为什么统一威胁管理工作如此慢?

* UTM的高度和低点

作为网足球竞猜app软件络世界的测试编辑,我与我们所有的实验室联盟成员和我们最长的站立测试人员密切合作,是安全顾问Joel Snyder。Joel目前正在他的实验室中的10个统一威胁管理(UTM)企业产品中砰砰直接,以便我们可以在11月初发布测试结果。这不是一份简单的工作,他让我想起了这一天,通常是一封电子邮件注释,其中2个时间戳,所以我知道他正在进行必要的时间来评估这种类型的多方面产品。

由于这些测试运行了他们的课程 - 通常是4到6个月的过程 - 在展示纯测试结果泡到表面的领域之外的文章的想法。以下是迄今已发表的文章概述了Joel关于当今UTMS普遍内部运作的思考。

如果您碰巧正在研究UTM,因为您需要为您的网络购买一个,您可以在网络世界买方指南中获取一个主题足球竞猜app软件这里。通过此列表,您可以比较和对比九个供应商的20毫升产品,以帮助缩小该领域。Joel的文章 - 以下面的全部内容预览 - 将作为一个完全改造的UTM买家指南的一部分特色,下个月早期。保持调整有关该前方的更多信息。

现在,回到Joel的想法,为什么UTM防火墙产品如此慢地工作......

为什么UTMS工作缓慢?

由乔尔斯奈德,网络世界实验室联盟足球竞猜app软件

从外面来看,UTM防火墙看起来像对不同安全功能的融合,都是一个盒子。但是,从混合防火墙和应用程序感知安全服务中存在一些重大限制。了解这些东西如何从内部汇集在一起​​将有助于您了解UTM防火墙可以,不能做到。

关于UTM防火墙的思考应开始实现大多数防火墙使用有状态数据包过滤来控制流。1990年代早期的防火墙在数据包过滤器供应商和代理供应商之间的防火墙“战争”是相当坚定地决定的包裹阵营:检查点,最显着,但现在也包括思科,SonicWALL和瞻博网络。这些公司继续参加狮子的防火墙市场的份额。这叶现在是两个主要的代理防火墙供应商,安全计算和手表,采取剩下的馅饼。虽然企业买家投票用于包过滤器的原因很多,但其中一个是速度:数据包过滤器可以跟上互联网连接的快速增加速度,而代理防火墙则无法进行。

数据包过滤防火墙的速度源于它们不需要跟踪和检查,通过它们进行检查。数据包过滤防火墙在TCP / IP堆栈中运行得相当低,在IP和 - 在某种程度上执行其大部分工作 - 在某种程度上 - TCP层,只有在连接设置期间的临时进入应用程序层以及连接的前几个数据包。正确实现的代理防火墙,具有意识和控制到应用层的方式。这意味着,从理论上讲,攻击者可以通过数据包过滤防火墙滑动更多的应用层坏性。另一方面,代理防火墙将变慢,因为它有更多的工作要做堆栈。

这种性能胜利的结果是可以廉价地令人难以置信的地制造包过滤防火墙。所有领先的数据包过滤供应商都提供1,000美元的产品,可以处理靠近100Mbps的速度,因为它们只是不需要那么多的CPU速度。在开源世界中,人们经常吹嘘使用的100-MHz系统,该系统注定为废钢作为防火墙,因为这表明是一个简单的数据包过滤器的速度。

但是,安全性继续与防火墙业务中的速度一样重要。这两个营地都妥协了职位。应用程序堆栈中的数据包过滤防火墙供应商在应用程序堆栈中看起来越来越高,以捕获常见的攻击,给出了代理防火墙中已提供的一些安全功能。与此同时,代理供应商在这里和那里进行了短缺,有时会降低他们的产品来查看或控制应用层的能力,以实现竞争性能。

在添加UTM功能时,安全管理人员的困难是。虽然UTM加载项可能发生在任何层,但网络管理人员最大的价值需要应用层意识:杀毒和Antispam肯定坐在应用层,而有效的入侵预防也需要应用层意识。添加到防病毒和Antispam产品的结构:数以千计的签名,都在一个完整的数据流中运行,你现在在CPU和内存电源曲线的错误侧。你有一个完全不同的架构的防火墙。结果是一个大规模的性能。在我们的测试中,将UTM功能添加到标准防火墙通常会导致10:1性能命中:如果它用于执行1000Mbps,那么如果它将执行100Mbps,任何其他UTM功能都会打开。

为了抵消这种表现惩罚,供应商转向诀窍的组合,以保持其在水上上方的集体CPU,而无需加入处理器或单独的IPS刀片。一个公共的是要求网络管理器预先在防火墙上预先配置所有不同的应用程序,指示应该扫描哪些应用程序以及哪些应用程序正在运行哪个端口。在某些情况下工作正常,例如传入的SMTP邮件,这是一个可预测的端口到可预测的系统。但是,除了UTM防火墙是唯一的威胁保护的小型商业案例外,扫描传入的SMTP邮件是病毒的邮件是UTM防火墙的最不有用功能之一。如果网络管理员需要额外的保护,则最终用户在互联网上获取信息的其他方式,例如通过Web流量,IM流量,在工作中检查个人邮件帐户以及对等应用程序。

结果是UTM防火墙在最需要的地方非常悲惨。例如,在我们的测试中,UTM防火墙在从TCP端口80上的Web服务器上下载的病毒,是Web流量最常见的端口。但是,一旦我们将Web服务器移动到其他端口,就会完全错过交通。我们甚至没有费心尝试加密的Web流量,因为防火墙肯定无法看到加密会话而不打破端到端安全模型。UTM防火墙内部的IPS引擎中发生了完全相同的问题:在可预测端口上没有可预测的应用程序,UTM IP通常不会捕获应用层攻击。这意味着恶意软件分销商只需将“:81”添加到网络钓鱼消息中的链接末尾,以绕过大多数UTM保护。

Christine Burns是测试的执行编辑。她可以在cburns@nww.com上达到她
加入网络世界社区足球竞猜app软件Facebook.linkedin.评论是最重要的主题。

版权所有©2007.足球竞彩网下载

IT薪水调查:结果是