控制变形：上网行为管理越发细化

早在2004年，当IDC第一次提出UTM概念的时候，从中就折射出两个内容：过滤与控制。只不过受限于当时的技术条件，过滤被防病毒所代表，而控制则是入侵防御的工作。但随着技术的发展，特别是各种新威胁的出现，这些概念都在发生变化。
在2007年，伴随着各种过滤技术的不断发展，新的控制技术也进入了应用化的阶段。目前的控制已不局限于入侵控制，而是更多地集中在企业内网控制，即常说的上网行为管理上。对此王景辉介绍说，此前用户关注内容过滤，但其最实用的部分还是关键字过滤，并在此基础上实现的内网控制。换句话说，企业希望某些信息不会外泄，不希望员工访问某些站点，都是要倚靠关键字检索进行处理。狭义上讲，上网行为管理的处理速度取决于关键字模式的查找速度。行为管理的关键就在于发现异常模式而切断连接，至于连接的切断模式也有各种方式，最好是能让用户知道是为什么被切断的。
目前，主要的上网行为管理模块都是基于P2P和IM应用的管理，包括对于流氓软件的防护，从而提高了企业内网用户的访问安全性能。
上网行为管理任属于应用层安全的一部分。如前所述，这对于UTM的系统性能影响是比较大的。因此将这部分功能模块独立出来，并添加额外功能形成专门的访问控制管理设备是一个趋势。
AC设备独立的初衷，还是希望利用更加智能的过滤技术，去弥补单纯的内容过滤无法涉及的部分。比如对于色情站点的禁止访问，利用URL无法对快速变化的色情网站进行实时控制，而HTTP过滤也无法对其进行100%控制（处非该站点伴随有其他类型的病毒、木马、间谍软件）。
而AC设备中的行为分析技术则是利用单独的行为管理模块，进行内容的审计和阻断。这方面的技术有两个分支：一个是采用类似防水墙的应用代理，通过Active X控间在客户端的安装实现对于系统进程的分析；另一个则不需要安装控间，完全通过关键字的内容检索，比如法轮攻信息，进行应用阻断。无论采用哪种方式，都可以对QQ、MSN等IM类软件，以及网站BBS的访问进行控制。
目前上网行为控制的难点在于，如何对特色应用进行阻挡。特别是一些国内流行的特色应用，比如QQ。这些应用往往采用私有协议，服务器非常多，而且版本变化相当快。当前主流的技术都是依靠UDP来伪造一些蜜罐服务器，并诱导QQ来连接，以次分析样本进行阻断。
另一个区别于集成模块的特点，就是独立的AC设备往往具备AAA身份认证能力与流量管理功能。对此陈胜权表示说，身分认证属于对资源的控制，包括对外对内两部分。通常可以通过Web方式提供用户名、密码的双因数认证，辅助对IP、MAC、交换机端口的多元素绑定，同时支持RADIUS设备。
这样做的好处是，如果某个企业员工访问了禁止的内容，网络管理员就可以定位到个人。而流量管理则可以分析网络中各种应用的占用情况，并实时进行监控，从而确保企业的核心业务不受影响。这两个是独立的AC设备最诱人的部分，普通的UTM无法实现。因为这里面体现了安全的不同唯度。

【相关文章】

• 选购UTM的注意事项与经验分享

• 并非情有独钟 UTM设备也受大型企业青睐

• UTM相关问题问答