也有了更進一步的發展，除了傳統的企業內部部門、網絡節點、遠程辦公處，一些高端UTM設備也逐漸向大型企業的中高端應用進發。

　　網絡威脅特點

　　隨著網絡中的應用越來越復雜，安全問題以出人意料的速度增長，并且在攻擊方式、攻擊目標上亦呈多樣化發展趨勢。對近兩年來黑客和病毒對網絡所造成的威脅進行總結，可以看出三個顯著特點：

　　第一：攻擊手段多樣化，以網絡病毒為例，從震蕩波、沖擊波，還有QQ病毒，可以看出現在的網絡攻擊手段中，既包括病毒攻擊，也包括隱含通道、拒絕服務攻擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。

　　第二：每一次攻擊經常是多種手段并用，混合攻擊正在成為攻擊的主流。混合攻擊是指在同一次攻擊中，既包括病毒攻擊、黑客攻擊，也包括隱通道、拒絕服務攻擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊方式，如伊拉克戰爭期間流行的“愛情后門變種”病毒，集蠕蟲、后門、黑客三者功能于一身，給互聯網造成了巨大的破壞。

　　第三：攻擊手段更新速度前所未有的快，業界知名的SANS協會在其2006二十大安全隱患列表中將“零日攻擊”的爆增列為目前最嚴重的安全威脅。所謂“零時攻擊”是指如果一個漏洞被發現后，當天或更準確的定義是在24小時內，立即被惡意利用，出現對該漏洞的攻擊方法或攻擊行為，而同時并未有對應的防御工具被開發出來，那么該漏洞被稱為“零日漏洞”，該攻擊被稱為“零日攻擊”。

　　基于以上三方面對攻擊多樣化和融合特點的總結，可以理解為什么原先各自為戰的安全產品總是處于疲于應付的狀態，無法很好的實現對企業網絡安全的保護。企業中可能會有防病毒、防火墻、入侵檢測等一系列安全產品，這些產品產生大量不同形式的安全信息，使得整個系統的相互協作和統一管理成為安全管理的難點。由此帶來的是，企業的安全管理體制也變得非常復雜，其系統配置、規則設置、反應處理、設備管理、運行管理的復雜性所帶來的管理成本和管理難度直接制約了安全防御體系的有效性，因而導致了網絡安全的重大隱患。

　　可以說復雜的網絡安全解決方案成為人們關注的一個新焦點問題，如何使復雜變成簡單，成為網絡管理人員的一個困惑。UTM就是在這種背景下應運而生的，它的定義是將多種安全能力(尤其是傳統上講的防火墻能力、防病毒能力、攻擊保護能力)融合在一個產品之中，實現防御一體化，這樣就為簡化安全解決方案、規避設備兼容性問題、簡化安全管理提供了先決條件。因此，全面的立體防御是UTM存在的理由，更是UTM發展的方向，那么UTM所保護的網絡將面臨哪些威脅，或者說UTM應該提供哪些安全能力呢？

　　網絡邊界所面臨的威脅

　　我們需要分析一下網絡邊界所面臨的威脅，根據互聯網協議的五層結構，我們可以歸納各類威。

　　數據鏈路層

　　拒絕服務：網絡設備或者終端均需具有相鄰設備的硬件地址信息表格。一個典型的網絡侵入者會向該交換機提供大量的無效 MAC 源地址，直到硬件地址表格被添滿。當這種情況發生的時候，設備將不能夠獲得正確的硬件地址，而無法進行正常的網絡通訊。

　　地址欺騙：在進行 MAC 欺騙攻擊的過程中，已知某主機的 MAC 地址會被用來使目標交換機向攻擊者轉發以該主機為目的地址的數據幀。通過發送帶有該主機以太網源地址的單個數據幀的辦法，網絡攻擊者改寫了目標設備硬件地址表格中的條目，使得交換機將以該主機為目的地址的數據包轉發給該網絡攻擊者。通過這種方式，黑客們可以偽造 MAC 或 IP 地址，以便實施如下的兩種攻擊：服務拒絕和中間人攻擊。

　　網絡層

　　拒絕服務：網絡層的拒絕服務攻擊以網絡資源消耗為目的，它通過制造海量網絡數據報文或者利用網絡漏洞使系統自身循環產生大量報文將用戶網絡帶寬完全消耗，使合法用戶得不到應有的資源。典型的如Ping flood 和Smurf攻擊，一旦攻擊成功實施，網絡出口帶寬甚至是整個局域網中將充斥這些非法報文，網絡中的設備將無法進行正常通訊。

　　地址欺騙：同鏈路層的地址欺騙目的是一樣的，IP地址欺騙同樣是為了獲得目標設備的信任，它利用偽造的IP發送地址產生虛假的數據分組，喬裝成來自內部主機，使網絡設備或者安全設備誤以為是可信報文而允許其通過。

　　非授權訪問：是指沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，對于一個脆弱的信息系統，這種威脅是最常見的。

