圖1 Gartner發(fā)布的漏洞與補丁時間表
傳統(tǒng)的安全方法正在失效
如今最流行的安全產(chǎn)品是狀態(tài)檢測防火墻�、入侵檢測系統(tǒng)和基于主機的防病毒軟件��。但是它們面對新一代的安全威脅卻作用越來越小�。狀態(tài)檢測防火墻是通過跟蹤會話的發(fā)起和狀態(tài)來工作的����。狀態(tài)檢測防火墻通過檢查數(shù)據(jù)包頭����,分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4)�,基于一套用戶自定義的防火墻策略來允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量�。傳統(tǒng)防火墻的問題在于黑客已經(jīng)研究出大量的方法來繞過防火墻策略。這些方法包括:
(1)利用端口掃描器的探測可以發(fā)現(xiàn)防火墻開放的端口�����。
(2)攻擊和探測程序可以通過防火墻開放的端口穿越防火墻���。
(3)PC上感染的木馬程序可以從防火墻的可信任網(wǎng)絡(luò)發(fā)起攻擊����。由于會話的發(fā)起方來自于內(nèi)部��,所有來自于不可信任網(wǎng)絡(luò)的相關(guān)流量都會被防火墻放過���。當前流行的從可信任網(wǎng)絡(luò)發(fā)起攻擊應(yīng)用程序包括后門�����、木馬����、鍵盤記錄工具等,它們產(chǎn)生非授權(quán)訪問或?qū)⑺矫苄畔l(fā)送給攻擊者�����。
較老式的防火墻對每一個數(shù)據(jù)包進行檢查���,但不具備檢查包負載的能力���。病毒、蠕蟲�����、木馬和其它惡意應(yīng)用程序能未經(jīng)檢查而通過�����。
當攻擊者將攻擊負載拆分到多個分段的數(shù)據(jù)包里�,并將它們打亂順序發(fā)出時,較新的深度包檢測防火墻往往也會被愚弄���。
對深度檢測的需求
現(xiàn)今為了成功的保護企業(yè)網(wǎng)絡(luò)����,安全防御必須部署在網(wǎng)絡(luò)的各個層面�����,并采用更新的檢測和防護機制�。用于增強現(xiàn)有安全防御的一些新型安全策略包括:
設(shè)計較小的安全區(qū)域來保護關(guān)鍵系統(tǒng)。
增加基于網(wǎng)絡(luò)的安全平臺���,以提供在線(“in-line”)檢測和防御�。
采用統(tǒng)一威脅管理(Unified Threat Management����,簡稱UTM),提供更好的管理���、攻擊關(guān)聯(lián)����,降低維護成本�����。
研究有效的安全策略,并培訓用戶����。
增加基于網(wǎng)絡(luò)的安全
基于網(wǎng)絡(luò)的安全設(shè)備能夠部署在現(xiàn)有的安全體系中來提高檢測率,并在有害流量進入公司網(wǎng)絡(luò)之前進行攔截�����?�;诰W(wǎng)絡(luò)的安全設(shè)備在線(“in-line”)部署���,阻擋攻擊的能力要比傳統(tǒng)的依靠鏡像流量的“旁路式”安全設(shè)備強得多��?����;诰W(wǎng)絡(luò)的安全設(shè)備的例子包括入侵防御系統(tǒng)(IPS)��、防病毒網(wǎng)關(guān)�、反垃圾郵件網(wǎng)關(guān)和統(tǒng)一威脅管理(UTM)設(shè)備�����。UTM設(shè)備是將多種安全特性相結(jié)合的統(tǒng)一安全平臺。除了實時阻擋攻擊之外����,基于網(wǎng)絡(luò)的安全還包括以下優(yōu)點:
減少維護成本��。攻擊特征�����、病毒庫和探測引擎可以對單臺設(shè)備而不是上百臺主機更新�。
升級對于用戶、系統(tǒng)或者應(yīng)用來說是透明的�,無需停機,更新可以實時進行??不像操作系統(tǒng)和應(yīng)用程序打補丁那樣需要重啟系統(tǒng)��。
