IDS:IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
防火墙:一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。具有这样功能的硬件或软件,就是防火墙
第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.
应用场合:
UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每个都会人用.
组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.
防火墙一般设置在网关,必要时过滤双向数据.
剖析UTM与传统防火墙区别
http://www.edu.cn 2010-05-28 作者:
字体选择:【大】 【中】 【小】
最新
推荐
CERNET第十七届学术年会征文通知 05-05 特别策划:桌面虚拟化正迎来发... 04-14
中国电信联合清华组建下一代互... 03-11 特别策划:数字图书馆路在何方? 02-26
UTM安全设备的定义是指一体化安全设备,它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能,但这几项功能并不一定要同时得到使用,不过它们应该是UTM设备自身固有的功能。
然而,人们总是会用看防火墙的眼光来看UTM,有时候,甚至一些厂商在投标过程中,为了迎合标书,也将UTM作为防火墙去投标。水,越搅越浑,面对事关信息系统安全的设备,我们需要有一双清澈的眼睛。
UTM族谱
为了对付混合威胁,满足中小企业对防火墙、IDS、VPN、反病毒等集中管理的需求,一些厂商将这些技术整合进一个盒子里,设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界,也就是位于局域网(LAN)和广域网(WAN)之间,子网与子网交界处, 或专用网与公有网交界处,同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体,VPN通常也集成在内。这种盒子就是UTM的雏形。
在过去的五年中,这样的"黑盒子"从不同侧面有过五六种不同的叫法。例如,"网络防御网关"(Network Prevention Gateway-NPG)是指定位在企业网络系统边界处进行防御的专用硬件安全设备。它可以是基于硬件体系的,具有防病毒功能,兼有VPN、防火墙、入侵检测功能的网络防护网关。有一段时间,曾流行简称之为"All in One",即多种功能包含在一个盒子里,成为一体化集成安全设备。后来,又掀起"病毒防火墙AV Firewall"的称呼,重点突出在防火墙中融入防病毒功能,或者叫"防毒墙"。"综合网关 Gateway"则强调其综合性。而"网络安全平台 Network Security Platform"的叫法较为广义,仍沿用至今,因为网络安全设备实际上是一个平台,可将多个安全功能集成在内。"七层防火墙 Seven Layer Firewall"迎合众多用户的心理要求,表示不仅要防护网络层,而且深入到应用层的防护。
PK传统防火墙
UTM与传统的防火墙有哪些本质区别呢?主要体现在以下几个方面。
其一,防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能,而且还决定了防病毒、入侵检测、VPN等功能是否开启以及它们的工作模式。通过防火墙的策略,各种功能可以实现更好的融合。
其二,从整个系统角度讲,UTM防火墙要实现的不仅仅是网络访问的控制,同时也要实现数据包的识别与转发,例如HTTP、Mail等协议的识别与转发,对相应的模块进行处理, 从而减轻其他模块对数据处理的工作量,提高系统性能和效率。
其三,UTM防火墙能植入很多更高的新功能,例如虚拟域、动态路由和多播路由,它支持各种新技术,例如VoIP、H.323、SIP、IM和P2P等,起点高,应用前景更广,适应性更强。
其四,从UTM的操作界面上,用户就可以清楚地看出,UTM防火墙策略有很多种选择,宛如在一个网络门户大平台上,植入内容丰富的机制,层次分明、操作简单、同时又灵活实用。随着策略的设置,网络的防护也随之展开星罗密布的安全哨卡。
同时,UTM的网关型防病毒与主机型防病毒不同。网关型防病毒作为安全网关,必须关闭脆弱窗口,在网络的边界处阻挡病毒蠕虫入侵网络,保护内部的网络安全。要做到这点,网关必须能够扫描邮件和Web内容,在病毒到达内部网络时进行清除。病毒和蠕虫防御功能要求能够百分之百检测、消除感染现有网络的病毒和蠕虫,实时地扫描输入和输出邮件及其附件,支持HTTP、SMTP、POP3、IMAP和FTP协议,实现高速度扫描技术。安全网关还要包括反间谍插件,对流行的灰色软件予以识别和阻断,同时,能够消除VPN隧道的病毒和蠕虫,阻止远程用户及合作伙伴的病毒传播,病毒特征库则可以在网上在线自动更新。
解剖UTM
