اشتراک مقالات

منظور از Unified Threat Management یا UTM چیست؟ چه مزایایی دارد؟

59 مشاهده 0 16 آذر, 1403

UTM چیست

UTM چیست؟ UTM packet flow یا Unified Threat Management به فرآیند مدیریت و تحلیل ترافیک شبکه به منظور شناسایی و جلوگیری از تهدیدات امنیتی اشاره دارد. این سیستم‌ها معمولاً مجموعه‌ای از ویژگی‌ها و ابزارها را در یک پلتفرم واحد ترکیب می‌کنند که شامل فایروال، آنتی‌ویروس، سیستم تشخیص نفوذ، و Web Filtering می‌شود.

لایسنس اسپلانک

کاربردهای مهم UTM packet flow چیست؟

تحلیل ترافیک: UTM می‌تواند ترافیک شبکه را مانیتور کرده و الگوهای غیرمعمول یا مشکوک را شناسایی کند.

جلوگیری از نفوذ: با کمک سیستم‌های تشخیص و جلوگیری از نفوذ، UTM قادر است حملات را شناسایی و متوقف کند.

مدیریت قوانین امنیتی: این سیستم‌ها می‌توانند قوانین امنیتی را به راحتی مدیریت کرده و اعمال کنند.

پیشگیری از ویروس‌ها و بدافزارها: UTM با استفاده از قابلیت‌های آنتی‌ویروس، ترافیک مشکوک را شناسایی و مسدود می‌کند.

بیشتر بخوانید: پیاده‌سازی فایروال نسل بعدی Fortinet و UTM در پلتفرم و محیط VMware NSX

کنترل وب: مدیران شبکه می‌توانند دسترسی به وب‌سایت‌های خاص را کنترل کرده و از بزرگ‌نمایی و محتوای نامناسب جلوگیری

UTM به عنوان یک راهکار جامع امنیتی برای مدیریت تهدیدات مختلف طراحی شده است. این سیستم‌ها به‌طور کلی عملکردهای چندین دستگاه امنیتی را در یک دستگاه واحد ترکیب می‌کنند که همین موضوع به ساده‌تر شدن مدیریت امنیت شبکه کمک می‌کند.

مراحل Packet Flow در UTM چیست؟

ورود بسته‌ها Packet Ingress:

زمانی که بسته‌های داده به شبکه وارد می‌شوند، UTM آن‌ها را دریافت کرده و تحلیل می‌کند. این بسته‌ها می‌توانند شامل درخواست‌هایی از کاربران یا اطلاعات ارسالی از دستگاه‌های مختلف باشند.

تحلیل اولیه بسته‌ها:

UTM با استفاده از پروتکل‌های مشخص و الگوریتم‌های تجزیه و تحلیل، عنوان، مبدأ، مقصد، و نوع داده‌های موجود در بسته را بررسی می‌کند.

جلوگیری از نفوذ Intrusion Prevention System – IPS:

در این مرحله، UTM به جستجوی الگوهای شناخته شده حملات پرداخته و مقایسه‌ای میان داده‌های ورودی و پایگاه داده تهدیدات موجود انجام می‌دهد. اگر یک تهدید شناسایی شود، بسته‌های خطرناک مسدود می‌شوند.

فیلترینگ وب:

UTM می‌تواند به بررسی درخواست‌های وب بپردازد و ترافیک را برای شناسایی محتوای نامناسب یا خطرناک فیلتر کند. به عنوان مثال، می‌تواند از دسترسی به سایت‌های خبری جعلی یا نامناسب جلوگیری کند.

اسکن ویروس و بدافزار:

UTM چیست؟ UTM به اسکن بسته‌ها برای ویروس‌ها و بدافزارها می‌پردازد. این سیستم می‌تواند محتوای مشکوک را شناسایی کرده و آن‌ها را از ترافیک شبکه حذف کند.

خروج بسته‌ها یا Packet Egress:

پس از اینکه بسته‌ها از تمامی مراحل امنیتی عبور کردند، به مقصد نهایی ارسال می‌شوند. در این مرحله، UTM گزارشاتی از فعالیت‌ها و تحلیل‌هایی که انجام داده است تولید می‌کند.

