目录
统一威胁管理(Unified Threat Management),将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别. 目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽;有些病毒会控制主机权限、窃取用户数据;有些病毒甚至会对主机硬件造成破坏。
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
1.电子邮件:HTML正文可能被嵌入恶意脚本;邮件附件携带病毒压缩文件;
2.网络共享:病毒会搜索本地网络中存在的共享,包括默认共享,如ADMINS、IPC$、E$、D$、C$;
3.p2p共享软件:将自身复制到P2P共享文件夹;
4.系统漏洞:由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码。病毒往往利用系统漏洞进入系统,达到传播的目的。
5。广告软件/灰色软件:灰色软件是指不被认为是病毒木马,但对用户的计算机会造成负面影响的软件。比如说广告软件,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定而被安装。
单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
传统UTM是把多个盒子的功能,放在了一个盒子里面。物理上,盒子少了;但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测,每一次检测都必然增加了网络延迟。
NGFW使用高性能的智能感知引擎(IntelligentAwareness Engine,简称IAE),实现一体化检测,一体化处理。对于上送的流量,IAE引擎会识别出准确的协议和应用,然后由对应的协议解码模块深度解码,并把解码以后的各个字段和内容分类送给后续的环节,不同类型的内容,检测项也不尽相同,但是多种检测是并行的,速度更快。
NGFW采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。IAE引擎的安全检测是并行的,这样文件传输时延小,整体性能更高,用户体验也比较好。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
NGFW支持对使用以下协议传输的文件进行病毒检测:
NGFW支持对不同传输方向上的文件进行病毒检测。
如果要为协议中的某个应用配置不同的响应动作,可以在应用例外中完成。
如果用户认为某个病毒为误报,可以根据病毒ID配置病毒例外。
