面對(duì)安全威脅的發(fā)展趨勢(shì)，傳統(tǒng)的防火墻已經(jīng)顯得無(wú)能為力。它無(wú)法檢測(cè)出利用正常業(yè)務(wù)端口展開(kāi)的惡意威脅與攻擊，也無(wú)法檢測(cè)和控制占用用戶(hù)大量網(wǎng)絡(luò)資源的IM、P2P軟件。在這種情況下，融合多種安全能力，能夠針對(duì)應(yīng)用層進(jìn)行深層檢測(cè)、實(shí)現(xiàn)立體防御的UTM設(shè)備應(yīng)運(yùn)而生。

UTM檢測(cè)技術(shù)面臨的難關(guān)

作為新一代的安全網(wǎng)關(guān)，UTM與傳統(tǒng)防火墻的一大區(qū)別就是具備深層檢測(cè)能力。

通過(guò)深層檢測(cè)，UTM可以識(shí)別出傳統(tǒng)防火墻無(wú)法應(yīng)對(duì)的威脅和網(wǎng)絡(luò)濫用。但是，實(shí)現(xiàn)深層檢測(cè)有以下三個(gè)難點(diǎn)：

第一，全面。深層檢測(cè)在部分用戶(hù)看來(lái)是網(wǎng)關(guān)防病毒的同義詞，實(shí)際上，其真正目的不僅僅是對(duì)病毒的防御，還包括對(duì)溢出攻擊、惡意腳本、SQL注入攻擊、P2P應(yīng)用、網(wǎng)絡(luò)游戲等惡意攻擊和網(wǎng)絡(luò)濫用行為的檢測(cè)及防御。只有實(shí)現(xiàn)了“全面”的深層檢測(cè)，才能給網(wǎng)關(guān)安全帶來(lái)足夠的保障。

第二，精確。UTM一般都是在網(wǎng)關(guān)處進(jìn)行部署，在進(jìn)行深層檢測(cè)時(shí)必須確保不出現(xiàn)誤判。如果深層檢測(cè)出現(xiàn)了誤判，那么依據(jù)錯(cuò)誤檢測(cè)所做的防御措施會(huì)給用戶(hù)的正常業(yè)務(wù)帶來(lái)嚴(yán)重影響。無(wú)論是對(duì)最新的病毒變種還是對(duì)傳統(tǒng)的溢出攻擊，UTM的深層檢測(cè)都必須確保精確識(shí)別。

第三，管理。傳統(tǒng)的深層檢測(cè)設(shè)備管理起來(lái)復(fù)雜煩瑣，需要用戶(hù)具備較高的技術(shù)能力，能夠有針對(duì)性地分析檢測(cè)結(jié)果，并根據(jù)分析結(jié)果和行業(yè)特點(diǎn)對(duì)設(shè)備進(jìn)行優(yōu)化配置，才能取得比較好的效果。簡(jiǎn)化配置操作，方便用戶(hù)管理，是用戶(hù)對(duì)深層檢測(cè)功能的迫切需求。不過(guò)，在了解深層檢測(cè)之前，首先要解析下UTM狀態(tài)檢測(cè)技術(shù)。

UTM狀態(tài)檢測(cè)技術(shù)

UTM僅檢查獨(dú)立的信息包是不夠的，因?yàn)闋顟B(tài)信息（以前的通信和其他應(yīng)用信息）是控制新的通信連接的最基本的因素。對(duì)于某一通信連接，通信狀態(tài)（以前的通信信息）和應(yīng)用狀態(tài)（其他的應(yīng)用信息）是對(duì)該連接做控制決定的關(guān)鍵因素。因此為了保證高層的安全，UTM必須能夠訪(fǎng)問(wèn)、分析和利用以下幾種信息：

·通信信息：所有應(yīng)用層的數(shù)據(jù)包的信息；
·通信狀態(tài)：以前的通信狀態(tài)信息；
·來(lái)自應(yīng)用的狀態(tài)：其他應(yīng)用的狀態(tài)信息；
·信息處理：基于以上所有元素的靈活的表達(dá)式的估算。

狀態(tài)檢測(cè)技術(shù)能在網(wǎng)絡(luò)層實(shí)現(xiàn)所有需要的UTM訪(fǎng)問(wèn)控制能力。

UTM上的狀態(tài)檢測(cè)模塊能訪(fǎng)問(wèn)和分析從各層次得到的數(shù)據(jù)，并存儲(chǔ)和更新?tīng)顟B(tài)數(shù)據(jù)及上下文信息，為跟蹤無(wú)連接的協(xié)議（比如RPC和基于UDP的應(yīng)用）提供虛擬的會(huì)話(huà)信息。UTM根據(jù)從傳輸過(guò)程和應(yīng)用狀態(tài)所獲得的數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)置和安全規(guī)則產(chǎn)生一個(gè)合適的操作，或者拒絕、或者允許、或者加密傳輸。但任何安全規(guī)則都沒(méi)有明確允許的數(shù)據(jù)包將被丟棄或者產(chǎn)生一個(gè)安全警告，并向系統(tǒng)管理員提供整個(gè)網(wǎng)絡(luò)的狀態(tài)。

檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。與其他安全方案不同，當(dāng)用戶(hù)訪(fǎng)問(wèn)到達(dá)網(wǎng)關(guān)的操作系統(tǒng)時(shí)，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、鑒定或給該通信加密等決定。一旦某個(gè)訪(fǎng)問(wèn)違反安全規(guī)定，安全報(bào)警器就會(huì)拒絕該訪(fǎng)問(wèn)，并做記錄，向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。這種UTM無(wú)疑是非常堅(jiān)固的，但它的配置非常復(fù)雜，而且會(huì)降低網(wǎng)絡(luò)的速度。

兩種深層檢測(cè)方法

一是通過(guò)定義報(bào)文特征來(lái)實(shí)現(xiàn)對(duì)已知攻擊及網(wǎng)絡(luò)濫用的檢測(cè)，其優(yōu)勢(shì)是技術(shù)上實(shí)現(xiàn)簡(jiǎn)單、迅速；但僅能識(shí)別已知攻擊和應(yīng)用。

另一種是通過(guò)分析攻擊產(chǎn)生原理，定義攻擊類(lèi)型的統(tǒng)一特征，能準(zhǔn)確識(shí)別基于相同原理的各種攻擊、不受攻擊變種的影響，但技術(shù)門(mén)檻高、擴(kuò)充復(fù)雜、應(yīng)對(duì)新攻擊速度有限。

目前來(lái)看，將動(dòng)態(tài)檢測(cè)與靜態(tài)檢測(cè)有機(jī)結(jié)合，消除各自剛性，可以形成一種“柔性檢測(cè)”的機(jī)制。在這種機(jī)制下，可以有效發(fā)揮兩種檢測(cè)技術(shù)各自的優(yōu)勢(shì)，從而進(jìn)一步提高檢測(cè)的覆蓋面。換句話(huà)說(shuō)，無(wú)論是黑客攻擊、P2P軟件還是病毒變種，在柔性檢測(cè)機(jī)制下都可以做到最大程度的覆蓋。

其實(shí)，各種深層檢測(cè)技術(shù)的初衷都是為了提升安全網(wǎng)關(guān)的精確識(shí)別能力。在這種思想的指導(dǎo)下，通過(guò)VFPR（快速協(xié)議識(shí)別）、基于原理的SQL注入檢測(cè)、基于行為的關(guān)聯(lián)分析算法等，都可以進(jìn)一步增強(qiáng)一體化安全網(wǎng)關(guān)的精確檢測(cè)能力。

另外，一些安全廠商專(zhuān)門(mén)建立了面向網(wǎng)絡(luò)攻防研究的積極防御實(shí)驗(yàn)室（AD-LAB），這可以在第一時(shí)間內(nèi)獲得各種安全事件信息，并對(duì)各類(lèi)安全事件進(jìn)行深入研究，從而確保用戶(hù)在最短時(shí)間內(nèi)獲得對(duì)最新攻擊的精確防御能力。

對(duì)付混合攻擊時(shí)UTM采用的技術(shù)

多層分解檢測(cè)技術(shù)：一個(gè)混合攻擊的病毒有多個(gè)模塊比如端口掃描，漏洞掃描之類(lèi)的，而UTM也有多個(gè)模塊來(lái)分別應(yīng)對(duì)，各個(gè)模塊也各司其職，分別用來(lái)對(duì)付此類(lèi)病毒的各個(gè)模塊，對(duì)于混合攻擊的防范可以通過(guò)與IPS的結(jié)合來(lái)有效應(yīng)對(duì)，所以UTM是檢測(cè)混合攻擊最有效的產(chǎn)品。

漏洞利用代碼檢測(cè)技術(shù)：如今的病毒都喜歡利用漏洞來(lái)加以傳播，因此UTM的防毒技術(shù)模塊除了采用傳統(tǒng)的檢測(cè)方法外，還應(yīng)該根據(jù)漏洞利用代碼的原理來(lái)檢測(cè)已知或未知的此類(lèi)病毒或者混合攻擊。

編者按：

UTM中的防病毒除了引用傳統(tǒng)的病毒檢測(cè)技術(shù)外，還應(yīng)該配合一些新的技術(shù)來(lái)提高病毒檢測(cè)的效率與性能，如采用流檢測(cè)的技術(shù)和對(duì)未知病毒的檢測(cè)方法等等。合眾家之長(zhǎng)才能實(shí)現(xiàn)安全目標(biāo)。