论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 31 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 从Firewall到UTM
帖子发表于 : 2008-06-12 15:08 
离线
中级用户

注册: 2008-03-22 20:46
最近: 2011-08-17 20:40
拥有: 571.20 安全币

奖励: 9 安全币
在线: 553 点
帖子: 63
写在前面的话
期望能尽量剥离市场语言,和大家探讨网关产品发展的一些技术问题。纯技术探讨,谢绝广告,欢迎随便驳斥。转发请先通知,请个鲍鱼公主啥的,哈哈。 :twisted:

blabla的废话-网关产品的综合化趋势
随着网络自身的复杂程度已经相应的网络安全形势的不断复杂化,单一的防火墙显然不能满足客户对网关产品基本需求。高端用户会选择多种专业的IPS/AV/EIM等产品组成一个立体的防御体系,来应对这些挑战,而中小企业和个人用户显然无力支付如此高昂的采购费用和维护成本,UTM类产品也就应运而生。因为UTM的功能点争议从它诞生之时就没有停止过,这里不特指某种产品,而是统称在防火墙基础上具有高层防御功能的综合安全网关产品。
中国的安全厂商数量众多,除去天融信、联想、启明、绿盟等为代表的一线厂商之外,还有大量的二线三线安全厂商。在面对当前的客户需求形势下,所有安全厂商都面临对其自身产品进行升级换代的问题,这个已经是势不可挡。与防火墙比较,UTM重点需要解决的功能模块有两个:IPS和AV,下面分别对厂商可以选择的技术路线做一个简单的分析。

攻击防御
IPS是相对技术难度较高的一个功能模块,但是它又是综合安全网关产品无法回避的一个必须解决的问题,否则网关无法阻挡一些需要高层协议分析的进攻,比如:buffer overflow、SQL injection等。说它的技术难度较高,有以下的几个原因:
1) 自主开发需要大量积累,特别是对众多应用层协议跟踪分析、高层协议重组和在线解码等方面的技术,与使用netfilter来搭建一个防火墙的难度不在一个数量级,这是多数二线三线厂商甚至包括一些无此方向技术积累的一线厂商短时间内无法逾越的一个鸿沟。
2) IPS的特征码部分是一个不断需要开发的部分,不像防火墙产品产品交付后就不再需要大量的维护和支持工作,这部分的工作也需要很大的技术积累和人力来支撑,且经常与公司的安全服务是紧密相关的,对于规模相对较小的安全公司这是一个不小的障碍。
3) Open Source的解决方案的效率很不理想,如果简单的将其Porting到以前已有的防火墙产品中,效率下降十分明显,即使优化较好情况下性能大约只会是原有防火墙性能10-15%,这个性能是用户无法接受的。
4) 遇到性能问题,大家一定会考虑到ASIC协处理器或者是多核处理器(RMI等),前者的销售状态和一些知名厂商的退缩足以说明其不成功的地方,而多核处理器的方案显然不是绝大多数厂商所能驾驭的,即使有开发能力的厂商在RMI等平台上实现IPS功能也是十分消耗时间的,必然造成新功能开发周期很长。

