UTM设备的8个核心网络安全功能,反垃圾邮件技术

2019-10-13 17:12栏目:新闻中心
TAG:

反垃圾邮件已经逐渐商品化,大多数供应商都是使用混杂的技术来实现反垃圾邮件功能,包括过滤不必要的电子邮件,识别和阻止包含恶意代码的邮件等。 “很难区分反垃圾邮件供应商,”位于美国马塞诸塞州的Forrester研究公司的首席分析师Chenxi Wang表示,“每个供应商都有96%到98%的检测率,根本没有新技术可言。” 自从10年前在邮箱系统肆虐的Lovebug病毒出现以来,目前电子邮件过滤技术已经大部分转移到云计算中。这种Lovebug能在几天内感染了5000万台计算机,并破坏重要程序文件,而现在网络攻击者已经转向僵尸网络来发送无数的垃圾邮件,垃圾邮件几乎占了全部邮件的90%,这也使电子邮件过滤功能成为至关重要的功能。大部分包含恶意附件的电子邮件都会被邮件过滤服务供应商拦截,然而鱼叉式钓鱼攻击和其他电子邮件攻击仍然是大问题。大部分攻击者已经开始转向基于web的攻击。 Wang去年按照Forrester Wave的要求对电子邮件过滤供应商进行了评估并发现,大多数供应商都提供类似功能,包括电子邮件信誉评级、内容过滤和政策管理,更好的供应商则提供电子邮件归档、加密和电子发现等功能。大多数企业可以挑选并选择云服务供应商来实现邮件过滤,而无需担心整合问题。 “电子邮件安全不需要成为IT企业的标准化工作的一部分,”Wang表示,“电子邮件安全可以单独处理,企业只需要简单地部署基于云的电子邮件系统,而这种系统很容易安装和操作。” 位于弗洛里达州的电子邮件和web安全供应商AppRiver LLC公司的高级安全分析师Fred Touchette表示,在过去一年中,经济原因迫使一些企业选择外包电子邮件过滤功能。 “现在成本问题是大家最关心的问题,”Touchette表示,“金融危机让很多公司无法雇佣足够的IT人员。” Touchette表示公司的客户希望有一个团队能够不断运用签名来过滤帮助他们包含恶意内容的电子邮件信息。该公司目前除了使用专有的反垃圾邮件引擎外,还使用来自ESET LLC、Norman ASA和其他公司的引擎来提供多层次保护,另外他们还进行加密和归档并支持微软的Hosted Exchange,他们计划提供网络过滤功能。 “软件即服务的主要优势在于我们能够编写签名来阻止大型恶意邮件,并且能够立即部署,”Touchette表示。 赛门铁克托管服务首席软件架构师Paul Fletcher认为,电子邮件过滤已经逐渐成熟,在过去几年也没有发生太大改变。 有些供应商运用启发式规则根据计算邮件信息为垃圾邮件的可能性为信息评分,此外,Bayseian分析仍然被用来寻找统计模式以创造一种可能,即邮件是基于令牌或者其他特征的垃圾邮件。利用智能签名和动态表头分析同样被用来筛选垃圾邮件发送者,很多供应商都开始包装威胁情报以提高检测能力。 “这不单单是过滤器的问题,因为垃圾邮件发送者能够迅速学会如何绕过一个过滤器,”Fletcher表示。

统一威胁管理(UTM)设备使用多种检测和防御功能来阻止恶意活动。然而,在不同的产品中,这些功能的组合稍微有些不同,UTM设备最常支持的网络安全功能如下:

图片 1

• 反垃圾邮件

• 针对Web和电子邮件的防病毒技术

• 应用控制

• 防火墙

• 入侵防御

• 虚拟专用网(VPN)

• web内容过滤

除了这些核心功能,有些UTM产品还提供了其他网络安全功能,例如负载均衡、数据丢失防护(DLP)和带宽管理等。

安全功能

下面让我们来仔细看看UTM系统的每个核心网络安全功能。正如上所述,对于不同的产品,UTM系统对每个安全功能的支持程度可能会存在差异。例如,有的产品可能只支持最基本的web内容过滤,例如检查网址是否包含恶意内容,而其他产品则会进行更严格的web内容过滤,例如使用信誉服务和高级分析来确定每个网站的性质:良性或恶性。

• 反垃圾邮件:大家可能都已经非常熟悉反垃圾邮件技术,但你可能不知道的是反垃圾邮件软件可以有效地阻止基于电子邮件的攻击。很多垃圾邮件信息具有恶意的性质;例如,它们可能试图通过社会工程技术诱骗用户泄露敏感个人信息(包括密码、PIN、社会安全号码等)。随着社会工程成为攻击者攻击系统和身份盗窃的最常见方法之一,企业应该尽可能地阻止恶意电子邮件接近用户,或者应该标记为垃圾邮件或存储在单独的垃圾邮件文件夹以供用户进行后续评估。反垃圾邮件还能够有效地阻止内部产生的垃圾邮件(来自受感染台式机和笔记本)被发送到企业外部。