　　傳輸層：

　　拒絕服務：傳輸層的拒絕服務攻擊以服務器資源耗盡為目的，它通過制造海量的TCP/UDP連接，耗盡服務器的系統連接資源或者內存資源。這種情況下，合法用戶發出連接請求卻因服務器資源耗盡而得不到應答。典型的如TCP Flood和UDP Flood攻擊，目前在互聯網上這類攻擊工具隨處可見，因其技術門檻低而被大量使用，是互聯網的幾大公害之一。某些情況下，攻擊者甚至將攻擊提升到應用層，既不只是發出連接，而且發出應用數據，這樣的攻擊因不易與合法請求區分而更加難以控制。

　　端口掃描：端口掃描攻擊是一種探測技術，攻擊者可將它用于尋找他們能夠成功攻擊的服務。連接在網絡中的所有計算機都會運行許多使用 TCP 或 UDP 端口的服務，而所提供的已定義端口達6000個以上。通常，端口掃描不會造成直接的損失。然而，端口掃描可讓攻擊者找到可用于發動各種攻擊的端口。為了使攻擊行為不被發現，攻擊者通常使用緩慢掃描、跳躍掃描等技術來躲避檢測。

　　應用層：

　　信息竊聽與篡改：互聯網協議是極其脆弱的，標準的IP協議并未提供信息隱秘性保證服務，因此眾多應用協議也以明文進行傳輸，如Telnet、FTP、HTTP等最常用的協議，甚至連用戶口令都是明文傳輸。這為攻擊者打開了攻擊之門，他們可以在網絡的必經之路搭線竊聽所關心的數據，盜取企業的關鍵業務信息；嚴重的甚至直接對網絡數據進行修改并重放，達到更大的破壞目的。

　　非法信息傳播：由于無法阻止非法分子進入網絡世界，互聯網上充斥著反動、色情、暴力、封建迷信等信息。非法分子通過電子郵件、WEB甚至是IM協議不斷的發送各種非法信息到世界各地的網絡終端上去。這些行為極大的破壞了社會的安定與和諧，對整個社會來講，危害極大。

　　資源濫用：IDC的統計曾顯示，有30%~40%的Internet訪問是與工作無關的，而且這些訪問消耗了相當大的帶寬，一個不受控的網絡中90%帶寬被P2P下載所占用。這對于網絡建設者來講完全是災難，它意味著投資利用率低于10%。

　　漏洞利用：網絡協議、操作系統以及應用軟件自身存在大量的漏洞，通過這些漏洞，黑客能夠獲取系統最高權限，讀取或者更改數據，典型的如SQL注入、緩沖區溢出、暴力猜解口令等。在眾多威脅中，利用系統漏洞進行攻擊所造成的危害是最全面的，一旦攻擊行為成功，黑客就可以為所欲為。

　　病毒：病毒是最傳統的信息系統破壞者，隨著互聯網的普及和廣泛應用，計算機病毒的傳播形式有了根本的改變，網絡已經成為病毒的主要傳播途徑，用戶感染計算機病毒的幾率大大增加。同時病毒正在加速與黑客工具、木馬軟件的融合，可以說病毒的破壞力達到了前所未有的程度。

　　木馬：特洛伊木馬是一種惡意程序，它們悄悄地在宿主機器上運行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠程訪問和控制系統的權限。攻擊者經常把特洛伊木馬隱藏在一些游戲或小軟件之中，誘使粗心的用戶在自己的機器上運行。最常見的情況是，上當的用戶要么從不正規的網站下載和運行了帶惡意代碼的軟件，要么不小心點擊了帶惡意代碼的郵件附件。

　　UTM基礎應用不可忽視

　　作為安全的多面手，UTM設備必須有一個整合功能的基礎平臺，目前在技術上，主要分為兩大分支。

　　一類是以高性能防火墻為基礎的UTM設備。這是目前多數UTM廠家的做法。對這種設備來說，一般都集成了全功能的防火墻，并在此基礎上加入VPN、IDS、防病毒等功能。有業內人士甚至表示，這種設備主要是為了取代防火墻。

　　另一類是以高端IPS為基礎，不斷演化出UTM設備。這種做法比較新，包括防火墻、VPN、帶寬管理、網頁內容過濾等安全模塊都會被安放到IPS的平臺之上。這種做法對于IPS的性能、誤報率、可靠性的要求都相當高，但是帶來的好處也是顯而易見，由于IPS的優勢，可以對日益增多的系統滲透與復合攻擊進行阻斷與控制。

　　不過要強調的是，對于以IPS為基礎的UTM產品，所集成的防火墻必須是全功能產品。特別是像NAT、動態端口等功能都要支持。因為如果僅僅集成了精簡版的防火墻，對于有意延伸到高端應用的UTM顯然不合適。另外，這類產品的吞吐量與誤報率也不能忽視，畢竟這將對用戶的網絡運行帶來影響。

　　總之，無論采用哪種方式，UTM在一定時期內，都會重點強調某一方面的功能強大，而這也正是UTM的“特色”不管是防火墻，還是IPS，甚至是防病毒，附加的功能都是一個強有力的補充，是業余選手或半職業選手。但即使這樣，對于普通用戶也是足夠了。