作为N有个足球雷竞技appetwork World的测试编辑,我与我们所有的实验室联盟成员密切合作,安全顾问Joel Snyder是我们最资深的测试人员之一。Joel目前正在他的实验室研究10个统一威胁管理(UTM)企业产品,以便我们能在11月初公布测试结果。这不是一件容易的工作,他每天都会提醒我,通常是用电子邮件通知,上面有凌晨两点的时间戳,所以我知道他花了必要的时间来评估这类多方面的产品。
由于这些测试运行了他们的课程 - 通常是4到6个月的过程 - 在展示纯测试结果泡到表面的领域之外的文章的想法。以下是迄今已发表的文章概述了Joel关于当今UTMS普遍内部运作的思考。
如果您碰巧正在研究utm,因为您需要为您的网络购买一个,您可以进入网络世界买家指南的主题有个足球雷竞技app这里.通过这个清单,您可以比较和对比来自9个供应商的20多种UTM产品,以帮助缩小范围。Joel的文章将作为一个全新的UTM买家指南的一部分,在下个月初正式上线。请继续关注这方面的更多信息。
现在,回到Joel的想法,为什么UTM防火墙产品如此慢地工作......
为什么UTMS工作缓慢?
由乔尔斯奈德,网络世界实验室联盟有个足球雷竞技app
从外部看,UTM防火墙看起来像是不同安全特性的混合体,都挤进了一个盒子里。然而,将防火墙和应用程序感知的安全服务组合在一起存在一些重大限制。了解这些东西是如何由内而外组合在一起的,将帮助您了解UTM防火墙能做什么,不能做什么。
关于UTM防火墙的思考应开始实现大多数防火墙使用有状态数据包过滤来控制流。1990年代早期的防火墙在数据包过滤器供应商和代理供应商之间的防火墙“战争”是相当坚定地决定的包裹阵营:检查点,最显着,但现在也包括思科,SonicWALL和瞻博网络。这些公司继续参加狮子的防火墙市场的份额。这叶现在是两个主要的代理防火墙供应商,安全计算和手表,采取剩下的馅饼。虽然企业买家投票用于包过滤器的原因很多,但其中一个是速度:数据包过滤器可以跟上互联网连接的快速增加速度,而代理防火墙则无法进行。
包过滤防火墙的速度源于这样一个事实:它们不需要跟踪和检查通过它们的每一个信息。包过滤防火墙在TCP/IP堆栈中运行得相当低,它们的大部分工作在IP层和(在某种程度上)TCP层上进行,只有在连接设置和连接的前几个包期间偶尔进入应用层。一个正确实现的代理防火墙能够感知和控制一直到应用层。这意味着,从理论上讲,攻击者可以通过包过滤防火墙而不是通过代理来转移更多的应用层恶意。另一方面,代理防火墙将变得更慢,因为它有更多的工作要做。
这种性能优势的结果是,包过滤防火墙的制作成本非常低。所有领先的包过滤供应商都提供价格低于1,000美元、处理速度接近100Mbps的产品,因为它们不需要那么高的CPU速度。在开源世界中,人们经常吹嘘使用100 mhz系统作为他们的防火墙,只是因为这对于一个简单的包过滤器来说已经足够快了。
不过,在防火墙业务中,安全性仍然和速度一样重要。双方阵营都在立场上达成了妥协。包过滤防火墙供应商在应用程序堆栈中寻找越来越高的目标,以捕获常见的攻击,为他们提供代理防火墙中已经提供的一些安全特性。与此同时,代理供应商不时地采取一些捷径,有时为了达到有竞争力的性能,降低了他们的产品查看或控制应用层的能力。
当添加UTM特性时,安全管理人员会遇到困难。虽然UTM外接程序可以出现在任何层,但对网络管理人员最有价值的外接程序需要应用层感知:反病毒和反垃圾邮件肯定位于应用层,而有效的入侵防御也需要应用层感知。再加上反病毒和反垃圾邮件产品的结构:成千上万的签名,全部运行在一个完整的数据流中,现在您处于CPU和内存功率曲线的错误一侧。你有一个完全不同架构的防火墙。结果是巨大的性能损失。在我们的测试中,将UTM特性添加到标准防火墙通常会导致10:1的性能下降:如果它以前的性能是1000Mbps,那么在打开其他UTM特性的情况下,它的性能能达到100Mbps就很幸运了。
为了抵消这种表现惩罚,供应商转向诀窍的组合,以保持其在水上上方的集体CPU,而无需加入处理器或单独的IPS刀片。一个公共的是要求网络管理器预先在防火墙上预先配置所有不同的应用程序,指示应该扫描哪些应用程序以及哪些应用程序正在运行哪个端口。在某些情况下工作正常,例如传入的SMTP邮件,这是一个可预测的端口到可预测的系统。但是,除了UTM防火墙是唯一的威胁保护的小型商业案例外,扫描传入的SMTP邮件是病毒的邮件是UTM防火墙的最不有用功能之一。如果网络管理员需要额外的保护,则最终用户在互联网上获取信息的其他方式,例如通过Web流量,IM流量,在工作中检查个人邮件帐户以及对等应用程序。
结果是UTM防火墙在最需要的地方非常悲惨。例如,在我们的测试中,UTM防火墙在从TCP端口80上的Web服务器上下载的病毒,是Web流量最常见的端口。但是,一旦我们将Web服务器移动到其他端口,就会完全错过交通。我们甚至没有费心尝试加密的Web流量,因为防火墙肯定无法看到加密会话而不打破端到端安全模型。UTM防火墙内部的IPS引擎中发生了完全相同的问题:在可预测端口上没有可预测的应用程序,UTM IP通常不会捕获应用层攻击。这意味着恶意软件分销商只需将“:81”添加到网络钓鱼消息中的链接末尾,以绕过大多数UTM保护。