保護在基于網(wǎng)絡(luò)的安全設(shè)備后面的所有主機�����,因此減少了基于主機的病毒特征庫��、操作系統(tǒng)補丁和應(yīng)用程序補丁升級的急迫性�����,使IT專業(yè)人員在發(fā)生問題之前有較充分的時間來測試補丁。
保持以前使用的設(shè)備�����、操作系統(tǒng)和應(yīng)用�����,無需將它們都升級到最新的版本����。
在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點上阻擋攻擊�����,在惡意流量進入公司網(wǎng)絡(luò)之前將其攔截。
不像基于主機的安全應(yīng)用那樣可能被最終用戶或惡意程序關(guān)閉�����。
可與已有的安全技術(shù)共存并互補。
高級安全檢測技術(shù)
作為UTM安全設(shè)備的領(lǐng)導廠商���, Fortinet(飛塔)公司的FortiGate安全平臺通過動態(tài)威脅防御技術(shù)�����、高級啟發(fā)式異常掃描引擎提供了較好的檢測能力����, 包括:
集成關(guān)鍵安全組件的狀態(tài)檢測防火墻���。
可實時更新病毒和攻擊特征的網(wǎng)關(guān)防病毒���。
IDS和IPS預置一千多個攻擊特征,并提供用戶定制特征的機制��。
VPN(支持PPTP、L2TP�、 IPSec,和SSL VPN)���。
反垃圾郵件具備多種用戶自定義的阻擋機制��,包括黑白名單和實時黑名單(RBL)。
Web內(nèi)容過濾具有用戶可定義的過濾和全自動過濾服務(wù)���。
帶寬管理防止帶寬濫用�。
用戶認證�����,防止非授權(quán)的網(wǎng)絡(luò)訪問�����。
動態(tài)威脅防御提供先進的威脅關(guān)聯(lián)技術(shù)���。
ASIC加速提供比基于PC工控機的安全方案高出4-6倍的性能。
加固的操作系統(tǒng)���,不含第三方組件���,保證了物理上的安全。
完整的系列支持服務(wù)����,包括日志和報告生成器����、客戶端安全組件�。
動態(tài)威脅防御系統(tǒng)
Fortinet的動態(tài)威脅防御系統(tǒng)(DTPS)是超越傳統(tǒng)防火墻、針對已知和未知威脅���、提升檢測能力的技術(shù)�����。它將防病毒�����、IDS�、IPS和防火墻模塊中的有關(guān)攻擊的信息進行關(guān)聯(lián)����,并將各種安全模塊無縫地集成在一起���。DTPS技術(shù)使每一個安全功能之間可以互相通信�,并關(guān)聯(lián)“威脅索引”信息,以識別可疑的惡意流量�,這些流量可能還未被提取攻擊特征�。通過跟蹤每一安全組件的檢測活動,DTPS能降低誤報率�,以提高整個系統(tǒng)的檢測精確度�����。相比之下�����,由多個不同廠商的安全部件(防病毒、IDS��、IPS��、防火墻)組合起來的安全方案則缺乏協(xié)調(diào)檢測工作的能力����。
圖2 動態(tài)威脅防御系統(tǒng)的體系結(jié)構(gòu)圖
為了使性能達到最佳�,所有會話流量首先被每一個安全和檢測引擎使用已知特征進行分析����。特征模式結(jié)合由硬件加速的精簡模式識別語言是當前識別已知攻擊最快的方法。如果發(fā)現(xiàn)了特征的匹配�����,DTPS按照在行為策略中定義的規(guī)則來處理有害流量??丟棄、重置客戶端、重置服務(wù)器��、中止會話等。安全防護響應(yīng)網(wǎng)絡(luò)可提供病毒庫��、IDS/IPS特征以及安全引擎最新版本, 以保持實時更新��。這就保證了基于最新特征的威脅會被識別出來,并被快速阻擋�����。
如果不能找到特征的匹配,系統(tǒng)就會啟動啟發(fā)式掃描和異常檢測引擎�,會話流量會得到進一步的仔細檢查����,以發(fā)現(xiàn)異常。通過使用最新的啟發(fā)式掃描技術(shù)��、異常檢測技術(shù)和動態(tài)威脅防御系統(tǒng),安全平臺大大提高了對已知和未知威脅的防御能力�。
