在UTM中实现反垃圾邮件的优势
    在UTM中实现反垃圾邮件,有其下列四方面的独特的优势。
1.部署位置得天独厚
    从部署的位置来看,UTM靠近邮件服务器,具有先天的地利优势。从邮件服务器转发,或者转发给邮件服务器的邮件,可以很自然地投递到UTM并进行垃圾邮件检查。
2.选择与部署简便
    在UTM上通常通过授权控制来给用户提供高级安全特性,用户在采购时可以根据自己的安全需求情况,选择诸如防病毒、***防御和反垃圾邮件模块这样的功能。用户甚至一开始并没有意识到防垃圾邮件的需求,而仅仅采购UTM来实现访问控制和病毒防护,在他们需要防垃圾邮件时,所需要的仅仅是购买反垃圾邮件的授权,将功能开启,而不必对现有的网络环境做任何改动。
    另外在UTM上,业务和访问控制都通过安全策略来进行实现,通过安全策略的灵活运用,亦可以使得垃圾邮件的使用更加灵活。例如对于企业用户来说,垃圾邮件通常都来自外部(互联网);而在公司内部的邮件往来中,基本上可以排除垃圾邮的可能。在UTM上,可以通过配置安全策略,对外网到内网的邮件进行检查,而对于内网不同安全域之间的邮件往来,则可以不进行垃圾邮件过滤。这样就减少了资源的耗费,使得网关处的安全实施更加有效率。
3.具备技术共享和复用的条件
    通常所说的内容过滤,是指对网络行为进行监控,防止某些特定内容在网络上进行传输的技术,例如URL过滤、Web网页内容过滤、脚本和控件的过滤等。而反垃圾邮件首先是要识别出垃圾邮件并对其进行过滤,其中很重要的一方面就是通过对邮件主题、正文内容的识别,达到分辨垃圾邮件的目的。从这个角度来说,我们也可以认为反垃圾邮件是内容过滤的一个方面。
    URL过滤、Web网页内容过滤、脚本和控件过滤等功能在UTM上都已经具备,而实现这些功能的技术是可以为反垃圾邮件采用的。例如我们在Web网页上过滤的,通常是涉及×××、政治言论等敏感性话题的不良内容,而垃圾邮件是这类内容传播的另一个重要途径。在UTM的垃圾邮件过滤中整合内容过滤这一部分内容时,要使用同样的过滤规则库,只要在协议处理上做一些更改即可,这样就可大大提高资源的使用效率。
4.安全性优势突出
    根据中国互联网协会反垃圾邮件中心的统计,超过5%的垃圾邮件是以病毒传播为目的的。除去病毒之外,现在互联网上很多的钓鱼***、网络欺诈、病毒和间谍软件,都是通过垃圾邮件来传播的,而传统的反垃圾邮件网关,其优势在于对垃圾邮件特征的研究,但在病毒检测、***防御方面的作用不太突出。UTM由于整合了防病毒、***防御功能,恰恰可以很好地弥补这一缺陷。UTM可以对邮件正文、邮件附件内容进行深度扫描和全面检测,即使不符合垃圾邮件的特征,但如果能检测到病毒和威胁,还是可以对其进行阻断的。
    图7-4显示了一些通过邮件进行传播蠕虫病毒和***的事件。 
图7-4 通过邮件进行传播蠕虫病毒和***的事件 
    例如在“蠕虫病毒”中可以看到有一条“POP3_可疑病毒邮件[ToadieE-mail]”事件,该事件表示ToadieE mail病毒正通过邮件附件被接收。ToadieE病毒是一种可执行程序,能够通过网上聊天站点和电子邮件进行传播。用户如果不小心接收并激活了该病毒,病毒就开始搜寻其他可执行程序并感染它们,最后导致所有的可执行文件无法正常运行。在通常的反垃圾邮件网关中,因为缺少病毒库和病毒引擎的支持,无法对通过邮件进行传播的蠕虫病毒做到很好的检测,而UTM则可以调用病毒引擎,在进行垃圾邮件过滤的同时,检测到邮件中的病毒并进行清除。
    再如一个缓冲溢出***的例子,“IMAP_Ipswitch_Imail_LOGIN_远程缓冲区溢出***”表明IP地址主机正试图利用Ipswitch的Imail邮件服务器的LOGIN命令漏洞***目的IP地址主机。Imail邮件服务器是Windows操作系统上的第一个邮件服务器软件,也是应用最广泛的邮件服务器之一,目前全世界有超过4900万来自不同行业的用户使用Imail作为邮件服务平台。如果充分利用Imail的LOGIN漏洞,远程***者可以以系统管理员的权限来执行任意指令,危害相当之大。
    对于这种针对特定协议的应用层***事件,需要通过深层检测技术来进行识别并进一步进行阻断,而普通的反垃圾邮件网关,能做到的只是根据特征来识别垃圾邮件,并对其进行过滤。而***防御则是UTM最基本的功能,以庞大的事件库为基础,通过高效的检测引擎,完全可以从邮件协议中识别出***行为并对其进行阻断。
    通过上面的例子可以看到,在UTM上实现反垃圾邮件的功能有独特的优势,如果能充分发挥这些优势,开发出简单、易用、高效的反垃圾邮件功能,对广受垃圾邮件困扰的广大用户来说,无疑是一件好事。 
 
本文节选自电子工业出版社2009年4月出版的 《UTM(统一威胁管理)技术概论》一书。
 
到卓越网购买
 
浏览更多精彩文章>>
订阅软件安全电子期刊>>