UTM需要在不影响网络性能情况下检测有害的病毒、蠕虫及其它基于内容的安全威胁的产品,有的系统不仅集成了防火墙、VPN、入侵检测功能,还融入内容过滤和流量控制功能,提供了高性价比和强有力的解决方案。由于UTM系统需要强劲的处理能力和更大容量的内存来支持,消耗的资源必然是很大的,仅利用通用服务器和网络系统,要实现应用层处理,往往在性能上达不到要求。只有解决功能与性能的矛盾,UTM才能既实现常规的网络级安全(例如防火墙功能),又能在网络界面高速地处理应用级安全功能(例如病毒与蠕虫扫描)。虽然UTM实现的技术途径可以有多种,采用ASIC解决功能与性能矛盾,仍是公认的最有效主要方法。能够支撑一个优秀的UTM设备,最主要有三种优秀技术实现途径来保障。
其一,ASIC加速技术。在设计UTM系统的总体方案中,有着两类不同加速用途的ASIC,也就是说,它们朝着两个方向发展:一是应用层扫描加速,另一是防火墙线速包处理加速。
其二,定制的操作系统(OS)。实时性是UTM系统的精髓。多功能集成的安全平台需要一套专用的强化安全的定制操作系统。这一OS提供精简的、高性能防火墙和内容安全检测平台。 通过基于内容处理的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户带来最好的实时性,有效地实现防病毒、防火墙、VPN和IPS等功能。
| 其三,高级检测技术。贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全内容检测技术(CCI)能够扫描和检测整个OSI堆栈模型中最新的安全威胁,与其它单纯检查包头或"深度包检测"的安全技术不同,CCI技术重组文件和会话信息,可以提供强大的扫描和检测能力。只有通过重组,一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟,UTM使用ASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。 |
(2010-04-08 09:47:58)
转载
标签:
安全
| 杂谈 | 分类: 网络杂谈 |
IPS入侵防御系统,属串联设备。能够检查4-7层内容,对于攻击行为能立刻产生阻断。一般与防火墙结合成为网关类产品。目前接触过的一个IPS产品是放在防火墙前边,提前过滤掉网络中的攻击包。
IDP入侵侦测与实时防御系统,兼具IDS与IPS两种功能。能够主动和自动的阻挡攻击,对攻击者信息进行记录产生实时报警信息。看网上介绍这种系统应该与防火墙连动,防火墙负责第一层防御的功能——访问控制,IDP系统可以行使它第二层防御的功能——检测入侵,丢弃恶意通信,确保这个通信不能到达目的地,并通知防火墙进行阻断。
UTM统一威胁管理,是将防病毒、防火墙、入侵检测等融合为一起的新概念。UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。本文出自 51CTO.COM技术博客
剖析UTM与传统防火墙的几大本质区别 (1)
大中小
发表时间:2009-2-26 17:30:00 作者:Amteam.org 点击数:174 评论数:0 【查看评论】
本文关键字: 网络 安全 防火墙
UTM安全设备的定义是指一体化安全设备, 它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能,但这几项功能并不一定要同时得到使用,不过它们应该是UTM设备自身固有的功能。
然而,人们总是会用看防火墙的眼光来看UTM,有时候,甚至一些厂商在投标过程中,为了迎合标书,也将UTM作为防火墙去投标。水,越搅越浑,面对事关信息系统安全的设备,我们需要有一双清澈的眼睛。
UTM族谱
为了对付混合威胁,满足中小企业对防火墙、IDS、VPN、反病毒等集中管理的需求,一些厂商将这些技术整合进一个盒子里,设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界,也就是位于局域网(LAN)和广域网(WAN)之间,子网与子网交界处, 或专用网与公有网交界处,同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体,VPN通常也集成在内。这种盒子就是UTM的雏形。
在过去的五年中,这样的"黑盒子"从不同侧面有过五六种不同的叫法。例如,"网络防御网关"(Network Prevention Gateway-NPG)是指定位在企业网络系统边界处进行防御的专用硬件安全设备。它可以是基于硬件体系的,具有防病毒功能,兼有VPN、防火墙、入侵检测功能的网络防护网关。有一段时间,曾流行简称之为"All in One",即多种功能包含在一个盒子里,成为一体化集成安全设备。后来,又掀起"病毒防火墙AV Firewall"的称呼,重点突出在防火墙中融入防病毒功能,或者叫"防毒墙"。"综合网关 Gateway"则强调其综合性。而"网络安全平台 Network Security Platform"的叫法较为广义,仍沿用至今,因为网络安全设备实际上是一个平台,可将多个安全功能集成在内。"七层防火墙 Seven Layer Firewall"迎合众多用户的心理要求,表示不仅要防护网络层,而且深入到应用层的防护。
统一威胁管理的基本功能示意图下载本文
