您的位置: 网界网 > 周报全文 > 正文

[周报全文]独立PK统一 安全模块变形记

2007年08月16日 15:31:29 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:近两年来,业内炙手可热的UTM概念越发像一个“安全黑洞”:不断“吞噬”掉一切对用户有用的安全功能。

标签
安全模块
 

【CNW.com.cn 专稿】近两年来,业内炙手可热的UTM概念越发像一个“安全黑洞”:不断“吞噬”掉一切对用户有用的安全功能。随着安全威胁的不断升级,各种混合攻击层出不穷——钓鱼、木马、间谍软件、恶意软件、垃圾邮件、病毒,他们都对UTM的性能与能力提出了强有力的挑战。

在此情况下,一个新的趋势正在形成:经过几年的整合,当前有越来越多的安全模块选择从UTM中分离出来,其中以反垃圾邮件、内容过滤、Web过滤和上网行为管理为代表,它们经过二次开发或者改头换面一番再次进入了市场。对用户来说,如何选择适合的安全技术,选择UTM还是独立的安全产品,都是面临的难题。

邮件变形

强大性能与严格控制的代表

邮件安全领域从诞生之初,就处在不停的“动荡”之中。从最早的反垃圾邮件设备、网络防毒墙彼此独立,到慢慢融合成为邮件安全网关,再到进一步整合进入统一威胁管理设备(UTM),经历了至少五年的过程。但眼下这个整合过程,也似乎进入了“震荡调整”期。

震荡的直接原因是性能。SurfControl的安全产品经理张勇在接受采访时表示,UTM设备一般处理能力都是按CPU和内存进行衡量。但是目前的垃圾邮件会大量牵扯到对邮件内容的扫描和判断,特别是对图片、PDF和最新的Excel垃圾邮件的扫描。这就造成了大部分配置不够高、UTM处理能力跟不上扫描的性能开销。换句话说,普通的UTM处理垃圾邮件的并发数量会比较少。

事实上,UTM的设计思路始终把安全放在第一位,只有在安全特性之上,才能谈性能。对此神州数码网络的安全产品经理王景辉解释说,当前不少UTM厂商都提供可选的反垃圾邮件模块,主要目的还是为了满足邮件量不是很大的中小企业的需求。与独立的邮件安全网关相比,UTM中集成的反垃圾模块均性能一般,但对中小企业而言,采用集中管理与配置方式带来的低成本与易维护特性,是其最吸引人的地方。不过,UTM中反垃圾的处理能力确实难以满足大企业的需要。

另一个促使分立主义倾向的因素,就是反垃圾邮件技术的复杂性。在2004IDC抛出UTM概念时,曾对反垃圾邮件进行过注解,强调其必要性,但也指出了它在技术上过于复杂,因此不能简单地进行集成。

目前在反垃圾技术上,分为两个功能部分:阻止垃圾邮件和查杀邮件病毒。阻止垃圾邮件的技术有很多,如:关键字、IP/白名单、贝叶斯算法、垃圾邮件信誉评分、指纹识别、实时黑名单列表、意图检测、DNS反向查找、防止字典攻击、垃圾邮件防火墙、邮件域名过滤。不同的反垃圾邮件产品采用的技术有所不同,而网络上的开放源代码软件也有不少。

IronPort华东区区域经理刘源介绍,当前垃圾邮件发展变化比较快,垃圾邮件的发送者越来越专业。动态域名、动态IP地址、各种发送过程,都已经智能化了,邮件接收方很难用传统的技术来防御。比如UTM中集成的黑白名单的方式,它们所起的拦截功效不大。

其实,很多专业邮件安全厂商的优势在于完整的安全数据库。像IronPort的信誉IP数据库,通过对全球30%的邮件流量监测,分析邮件的来源、IP、内容,并在进行评分的同时标记发送方的信誉记录。这样,用户日后收到的邮件都会在数据库中进行对比,那些信誉不高的发送方就会被阻挡。

此外,一些厂商也具有本地化支持的安全数字指纹库。他们将垃圾邮件中的图片、PDFExcel等信息进行分析,采用一种模糊算法(包括利用OCR识别技术),排除其中的干扰信息,从而提出共性的样本。当用户收到其他的垃圾邮件时,邮件安全网关都会进行内容扫描,只要发现类似的数字指纹,就可以阻止邮件的传播。据悉,这种技术对于依靠肉鸡、傀儡网络发送的赢利性垃圾邮件有比较好的效果。

另外,对于邮件病毒的拦截,也是消耗性能的大户。王景辉表示,接收一封邮件的时候,一般厂商都会采用代理技术。但因为代理技术需要完全接管链接的整个过程,然后才能再抛给客户端,会使性能非常慢,而采用了基于安全的流检测技术则可以获得性能的提高。

流检测技术一开始就把数据包陆续转发到客户端上,但传到最后几个数据包时则暂时不发给客户端,而是先利用拷贝技术将数据包拷贝过来,组合起来查毒。如果发现是病毒邮件则拒绝推给用户,若不是病毒则再将最后几个数据包发到客户端上。因为所有的病毒只有完全收下来之后才是病毒,所以即便邮件携带病毒,只要没有最后几个数据包也就不会造成危险,而安全邮件的处理速度将会大大提高。

启明星辰安全网关产品部经理陈胜权在接受采访时表示,为了确保UTM中集成的反垃圾邮件模块能够正常运行,可行的技术主要是将各类检测引擎和特征库进行一体化设计,对任何报文的深层检测均只需通过一次引擎,从而确保开启各项高级安全功能后,设备性能不出现大的下降。

不过他表示,无论对于UTM还是独立的邮件安全网关,最有效的技术还是要从协议层面入手。单纯依赖内容分析,不可能彻底解决问题。最新的相关技术包括采用数字签名来验证是否合法等,不过,这些技术需要广泛采用后,才能很好地解决垃圾邮件的发送问题。

作为邮件安全的长期关注者,中海油信息安全部门的工程师在接受采访时表示,他们在采购邮件安全产品的时候已经发现,无论是过滤还是反毒,邮件安全网关的性能开销都是惊人的,而且这还不算频繁更新带来的维护量。因此他们觉得,如果用户希望选择此类产品,需要根据自身的情况评估。

他们的建议是,用户如果自身的邮件数量不大,对垃圾邮件的防御要求也比较简单,这时候UTM的设备就比较合适,而且具有管理方便、高性价比的优势。但是如果用户企业拥有几千人到上万人,邮件系统也比较重要,流量也很大,甚至将邮件系统和小型机做在一起,那么,这就不仅仅涉及到过滤垃圾邮件和病毒邮件的问题,还需要去审计邮件里面的内容,防止敏感信息外泻。换句话说,这要求对邮件有加密、归档、备份的能力,而这些都是专业邮件安全网关的强项。

1234
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]