مزایای استفاده از UTM

مدیریت متمرکز: با ترکیب چندین قابلیت امنیتی در یک پلتفرم، UTM به مدیران شبکه این امکان را می‌دهد که همه‌چیز را در یک مکان مدیریت کنند و نیاز به چندین دستگاه و نرم‌افزار را مرتفع سازد.

کاهش هزینه‌ها: با استفاده از UTM، هزینه‌های خرید، نصب و نگهداری دستگاه‌های چندگانه کاهش می‌یابد.

بهبود کارایی: UTM به سبب پردازش یکپارچه بسته‌ها و ترافیک می‌تواند زمان تأخیر را به حداقل برساند و عملکرد شبکه را بهبود بخشد.

پاسخ سریع به تهدیدات: با یک سیستم متمرکز، شناسایی و پاسخ به تهدیدات می‌تواند سریع‌تر و مؤثرتر انجام شود.

UTM packet flow به عنوان یک ابزار قدرتمند در مدیریت و حفاظت از زیرساخت‌های شبکه عمل می‌کند. با تحلیل و مدیریت ترافیک به صورت جامع، می‌تواند تهدیدات مختلف را به حداقل برساند و امنیت سازمان‌ها را تضمین کند. بنابراین، UTM به ویژه برای کسب‌وکارهای کوچک و متوسط که نیاز به یک راهکار جامع و کارآمد دارند، بسیار مناسب است.

وقتی یک واحد FortiProxy برای بررسی مبتنی بر Proxy پیکربندی می‌شود، در ابتدا Packetها با موتور IPS مواجه می‌شوند، که اگر Policy فایروال که ترافیک را می‌پذیرد پیکربندی شده باشد، IPS و Application Control را به‌صورت Single-Pass اعمال می‌کند.

سپس Packetها برای بررسی مبتنی بر Proxy به FortiProxy UTM/NGFW proxy ارسال می‌شوند. Proxy اول مشخص می‌کند که آیا ترافیک از نوع SSL Traffic است که باید برای بررسی SSL رمزگشایی شود یا نه. ترافیک SSL که قرار است بررسی شود، باید توسط Proxy رمزگشایی گردد. رمزگشایی SSL توسط پردازنده‌های CP8 و CP9 تسریع شده و به آن‌ها Offload می‌گردد. بررسی مبتنی بر Proxy محتوایی مثل فایل‌ها و صفحات وب را از Sessionهای محتوا استخراج و Cache می‌کند و محتوای Cacheشده را برای پیدا کردن تهدیدات بررسی می‌نماید. بررسی محتوا طبق ترتیب زیر اتفاق می‌افتد:

  1. DLP
  2. Anti-Spam
  3. Web Filtering
  4. ICAP
  5. Antivirus و Image Analyzer
  6. بهینه‌سازی WAN و Web caching

اگر تهدیدی پیدا نشود، Proxy محتوا را به مقصد خود Relay می‌کند. اگر تهدیدی پیدا شود، Proxy می‌تواند تهدید را مسدود کرده و آن را با یک پیام جایگزینی، جایگزین کند.

ترافیک SSL رمزگشایی‌شده به موتور IPS ارسال می‌شود جایی که می‌توان IPS و Application Control را اعمال کرد و بعد دوباره وارد Proxy می‌شود که بررسی مبتنی بر Proxy اصلی در آن به ترافیک SSL رمزگشایی‌شده اعمال می‌گردد. بعدازاینکه ترافیک SSL رمزگشایی‌شده بررسی شد، دوباره رمزگذاری شده و به مقصد خود Forward می‌گردد. رمزگذاری SSL توسط پردازنده‌های CP8 و CP9 تسریع شده و به آن‌ها Offload می‌گردد. اگر تهدیدی پیدا شود، Proxy می‌تواند تهدید را مسدود کرده و آن را با یک پیام جایگزینی، جایگزین کند.

ICAP ترافیک HTTP و HTTPS را رهگیری کرده و آن را به سرور ICAP ارسال می‌کند. واحد FortiProxy جانشین یا مرد میانی است و پاسخ‌های ICAP را از سرور ICAP به ICAP Client می‌برد؛ سپس ICAP Client پاسخ می‌دهد و واحد FortiProxy تعیین می‌کند که چه اقدامی باید با این پاسخ‌ها و درخواست‌های ICAP انجام شود.

 

مطلب مفید بود؟

 
بیشتر بخوانید