自從UTM出現(xiàn)以來���,許多用戶認(rèn)為只要有了UTM���,就沒有必要再購買其他單一網(wǎng)關(guān)產(chǎn)品���,只要在網(wǎng)絡(luò)邊界部署UTM�����,所有的安全問題都會(huì)迎刃而解����。
實(shí)際不然�,在網(wǎng)絡(luò)邊界的位置�����,UTM是最合適不過的;但在網(wǎng)絡(luò)內(nèi)部��,還存在各種級(jí)別的安全域;在各個(gè)行業(yè)內(nèi)部���,也存在著很多特殊的網(wǎng)絡(luò)�。
出于多方面的考慮����,也許這些位置部署的不一定是UTM類設(shè)備。我們來看一下UTM與各種傳統(tǒng)網(wǎng)關(guān)的關(guān)系����。
UTM與防火墻的關(guān)系
由于歷史最久、應(yīng)用最廣����,防火墻在安全網(wǎng)關(guān)設(shè)備中的位置非常重要,防火墻主要工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層���,能夠?qū)崿F(xiàn)豐富的控制功能���。UTM最為重要的功能之一就是防火墻����,UTM的防火墻功能是完整的�,完全覆蓋了獨(dú)立防火墻的功能,從產(chǎn)品功能角度看UTM是完全能取代防火墻的��。但在實(shí)際網(wǎng)絡(luò)應(yīng)用中�,有些內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)是完全物理隔離的,同時(shí)各個(gè)安全域之間僅需要訪問控制����,不需要應(yīng)用層的安全防護(hù)。而在不考慮成本投入的情況下��,這部分網(wǎng)絡(luò)的安全防護(hù)也可以由UTM的防火墻功能來完成����。所以從長遠(yuǎn)來看,UTM是能取代防火墻的�。
UTM與入侵防御網(wǎng)關(guān)(IPS)的關(guān)系
入侵防御設(shè)備通常部署在兩個(gè)位置:web服務(wù)器前或網(wǎng)絡(luò)出口�,因此也就有了NIPS和WIPS兩種IPS.NIPS部署在網(wǎng)絡(luò)出口位置,保護(hù)目標(biāo)是網(wǎng)絡(luò)�,但網(wǎng)絡(luò)是主機(jī)����、服務(wù)器��、網(wǎng)絡(luò)設(shè)備的動(dòng)態(tài)集合���,這個(gè)保護(hù)目標(biāo)并不明確;NIPS一般實(shí)現(xiàn)入侵防御功能���、部分防火墻功能、內(nèi)容過濾功能等�����,看上去更像UTM功能的子集����,所以UTM是涵蓋了NIPS設(shè)備的。而WIPS部署在服務(wù)器前�,主要是保護(hù)Web業(yè)務(wù),保護(hù)對(duì)象非常明確�,要求也非常高,"精確阻斷"是對(duì)WIPS的要求��,重點(diǎn)是針對(duì)SQL注入、跨站腳本攻擊�、應(yīng)用層DDoS攻擊等威脅進(jìn)行防御。從部署位置和功能重點(diǎn)上可以看出���,UTM與WIPS是相互補(bǔ)充的����。
UTM與網(wǎng)閘的關(guān)系
網(wǎng)閘是用于物理隔離的兩個(gè)網(wǎng)絡(luò)之間的網(wǎng)關(guān)�����,同一時(shí)間只與一個(gè)網(wǎng)絡(luò)進(jìn)行邏輯連接��,并且主要應(yīng)用于同一單位的兩個(gè)安全級(jí)別相差較大的網(wǎng)絡(luò)之間;而UTM用于邏輯隔離的網(wǎng)絡(luò)之間�����,同一時(shí)間可以與兩個(gè)網(wǎng)絡(luò)進(jìn)行邏輯連接����。因此UTM與網(wǎng)閘部署位置、工作模式����、解決問題都是不同的�����,兩者之間是相互補(bǔ)充、共同存在的關(guān)系����。
UTM與反垃圾郵件網(wǎng)關(guān)的關(guān)系
郵件系統(tǒng)一般部署在企業(yè)安全網(wǎng)關(guān)的DMZ區(qū),而反垃圾郵件網(wǎng)關(guān)部署在郵件系統(tǒng)的前面�����,與安全網(wǎng)關(guān)串聯(lián)�����。從功能上看���,UTM完全實(shí)現(xiàn)了反垃圾郵件功能;從位置上看����,兩者為串聯(lián)關(guān)系�,完全可以合并在一起,因此�,UTM可覆蓋和取代反垃圾郵件網(wǎng)關(guān)。
UTM與防病毒網(wǎng)關(guān)(AV)的關(guān)系
防病毒功能是UTM最重要的功能之一,為必備功能;從查毒和殺毒能力上看��,采用與獨(dú)立防病毒網(wǎng)關(guān)類似的技術(shù)�,達(dá)到相同的效果。防病毒對(duì)性能的影響比較大���,通過軟件的優(yōu)化和專用硬件平臺(tái)的選擇����,UTM的防毒性能與獨(dú)立防病毒網(wǎng)關(guān)的性能相差不大�����。因此���,UTM可覆蓋和取代防病毒網(wǎng)關(guān)�����。
總體上��,UTM取代了防火墻����、NIPS、防病毒網(wǎng)關(guān)����、反垃圾郵件網(wǎng)關(guān)等大多數(shù)傳統(tǒng)安全網(wǎng)關(guān),而與WIPS����、網(wǎng)閘形成了互補(bǔ)關(guān)系�����。UTM的出現(xiàn)將使得串聯(lián)網(wǎng)關(guān)式的多種產(chǎn)品得到有效的整合��,在網(wǎng)絡(luò)邊界樹起了強(qiáng)大的立體防線�����,用戶不需要在網(wǎng)絡(luò)邊際上部署一連串的安全設(shè)備����,在管理和成本上都將為用戶帶來極大的效益。
對(duì)于非網(wǎng)關(guān)類安全產(chǎn)品而言����,UTM與它們更多的是互補(bǔ)關(guān)系����,都是整體安全解決方案的一部分�����。例如與入侵檢測類產(chǎn)品的關(guān)系���,UTM是串聯(lián)網(wǎng)關(guān)式的防御阻斷類產(chǎn)品����,入侵檢測是旁路監(jiān)聽式檢測類產(chǎn)品;兩者的部署方式和所起作用是不同的�,尤其是網(wǎng)關(guān)產(chǎn)品要解決可靠性穩(wěn)定性和防止誤報(bào)的問題,檢測產(chǎn)品要解決敏感性完整性和防止漏報(bào)的問題����。因此,兩者不能互相取代�,各自都能發(fā)揮獨(dú)特的重要作用,使得網(wǎng)絡(luò)安全保障形成一個(gè)有效體系����。
關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)安全,UTM,網(wǎng)關(guān)
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置