我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合特肖 > 访问控制 >

312 UTM的访问控制功能的特殊性(1)(组图)

归档日期:06-10       文本归类:访问控制      文章编辑:爱尚语录

  UTM若想对访问行为进行全面的控制,就不能仅仅像路由器和防火墙那样只是对数据包的包头进行简单检测,而必须通过其内部各种安全模块的融合,对数据包进行全面的检测。UTM访问控制的特殊性主要体现在以下两个方面。

  默认情况下,访问控制都是按以下两种情况配置的:拒绝所有的流量,这需要在网络中特殊指定能够进入和出去的流量的一些类型;

  允许所有的流量,这种情况需要特殊指定要拒绝的流量的类型。一般来说,大多数网关的访问控制功能默认都拒绝所有的流量作为安全选项。一旦安装网关产品后,需要打开一些必要的端口来使网关内的用户在通过验证之后可以访问系统。换句话说,如果想让员工能够发送和接收E-mail,必须在网关上设置相应的规则或开启允许POP3和SMTP的进程。

  UTM的访问控制功能主要通过安全策略(如图3-1所示)的配置来实现,除了具有传统防火墙或路由器所需配置的源地址、目的地址、使用的端口、协议、动作(允许、拒绝)等控制条件外,还可以通过安全防护来调用其他安全模块对各种访问行为进行控制。这些安全模块包含IPS、防病毒、内容过滤、上网行为管理、反垃圾邮件等。同时UTM的访问控制功能可以通过定义特殊的服务和时间表对访问行为进行全面的控制。UTM还可以在动作选项中调用VPN模块建立使用IPSec或SSL加密的专用隧道对数据进行保护。

  为了有效地调用各种安全模块,提高访问控制的效率,提高受保护网络的安全性,UTM需要为这些安全模块开发一个共有的引擎,所以UTM在软件结构设计上引入了一体化的设计理念,即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。而分析处理引擎的一体化首先是模式匹配单元的融合。对于不同的功能模块,模式匹配是基于不同特征库的,因此模式匹配的融合主要是特征库的统一。UTM的特征库的统一是指通过对病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库等统一进行格式化和归并处理,并采用标签的方式转发到不同模块的处理引擎进行分项处理;从而实现分析处理引擎的一体化设计,极大地提高多功能模块同时运行的效率。也正是这种一体化设计的理念保证了UTM设备将传统简单的访问控制功能和IPS、防病毒、反垃圾邮件、内容过滤、流量控制等功能完美地融合了起来,以实现真正全面的高级访问控制。

  1)通过对IPS模块的调用,可以实时地将流经UTM的数据和IPS模块的漏洞攻击库进行匹配,及时发现正在对受保护网络进行攻击的恶意访问行为,并及时对其进行有效的控制管理,将攻击行为阻断在受保护网络边界之外,避免受保护网络由于恶意访问受到损害。

  2)通过对防病毒模块的调用,可以对流经UTM的数据进行流模式的扫描或者全面模式的扫描,对HTTP协议、POP3协议、SMTP协议和FTP协议携带的文件进行病毒过滤。一旦发现该数据中存在病毒特征码,立刻将携带病毒的数据包丢弃,对该访问行为进行有效的管理,将病毒阻断在受保护网络边界之外,避免受保护网络被病毒感染。

  3)通过对邮件过滤模块的调用,可以对流经UTM的邮件数据进行分析,一旦发现该邮件数据的邮件协议命令、邮件收发地址、邮件主题等与反垃圾邮件模块黑白名单中的配置相符合,即可对该邮件数据的访问行为进行有效的管理,过滤垃圾邮件,保证受保护的网络免受垃圾邮件的骚扰。

  4)通过对上网行为管理模块的调用,可以发现受保护网络和外界网络之间的IM通信、P2P通信、游戏通信等数据流并进行管理,按照企业的安全策略对用户的登录行为或文件传输行为进行限制,避免企业的网络资源被滥用。

  5)通过对内容过滤模块的调用,可以在网络环境的关口对信息文档内容进行检索和检测并根据监管需求完成过滤,使员工无法访问配置在内容过滤模块黑名单中的反动、暴力、色情等非法网页或求职、股票、游戏网页等,以保证受保护网络的内容安全并提高内部员工的工作效率。

  6)通过对文件跟踪模块的调用,可以对HTTP、FTP、IMAP、POP3、SMTP、MSN等多种方式传输的文件进行跟踪监控,从而对访问这些文件的行为进行及时有效的管理,避免重要文件被恶意攻击者窃取。

  7)通过对防Flood攻击模块的调用,可以对典型的TCP Flood、UDPFlood和ICMPFlood攻击进行防范,可以对每台源主机进行流限制,也可以对目标主机限制最大连接,保护内部重要主机或服务器免受拒绝服务攻击。

  8)通过对日志模块的调用,可以对通过UTM的数据流进行详细的监控记录,记录包过滤的日志、IPS日志、防病毒日志等大量的日志,使管理员可以对各种访问行为有全面的了解,方便事故的追查。

本文链接:http://shawntierney.com/fangwenkongzhi/507.html