UTM设备的检测流量并识别判断哪些流量违反了设定的策略。对不同的威胁采用多重的检测方式。每种检测方式都有其自有的特点、优势与劣势。
1、基于数据流的检测
基于流量的检查,也被称为基于数据流的检测,数据进入UTM防火墙并进行模式匹配以识别是否含有恶意内容。这样的检测并不如同基于代理的检测那样重组数据,基于代理的检测我们稍候讨论。
基于数据流检测是分析数据块,而不是完全的重建通信会话包括文件的所有组成部分。这样便大量消减了UTM防火墙分析数据所需时间。
2、数据流检测的优势
检测速度是基于数据流检测的主要优势。因数据检测与数据处理的时间缩短,基于数据流检测要不基于代理的检测机制要快。不幸的是,基于流的检查机制不如基于代理的检测机制更具有完整性,这意味着可能会错过一些恶意内容。基于数据流检测的优点,同时也是它的缺点。虽然忽略的具体内容检测,提高了速度,数据中数据包携带的数据仍是未经过检测的。根据入侵或攻击的类型,流量检测方法可能会错过某些漏洞的发现。
3、基于代理的检测
基于代理的检测机制是对进入UTM防火墙的内容进行重建并执行全面的内容检查,查看可能存在的安全威胁。它并不像基于流检测那样采样数据,而是检查的通信会话的全部内容包括其文件。
UTM防火墙在安全检查的环节中作为代理。设备下载内容的协议会话的负载,重新构建,然后进行内容检测。如果内容干净,则发送到客户端。如果检测到病毒或其他安全问题,在文件(或网页、或任何内容)发送到客户端之前删除问题内容。
4、基于代理检测的优势
基于代理检测相比数据流检测的主要优势是提供的安全级别。基于代理的检测更侧重于对内容的细节性检测,所以更彻底。比基于数据流检测机制能捕获更多的恶意内容与威胁。另一方面,代理方式的深度检查,需要更多的处理能力,它会引起降低网络吞吐量和延迟增加。
基于代理的检测提供了一个高水平的安全性,并提供增强的协议的意识,但在延迟在高速环境中的吞吐量和更低的成本。
本文由:飞塔UTM于(2012-10-01)发表了关于UTM防火墙为你的网络选择对的检测技术的文章
。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
