Sophos:因其反病毒软件产品闻名的Sophos公司在2011年收购了Astaro
GmbH公司。Astaro GmbH公司的Astaro Security Gateway,即现在的Sophos
UTM既有硬件,也有软件或虚拟设备,它还整合了DPI与其他安全功能。硬件设备型号既有支持10名用户的型号,也有支持多达5000名用户的型号。虚拟UTM可以使用Astaro提供的镜像在Amazon弹性云环境中运行。此外,Amazon虚拟私有云连接器能够连接Amazon云环境的专用私有网段和企业网络。

Wedge
Networks提出了另一种DPI机制:深度内容检测。Wedge的产品会收集一系列的数据包,然后执行解压缩和解码,将它们转换为应用程序级对象。这样,Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查,从中发现威胁。

下面让我们来仔细看看UTM系统的每个核心网络安全功能。正如上所述,对于不同的产品,UTM系统对每个安全功能的支持程度可能会存在差异。例如,有的产品可能只支持最基本的web内容过滤,例如检查网址是否包含恶意内容,而其他产品则会进行更严格的web内容过滤,例如使用信誉服务和高级分析来确定每个网站的性质:良性或恶性。

随着网络连接设备的数量呈指数增长,针对企业网络及网络中数据的威胁也日益增长。攻击者已经证明了他们发现和利用安全漏洞的能力,无论攻击目标是边界防御措施、收到钓鱼邮件的员工,还是毫无危险意识的远程办公者,他们进行办公的家用电脑缺乏有效控制。

目前,深度数据包检测(DPI)功能正被整合到入侵检测和网络管理设备中,于是很多供应商,包括从传统网络基础设施供应商到第三方供应商等都提供这种工具。一些供应商提供基于流的DPI,而其他供应商则提供基于代理的DPI技术。同时,一些供应商将DPI整合到多功能设备中,而其他供应商则将其作为独立设备。在本文中,我们将列出这些供应商及其产品。

对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

安全功能

Fortinet:Fortinet公司的FortiGate安全设备既包括适用于服务供应商以及大型企业的型号,也有适合中小企业的产品型号。这些产品可以作为防火墙和IPS系统部署在网络边缘或者网络内部,并且它们还能够提供二层和三层路由、流量控制、网页过滤、广域网优化、web缓存、防垃圾邮件、防病毒和SSL
VPN。FortiGate虚拟设备提供与FortiGate硬件设备相同的功能,并且支持各种版本的VMware、Citrix
XenServer、开源XenServer管理程序。

基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

图片 1

统一威胁管理(UTM)产品是专用安全系统,采用优化过的硬件和软件,可以同时执行多项安全功能,如防火墙、入侵检测与防御、防病毒、虚拟专用网络以及更多。UTM
产品的核心在于所有分层、整体防护都在单一设备内实现,需要较少的管理工作及通常较低的成本。

Check Point
Software:
网络防火墙领导者CheckPoint公司提供一系列的安全设备,从保护数据中心或大型企业网络的高端产品,到针对小型企业或者分支机构的产品等。另外,该公司还提供保护VMware系统中虚拟机间流量的虚拟设备,以及针对Amazon
Web服务的虚拟设备,以帮助保护在Amazon云环境中运行的应用。

将DPI整合到其他网络安全和管理设备上

• 防火墙

过去,组织机构一直使用拼凑而成的、通常来自不同厂商的安全设备集合,用以保护和防御自身网络的安全。获取、配置、管理和监控这类设备需花费相当多的精力且需具备专业知识,这使得负责网络安全的管理员与工程师承受过多压力。

DPI工具:基于流与基于代理


VPN:大多数UTM网络安全功能是专门针对攻击检测和阻止,而虚拟专用网络则是专门用于防止企业网络活动被窃听或未经授权使用的技术。VPN提供了一个受保护的通道,其他网络活动可以通过这个通道。VPN正越来越多地被用来保护企业的移动主机,例如笔记本、智能手机和平板电脑。这些设备通常使用不安全或薄弱的外部网络,而VPN可以为这些网络的使用提供保护。VPN也可以被配置为将移动主机的流量传输到UTM设备,而这允许所有UTM网络安全对移动流量进行检查,从而减少了这些设备造成的安全事故。

硬件整合:中小企业管理员可以购买、部署及管理一种设备,或在较大规模的环境中管理员则管理少量设备,而不是多种设备。

思科:融合了DPI的安全服务被整合到思科交换机、路由器以及网络安全设备中,例如ASA
5500系列自适应安全设备集成了防火墙以及IPS和VPN服务,并提供不同容量和配置的产品类型,另外,IPS
4300系列传感器提供与ASA
5500相同的IPS功能,但其部署不要求防火墙和VPN服务。

同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

• 针对Web和电子邮件的防病毒技术

简化管理和修补流程:混合型威胁和新兴威胁可能同时针对一个网络的不同部分,如果涉及多种安全设备会引发管理噩梦。
UTM
提供集中式管理,管理员能够从单一控制台管理面向本地和远程环境的大量威胁。因为只有一种或相对较少的设备需要修补、而不是多个不同设备,补丁管理工作也得以简化。

Author

发表评论

电子邮件地址不会被公开。 必填项已用*标注