防病毒
AV在综合网关产品中的地位一直备受争议,争议点集中在功能和性能两个方面。功能争议方面,其与主机AV的冲突是主要的焦点,有重复投资的嫌疑。性能上由于病毒签名的数量远在IPS攻击签名之上很多,不在一个数量级,其对性能的冲击是一个更大的大问题。这里并不倾向其中任何一方的观点,只是从技术上论述一下网关AV实现的典型方式,以及要面对的问题:
1) 重定向方式:理论上重定向不能算作一个AV的实现方式,只能算作一种部署方式,但是很多厂商在谈到自己的UTM产品的时候会提到自己的是重定向。它实际是利用网关(或者多层交换设备)的流量识别(一般是基于端口)能力,把需要进行AV处理的流量(多数情况下是HTTP、SMTP和POP3等)交给另外的AV产品去处理。这种方案最大的优势是分摊了转发和杀毒的计算能力,如果高端的设备相互之间可以沟通情况下,当AV产品过载,网关即可停止重定向,这样不会形成单点故障,保障网络的畅通。而它的缺点也是显而易见的,部署复杂且成本高,AV本身的效率高低和重定向本身也无关,增加了问题诊断的复杂度。
2) Proxy方式:以Proxy为主体的杀毒方式常见于防火墙背景的厂商,它容易集成到原有的防火墙产品体系中,相对来说技术门槛较低。需要完成的工作包括:透明化协议栈、应用协议代理、缓存管理和杀毒引擎等。对国内防火墙厂商来说这个方案最大的优点就是有Open Source的现成方案可以借用,且和原有产品兼容,开发成本较低,只有透明化协议栈是一个相对要花一些时间的地方。它的缺点也是显而易见的:
a) 部署方式不够灵活,特别是在和负载平衡或者流量管理设备联用时候,因为Proxy改变了原有流量的很多协议状态,会造成其他设备管控失效,如果未能实现透明协议栈,部署更是一个灾难;
b) 受限于资源的调度和消耗,并发链接和新建连接两项指标无法提升到和防火墙产品一个数量级,而在当前的实际网络环境中,这个方面的约束是很多用户的网络环境所无法接受的;
c) 由于缓存和杀毒的时间延迟,造成网络流量的不平衡,WAN口经常有数倍于LAN口的流量,而内网则频繁出现连接超时中断,大量的数据都阻塞在网关的Cache中,有些厂商采用trickling技术来解决连接中断问题,这其实治标不治本,Cache的问题始终是Proxy方案的一大困扰。
d) 除此之外,Proxy方案是一家公司的专利技术,如果有人做到足够大,就会被告的法院去,已经有先例。
3) Streaming方式:此种方式常见于IPS背景的厂商,简单的可以做基于数据包的扫描,真正完备的方式需要配合在线解码和扫描的技术。相对于Proxy方式来讲,这个技术的难度要大一些,难点基本和前面提到的IPS的技术难点一致,这里就不重复了。这项技术的优点主要是可以实现相对较高的并发和新建连接数目,纯透明部署容易,不对用户数据进行破坏和修改,对高层协议无干扰。100M的防火墙平台上增加AV,实现256K的并发也是可以做到的,这是实际应用中一个相当大的优势。它的工作方式类似IPS,当流量没有问题时传递出去的还是原始的数据包,因此用户协议栈没有受到破坏,透明部署以及和其他负载均衡和流量管理设备的联用就很少碰到问题。由于是在线解码和扫描,Cache造成的不平衡流量的问题也就不复存在。缺点方面主要它不采用缓存方式进行病毒扫描,因此无法实现病毒文件的隔离。

Linux+X86羞涩但现实的话题
对绝大多数的国内安全厂商而言,Linux+X86是一个令人感觉羞涩的话题,特别是销售体系的人都很不愿意提起。这个有用户认识的问题,也有厂商自己引导的问题。实际上,这是绝大多数现有销售的防火墙产品线的基础。不可否认,这个组合有很多缺点,但是它能有今天的市场占有率不也说明了它的巨大优势嘛。诚然,现在有很多一线厂商在高端方面转向了RMI和Octeon平台,可是还没有哪一家敢于淘汰所有的X86产品线。因此,如何很好的利用现有的平台和产品,在IPS/AV的细节技术上多下工夫,是一个必然要解开的现实问题。现今的情况下,厂商可以寻求这方面的技术合作,也可以沉下心来仔细研究相关的技术细节,自己完成相关的升级换代工作,完全可以在原有平台上实现用户可接受的综合安全网关产品。

结论
尚无,等待大家讨论。
:D


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-12 16:19 
离线
初级用户

注册: 2007-04-10 15:07
最近: 2011-10-21 16:30
拥有: 299.90 安全币

奖励: 4 安全币
在线: 884 点
帖子: 44
写的不错。
个人觉得,UTM上的IPS更多的用途是做应用控制,例如阻断P2P,目的是为了提高生产效率和管理能力。至于溢出攻击这块,目前的价值实在不大,价值大的防御SQL注入之类的功能UTM一般也搞不定...