• 针对Web和电子邮件的防病毒技术:防病毒技术是最古老的网络安全技术之一。UTM工具通常提供恶意软件扫描功能来分析电子邮件和web应用程序流量,并且在某些情况下,还能够分析经常用来传播恶意软件的其他网络应用流量(例如,即时消息收发服务)。防病毒软件已经没有以前那么有效,因为恶意软件已经变得更具针对性和个性化,同时,防病毒软件主要是基于签名,它更适合检测已知恶意软件。不过,防病毒软件仍然很有必要,因为它能够阻止很多攻击。

• 应用控制:顾名思义,应用控制是管理用户可以运行哪些应用程序的过程。这可能涉及应用白名单功能以及确定哪些应用可以使用以及不可以被使用,并且,这还可能包括对应用使用的限制。这种限制的例子是,设置一天中的哪些时间,或者一周中的哪些天,用户可以使用特定的应用程序。另一个例子是,限制应用程序可以使用的带宽。强大的应用控制功能可以检测和执行应用策略,不管这个应用如何被使用来规避检测(例如,在不用的端口上运行、使用备用协议等)。对于网络安全来说,应用控制正变得越来越重要,因为很多应用程序具有恶意的性质或者包含可能造成数据泄露的可利用漏洞。应用控制还可以帮助企业限制应用程序的安装和使用,从而降低整体受攻击面。

• 防火墙:防火墙是网络安全控制的最根本方面,它限制了主机间网络连接的建立。与防病毒软件一样,防火墙已经没有以前那么有效,因为攻击的性质已经发生改变。与此同时,现在很多攻击涉及建立未经授权的网络连接。虽然这种情况发生的可能性已经显著下降,但这仍然是一个问题,特别是对于包含敏感信息的主机,例如数据库服务器。即使是没有太多安全边界的企业,通常仍然需要防火墙来保护他们最有价值的网络资产。

• 入侵防御:入侵防御技术(也被称为入侵检测技术或者入侵检测和防御技术)被用来识别和阻止其他UTM网络安全功能无法阻止的攻击类型。对于不同的产品,入侵防御技术也有所不同,但一般来说,最有效的产品通常采用了组合方法,例如基于签名、异常和声誉的检测。这让入侵防御软件可以同时阻止已知和未知的攻击,后者填补了UTM检测功能的一个重要缺口。

• VPN:大多数UTM网络安全功能是专门针对攻击检测和阻止,而虚拟专用网络则是专门用于防止企业网络活动被窃听或未经授权使用的技术。VPN提供了一个受保护的通道,其他网络活动可以通过这个通道。VPN正越来越多地被用来保护企业的移动主机,例如笔记本、智能手机和平板电脑。这些设备通常使用不安全或薄弱的外部网络,而VPN可以为这些网络的使用提供保护。VPN也可以被配置为将移动主机的流量传输到UTM设备,而这允许所有UTM网络安全对移动流量进行检查,从而减少了这些设备造成的安全事故。

• Web内容过滤:Web内容过滤最初是一种很简单的技术,用来防止对未经授权网站的访问。后来,web内容过滤功能进行了扩展,涵盖了很多其他技术,它能够用于确定web请求是否应该被允许或者禁止。其中一个例子就是,使用声誉服务来判断每个网站的良性或恶性性质。还有分析技术可以扫描网站是否存在安全违规行为,这些行为可能表明网站存在严重安全问题,例如感染或恶意内容。你企业需要使用web内容过滤服务的程度取决于你企业特定的web安全政策,特别是当标记的网站为 “不合适”以及在本质上并不一定是恶意时。

• 技术架构:正如其他网络安全技术,UTM设备包含一个或多个网络设备或服务器的主要技术架构。通常情况下,这些设备被放置在网络边界的关键位置,例如外部通信链路连接到企业网络的范围内。特别是在较大型企业,UTM设备或服务器可能被部署在企业各部分之间的边界,包括企业的不同部门。基本上来说,UTM部署在网络边界最有效,因为在那里网络具有不同层次的信任或安全策略。

因为每个UTM设备(设备或服务器)在网络安全中发挥着重要的作用,企业必须确保所有部署都有冗余来应对UTM故障的情况。请记住,由于UTM提供防火墙和其他核心安全功能,UTM故障可能会导致网络流量无法传输到UTM所在的网络位置。多年以来,专家们建议,企业在关键位置部署冗余的防火墙,而在这些位置部署多余的UTM设备更加重要。另外,在灾难恢复规划期间不要忘记UTM,热站点和其他备用未知必须受到保护,并且在灾难发生时可以进行转移。

【编辑推荐】

版权声明:本文由新葡萄京娱乐场网址发布于新闻中心,转载请注明出处:UTM设备的8个核心网络安全功能,反垃圾邮件技术