阿姆瑞特UTM技术特点
IDP/IPS组件
阿姆瑞特UTM 入侵检测组件提供从网络层到应用层的保护,防御黑客基于操作系统和应用程序漏洞的攻击,预防恶意的网络流量到达服务器。同时对内网用户的P2P应用进行控制。具体的技术特点如下:
防范应用层攻击和P2P控制
阿姆瑞特IDP组件对于数据包应用层状态的特征进行监测,通过特征监测可以对黑客的攻击进行有效的检测并阻断。例如:
◆ 阻止黑客对网络上的主机进行端口探测、漏洞扫描以及其它攻击活动;
◆ 阻止黑客对Windows、Unix、Linux、FreeBSD等操作系统漏洞的攻击;
◆ 阻止黑客对DNS、FTP、ICMP、IMAP、POP3、SNMP等协议弱点的攻击;
◆ 阻止黑客对应用程序攻击,例如:对WEB页面中嵌入数据库进行的SQL注入攻击、针对某种应用软件漏洞的攻击等;
◆ 社会工程学攻击相关的一些即时消息软件、聊天和P2P应用程序。
◆ 发现扫描或者攻击后,动态添加攻击黑名单;
◆ 对内部用户通过MSN等聊天工具在工作时间聊天进行阻断;
◆ 对内网用户通过P2P工具下载而耗费网络大量带宽进行阻断;
零日攻击防御
为了能最快速度的发现互联网上的最新威胁,阿姆瑞特在全球部署可以捕获最新威胁的传感器,通过遍布全球的传感器网络不断地检测Internet上新的威胁,并将这些威胁加入到特征库中,阿姆瑞特UTM通过遍布于全球的升级服务器在这些威胁爆发或攻击发生之前向用户提供这些威胁的特征,进行实时IPS、IDS、反病毒、应用控制、网页分类特征库的升级,从而保证用户网络免受新的攻击、现有攻击的变种和未知攻击的侵扰,提供对于最新攻击零日(zero-day)防御功能。当一个新的漏洞出现时候,由于UTM的特征库升级速度远远快于服务器补丁的升级速度,此时可以对服务器提供最有效的零日(zero-day)防御功能,对服务器提供虚拟的补丁,在没有得到最新补丁升级时候对服务器进行提前的保护,阻止黑客针对于服务器漏洞的攻击。
高效的特征集
阿姆瑞特IDP使用一套独特的、自动生成的并且基于组件的特征,它可以检测基于攻击组件的攻击如NOP Sled、攻击负载和shell代码。这是一种非常高效的机制,因为很多黑客都在其旧组件的基础上发布他们新的攻击,因为他们只能在漏洞补丁发布之前才有利用该漏洞来攻击应用程序生产厂商。
基于组件的特征可以使得阿姆瑞特IDP保护您的网络免受不同类型的攻击,因此它具有远高于传统特征的的特性,传统的特征使用指纹技术来识别每一种不同的攻击。同时,这种技术也使得阿姆瑞特IDP具有提供“零日”防御的能力,以抵御不同类型的攻击,同时它也降低了误报率,从而减少了管理人员的工作量。
IPS与IDS有效的统一
为了达到对服务器最佳保护,阿姆瑞特UTM可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库,当数据包进入UTM设备,首先经过IPS检查,可以确定100%的攻击,UTM可以对该攻击进行阻断;如果数据包疑是攻击,进行IDS检查,UTM对该数据进行审计,从而达到IPS和IDS的统一,保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。
灵活的应用控制
阿姆瑞特UTM不但能够实现对TCP/UDP端口的控制,并且可以实现对同一端口不同应用控制的功能。当数据包通过TCP/UDP某一端口进行传输时候,阿姆瑞特UTM可以对数据包的应用层作深度检查,达到对于应用进行控制的目的。例如:对BT这种耗费带宽的控制、对经过HTTP访问流媒体的控制、对HTTP不同命令和使用代理服务器控制;对FTP不同命令的控制、对访问数据库登陆的控制、对SMTP/POP3命令的控制、对H.323/SIP视频的控制等。
动态IPS/IDS/应用控制配置界面
用户在进行IPS/IDS等设备管理时候,面对复杂、专业的配置可能无从下手;同时因为IPS/IDS特征库是不断升级的,而配置界面无法实现时时升级,导致动态的特征库与静态的配置界面无法对应起来。
阿姆瑞特UTM的IPS/IDS/应用控制的配置界面来源于IDP特征库的索引,当IDP特征库升级后,由UTM设备内核PUSH(下推)到管理器中,从而实现时时更新的IPS/IDS/应用控制的专业分组配置界面,将用户需要做的IPS/IDS/应用控制分组工作转化为由专业的厂商来做。将IPS/IDS/应用控制在配置上最大的难题彻底解决,最大程度的减少管理员的工作压力,使得配置界面更加人性化、专业化、合理化。
细粒度配置
阿姆瑞特UTM的IPS配置非常细致和灵活,可以对源接口、源地址、目标接口、目标地址、服务、时间等参数进行IPS和P2P控制,通过细粒的配置实现对网络的灵活配置。
卓越的性能