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-12 17:25 
离线
初级用户

注册: 2008-06-04 09:46
最近: 2011-12-02 14:54
拥有: 74.50 安全币

奖励: 52 安全币
在线: 398 点
帖子: 28
要防火墙还是要UTM?这个问题已经争论一段时间了。UTM从一个整合的角度,将多种网关级安全设备功能集于一身,是一个很有吸引力的解决方案。但是目前的UTM产品的多种安全功能同时开启时,会造成比较大的影响网络带宽,还不适合实时性要求高的信息系统,也许随着硬件平台的性能的提高能得到改善。我认为,在现阶段,UTM比较适合与中小型用户,主要面向本地网络与互联网的安全防护。高性能的防火墙比较适合对实时性要求高的信息系统的访问控制。


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-14 23:40 
离线
中级用户

注册: 2008-03-22 20:46
最近: 2011-08-17 20:40
拥有: 571.20 安全币

奖励: 9 安全币
在线: 553 点
帖子: 63
赞成应用控制是第一需要,其实说白了压掉P2P是第一要务吧。我也很想听听大家对SQL Injection和XSS的看法,碰到了第一想到的是如何处理那? WAF吗?那个设置起来太崩溃了。

dhxy 写道:
写的不错。
个人觉得,UTM上的IPS更多的用途是做应用控制,例如阻断P2P,目的是为了提高生产效率和管理能力。至于溢出攻击这块,目前的价值实在不大,价值大的防御SQL注入之类的功能UTM一般也搞不定...


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-14 23:45 
离线
中级用户

注册: 2008-03-22 20:46
最近: 2011-08-17 20:40
拥有: 571.20 安全币

奖励: 9 安全币
在线: 553 点
帖子: 63
我不想对功能定义方面的争论站在任何一方,这个貌似是谁说谁有理,我嘴巴比较笨,不参与不参与,低调低调 :)。写这个文章只是想说明技术上如何把一个Linux+X86的防火墙升级为综合安全网关的一些关键技术。

从市场角度说,有个怪现象。道理上UTM本意是定位中低用户的产品,可是中国市场表现大不相同,现在一直是高端UTM产品好卖。

ack_cissp 写道:
要防火墙还是要UTM?这个问题已经争论一段时间了。UTM从一个整合的角度,将多种网关级安全设备功能集于一身,是一个很有吸引力的解决方案。但是目前的UTM产品的多种安全功能同时开启时,会造成比较大的影响网络带宽,还不适合实时性要求高的信息系统,也许随着硬件平台的性能的提高能得到改善。我认为,在现阶段,UTM比较适合与中小型用户,主要面向本地网络与互联网的安全防护。高性能的防火墙比较适合对实时性要求高的信息系统的访问控制。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-24 15:04 
离线
初级用户

注册: 2008-04-29 10:57
最近: 2008-10-31 15:53
拥有: 395.10 安全币

奖励: 18 安全币
在线: 511 点
帖子: 41
To ddkk:
非常认同你的一些观点。内容检测这一块的确是UTM或安全网关的短板,主要是性能这一块难有突破。可解决方案无非是多核或者FPGA,但FPGA难度过大,国内厂商有实力的还没看到,TippingPoint的FPGA思路的IPS一枝独秀,但是同样用在UTM上就差多了,UTM先天不适合采用ASIC和FPGA的思路。目前可行的就是多核了,如RMI或Cavium。但是Cavium的DFA Engine只是实现了粗略过滤的功能,后续还必须依赖于精确算法的搭配,内容检测的瓶颈恰恰在于精确算法而不是粗略过滤,所以Cavium的硬件加速作用有限,此外还存在着很多先天的不足。也就是说最后内容检测还是需要软件来实现,16Core的Cavium和32Core的RMI最多IPS能达到多少性能呢?我想能超过1.5G就相当了不起了,但是依然困难重重。


--------本帖迄今已累计获得15安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-24 17:18 
离线
中级用户

注册: 2008-03-22 20:46
最近: 2011-08-17 20:40
拥有: 571.20 安全币

奖励: 9 安全币
在线: 553 点
帖子: 63
其实我更喜欢intel :D

secnet 写道:
To ddkk:
非常认同你的一些观点。内容检测这一块的确是UTM或安全网关的短板,主要是性能这一块难有突破。可解决方案无非是多核或者FPGA,但FPGA难度过大,国内厂商有实力的还没看到,TippingPoint的FPGA思路的IPS一枝独秀,但是同样用在UTM上就差多了,UTM先天不适合采用ASIC和FPGA的思路。目前可行的就是多核了,如RMI或Cavium。但是Cavium的DFA Engine只是实现了粗略过滤的功能,后续还必须依赖于精确算法的搭配,内容检测的瓶颈恰恰在于精确算法而不是粗略过滤,所以Cavium的硬件加速作用有限,此外还存在着很多先天的不足。也就是说最后内容检测还是需要软件来实现,16Core的Cavium和32Core的RMI最多IPS能达到多少性能呢?我想能超过1.5G就相当了不起了,但是依然困难重重。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-25 17:47 
离线
初级用户

