扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
早在2004年,当IDC第一次提出UTM概念的时候,从中就折射出两个内容:过滤与控制。只不过受限于当时的技术条件,过滤被防病毒所代表,而控制则是入侵防御的工作。但随着技术的发展,特别是各种新威胁的出现,这些概念都在发生变化。
在2007年,伴随着各种过滤技术的不断发展,新的控制技术也进入了应用化的阶段。目前的控制已不局限于入侵控制,而是更多地集中在企业内网控制,即常说的上网行为管理上。对此王景辉介绍说,此前用户关注内容过滤,但其最实用的部分还是关键字过滤,并在此基础上实现的内网控制。换句话说,企业希望某些信息不会外泄,不希望员工访问某些站点,都是要倚靠关键字检索进行处理。狭义上讲,上网行为管理的处理速度取决于关键字模式的查找速度。行为管理的关键就在于发现异常模式而切断连接,至于连接的切断模式也有各种方式,最好是能让用户知道是为什么被切断的。
目前,主要的上网行为管理模块都是基于P2P和IM应用的管理,包括对于流氓软件的防护,从而提高了企业内网用户的访问安全性能。
上网行为管理任属于应用层安全的一部分。如前所述,这对于UTM的系统性能影响是比较大的。因此将这部分功能模块独立出来,并添加额外功能形成专门的访问控制管理设备是一个趋势。
AC设备独立的初衷,还是希望利用更加智能的过滤技术,去弥补单纯的内容过滤无法涉及的部分。比如对于色情站点的禁止访问,利用URL无法对快速变化的色情网站进行实时控制,而HTTP过滤也无法对其进行100%控制(处非该站点伴随有其他类型的病毒、木马、间谍软件)。
而AC设备中的行为分析技术则是利用单独的行为管理模块,进行内容的审计和阻断。这方面的技术有两个分支:一个是采用类似防水墙的应用代理,通过Active X控间在客户端的安装实现对于系统进程的分析;另一个则不需要安装控间,完全通过关键字的内容检索,比如法轮攻信息,进行应用阻断。无论采用哪种方式,都可以对QQ、MSN等IM类软件,以及网站BBS的访问进行控制。
目前上网行为控制的难点在于,如何对特色应用进行阻挡。特别是一些国内流行的特色应用,比如QQ。这些应用往往采用私有协议,服务器非常多,而且版本变化相当快。当前主流的技术都是依靠UDP来伪造一些蜜罐服务器,并诱导QQ来连接,以次分析样本进行阻断。
另一个区别于集成模块的特点,就是独立的AC设备往往具备AAA身份认证能力与流量管理功能。对此陈胜权表示说,身分认证属于对资源的控制,包括对外对内两部分。通常可以通过Web方式提供用户名、密码的双因数认证,辅助对IP、MAC、交换机端口的多元素绑定,同时支持RADIUS设备。
这样做的好处是,如果某个企业员工访问了禁止的内容,网络管理员就可以定位到个人。而流量管理则可以分析网络中各种应用的占用情况,并实时进行监控,从而确保企业的核心业务不受影响。这两个是独立的AC设备最诱人的部分,普通的UTM无法实现。因为这里面体现了安全的不同唯度。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。