阿姆瑞特UTM是基于ASIC的硬件产品,对于IPS、IDS、应用控制、反病毒都有专门的ASIC芯片进行处理;通过专用ASIC芯片防止对应用层的控制所引起的性能降低,在进行深度检查的同时确保最大化吞吐量,确保用户的网络安全高效阿姆瑞特UTM突破了传统安全设备在进行内容处理方面与性能的矛盾,保证网络的安全性、高效性。
自动特征更新
通过阿姆瑞特更新服务器,您可以获得连续不间断的特征更新。遍布全球的传感器网络不断地检测Internet上新的威胁并在这些威胁爆发或攻击发生之前通过阿姆瑞特更新服务器来向用户提供这些威胁的特征。同时,该产品还支持用户自定义特征库,管理人员可以添加针对于其自身某种特殊应用的威胁特征库。
内容过滤组件
阿姆瑞特在全球部署了网站内容分析探测器,可以实时对互联网上所有页面进行分类,精细URL分类方法保证了对问题网址分类的精确性和全面性。依托强大的URL数据库系统,阿姆瑞特 UTM内容过滤组件可以轻松的对内网用户访问互联网资源进行控制。同时,UTM设备还支持动态URL缓存,对于用户访问过的URL,记录在URL缓存中。这样当来自于内网的数据包到达UTM设备时,首先匹配 URL缓存中的数据,如果没有匹配再到数据库进行查询,从而最大可能的保证网络应用的高效性。阿姆瑞特UTM内容过滤组件具体技术特点如下:
上网行为管理
结合阿姆瑞特日志分析软件和内容过滤组件, 可以对内网用户的上网行为进行精确的分析、管理和控制:
增加生产力
据调查,员工每周上班花在网上处理私人事务的时间高达5.6小时,平均每天超过1小时。有60%的员工在工作时间上网浏览个人信件,有83%中层管理人员在办公时间内浏览与工作无关的网站。阿姆瑞特上网行为管理功能可以根据不同的身份(IP)或时间来控制员工的上网行为,同时也可以管理非业务性的文件下载,从而提高工作效率。
增加安全性
员工在浏览游戏、论坛等网站的时候,有可能被黑客嵌入在网页中的病毒、恶意木马等程序所感染,导致重要数据丢失或者被窃走。通过阿姆瑞特UTM上网行为管理功能阻止包含如可编程内容、游戏、暴力以及其它相似的网页,也可以阻止对含有恶意内容如病毒、蠕虫和间谍软件的资源的访问。
免受钓鱼攻击
在过去的一年中,很多人因为访问那些假冒的银行、网上证券等网站,导致银行帐号、密码被盗,承受巨大经济损失。对于这些“钓鱼”网站,一般职员很难分辨,阿姆瑞特拥有专门团队在不断地探查可以被用于进行钓鱼攻击的Internet内容,并可以保证这样的内容已被进行了分类,并更新到网页分类数据库中,通过这样的方法,使得员工免受钓鱼网站的侵害。
精确的网页分类
阿姆瑞特拥有专门的团队对互联网上的网页进行精确分类,例如:游戏、赌博、购物、运动、色情、非法社团、钓鱼等;该分类数据数多次获得国际大奖。同时提供“审计模式”功能,可以帮助企业对目前的网络应用分类,得出图表化的结果。
高性能
我们在全球许多地方都放置分类服务器,以通过Internet来为用户提供高速的连接。通过阿姆瑞特设备与全球服务器之间的VPN连接,我们把延时减到了最低,并提高了性能。此外,为了保证设备的性能,阿姆瑞特UTM在本地URL Cache存储最常用的URL,用于存储最经常被请求的页面,通过缓存机制提供性能保证。
病毒防护组件
阿姆瑞特UTM病毒防护组件内部集成了全球顶级防病毒厂商卡巴斯基的病毒特征库。可以对进出网络的电子邮件进行防病毒保护提供WEB防病毒保护,探测并阻止电子邮件与其它网络方式传输的病毒。凭借多元化的探测方法和强悍卡巴斯基病毒标识的数据库,保证其高度的精确性。通过ASIC加速卡保证卓越的性能。 具体技术特点如下:
◆ 扫描通过SMTP和POP3所携带的电子邮件附件;
◆ 扫描WEB电子邮件服务下载的邮件和通过HTTP和FTP从浏览器上下载的文件;
◆ 支持递归扫描,对压缩文档进行解压后病毒扫描;
◆ 智能的规则能够选择最快的监测机制或将每种文件类型与机制相结合;
◆ 整合病毒扫描与防火墙,消除了对单独系统文件定向的延误;
◆ 对扫描文件的大小、平行扫描的文件数量、以及病毒扫描的内存容量都没有限制;
◆ 全球病毒实时病毒库更新服务器可以确保您的病毒库保持最新;
◆ 采用硬件ASIC技术,保证设备的整体性能。
应用控制组件
阿姆瑞特UTM的应用程序控制组件可以对应用程序进行深入分析和控制。可以识别并控制即时消息工具和P2P应用程序,以及控制对一些无益的应用程序的使用。具体技术特点如下:
◆ 基于应用程序的带宽管理;
◆ 对网络应用全面管理,例如:控制哪个软件可以或者不能访问某个网络,可以确保木马程序不能发送你的敏感信息给那些不法分子;
◆ 对某种应用程序控制,例如:禁止内网用户玩某种网络游戏;
◆ 应用程序使用日志还可提供详细地的统计信息;
◆ 硬件加速,确保网络整体性能。
京公网安备11010502040985号
南京信息职业技术学院
首都经济贸易大学