注册: 2007-11-01 19:44
最近: 2008-07-11 18:46
拥有: 31.00 安全币

奖励: 6 安全币
在线: 463 点
帖子: 23
什么功能都具备了,但是什么都做不好


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-26 10:40 
离线
中级用户

注册: 2008-03-22 20:46
最近: 2011-08-17 20:40
拥有: 571.20 安全币

奖励: 9 安全币
在线: 553 点
帖子: 63
我们不正在讨论如何做好它吗,不要着急嘛。
lethe 写道:
什么功能都具备了,但是什么都做不好


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-26 11:56 
离线
初级用户

注册: 2007-11-01 19:44
最近: 2008-07-11 18:46
拥有: 31.00 安全币

奖励: 6 安全币
在线: 463 点
帖子: 23
呵呵,不着急
搬个凳子来看大家讨论


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-30 16:46 
离线
初级用户

注册: 2008-06-16 10:33
最近: 2010-08-05 13:04
拥有: 222.60 安全币

奖励: 1 安全币
在线: 425 点
帖子: 40
我觉得大型企业级的最好还是不用UTM。该干啥就干啥。


--------本帖迄今已累计获得1安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-02 10:11 
离线
初级用户

注册: 2008-05-14 10:08
最近: 2017-10-27 12:49
拥有: 267.20 安全币

奖励: 0 安全币
在线: 1114 点
帖子: 23
UP
学习ing.....


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-02 10:41 
离线
初级用户

注册: 2006-03-31 19:12
最近: 2013-12-16 11:58
拥有: 313.70 安全币

奖励: 0 安全币
在线: 1965 点
帖子: 35
这就是是否我们愿意把鸡蛋放到一个篮子里面的问题。

如果UTM被攻破,那么你所有的安全手段都被攻破;如果分开,即使你防火墙被攻破,你也有IPS等防护措施。

所以UTM不但要解决功能问题,更要解决自身安全问题。记得cissp中,越负载的功能,安全性越低。

我的考虑,希望指正。^_^


--------本帖迄今已累计获得15安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-07-02 16:49 
离线
初级用户

注册: 2008-04-29 10:57
最近: 2008-10-31 15:53
拥有: 395.10 安全币

奖励: 18 安全币
在线: 511 点
帖子: 41
虽然一直做UTM产品,但是还觉着这种产品并不适合中高端市场。上帝的归上帝,凯撒的归凯撒。想用一款产品解决各个层次的网络安全问题,既不现实也不可行。只能是一个中庸的东西,IPS折中、AV折中、UrlFilter折中、防火墙折中.......就是一个拼盘,想满足各个层次,最后各个层次都看不上眼。厂商无论从防火墙还是IPS转型而来做UTM,鲜见成功的。除非技术上有大的突破,但是5年内看不到明确的前景。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-08 11:00 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,314.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
我觉得在UTM中加入防病毒不是很好,因为防病毒功能需要消耗非常多的设备资源,而起到的效果和这部分的性能消耗相比是非常小的,一般防病毒能够针对的协议也有限,无非是HTTP、POP3、SMTP、FTP等等,而在大多数国人使用计算机的行为中,通过网络引入病毒的途径不仅仅是上面列出的一些应用,有些时候是P2P下载,而机器感染病毒的更多是U盘之类的移动介质相互使用后导致的交叉感染,或者是在内网中的传染。
当然,防病毒功能如果仅仅是针对用户网络中的服务器资源来做病毒过滤我想还是比较好的,这样所需要的代价也是可以接受的。
从FW到UTM,确实解决了一些FW在网络防护方面的先天不足,特别是IPS功能的加入,使得中小企业的用户在网络的边界有了具备了一定的抗攻击的能力。 :wink:


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 31 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012