UTM技术白皮书.docx

《UTM技术白皮书.docx》由会员分享，可在线阅读，更多相关《UTM技术白皮书.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、UTM 一体化平安网关技术白皮书二零一六年一月3功能列表操作系统支持多系统（23个）引导，并可而i置启动顺序支持系统分区备份，支持将系统A克隆至系统B支持多个系统配置文件，可导入导出恢复配置多系统设置可在Web界面上完成全部操作模版式配 置管理支持入侵防御功能模版及模版的自定义，可通过Web界面进行单击选择的方 式切换模版支持病毒防护功能模版及模版的自定义，可通过Web界面进行单击选择的方 式切换模版支持病毒防护引擎的扫描强度控制，Web界面单击进行快速扫描和完全扫描 工作模式的切换支持系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别， 分别对应不同防护强度，可通过Web界面单击选

2、择切换及通过外置按键一键 切换IPv6支持IPv6地址、地址组配置支持持IPv6平安控制策略设置，能针对IPV6的目的/源地址、目的/源服务端、服务、扩展头属性等条件进行平安访问规那么的设置支持IPv6静态路由支持IPv6/IPv4翻译策略技术，包括支持静态NAT-PT、动态NAT-PT、NAPT-PT 技术支持双栈、6t04隧道实现IPv6网络与IPv4网络访问网络适应 性可支持透明、路由、混合三种工作模式支持多出口环境下的复杂策略路由，策略路由条数200条以上支持基于链路探测的链路备份功能，探测间隔可自定义，在禁止ICMP协议的 情况下也可探测链路网关状态支持8O2.11B,8O2.11G

3、协议，支持设备作为WiFi热点（即AP）,为客户机提供无线平安接入服务除本地有线链路接入外，可提供至少一种其他媒介的灾备链路接入方案支持， 如3G广域网、VSAT卫星网、海事卫星网会话管理支持完善的会话管理功能，可按照源地址、目的地址、端口号或协议类型实 时显示当前会话；如存在地址转换，可按照转换前和转换后的IP对应显示支持基于IP、协议、连接数的方式统计会话，统计结果可导出支持会话临时阻断功能入侵防护支持IPv4和IPv6双栈协议下的入侵检测与防护内置IPS特征库，特征规那么数量不少于3, 000条，特征库可按分组进行管理， 并可自定义入侵攻击和应用软件的特征支持端口扫描和主机扫描防护支持I

4、P/MAC地址绑定的方式防止ARP欺骗，可采用手动建立或自动探测的方 式生成IP/MAC对支持入侵场景保存，可记录入侵行为相关的网络数据报文，报文可保存至U盘或某台内网服务器支持实时的入侵防护事件分级报警列表，可按事件的源IP、目的IP、协议、 时间等显示；通过不同的入侵防护事件实时阻断入侵源IP,阻断时间可控防病毒支持IPv4和IPv6双栈协议下的病毒扫描与防护支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个网 段内的病毒传输行为，用于高可靠性要求的旁路应用环境支持病毒感染主机分析与隔离，防止病毒进一步扩散，提高网络整体平安性除基本型防病毒引擎外，可扩展支持增强型防病毒引擎，

5、扩展后可包含基本 和增强型病毒库病毒库不少于600万种病毒特征应用管控支持IPv4和IPv6双栈协议下的上网行为管理支持对主流P2P下载、视频应用的管控，至少支持BitTorrent、电骡、迅雷 和PPLive、QQLive PPStream优酷网、土豆网、酷6网等支持WEB 2.0网络应用识别和过滤，至少支持20万种WEB应用管控，10种以 上分类进行控制识别和控制50种以上在线游戏软件，至少包括魔兽世界、反恐精英、天堂、 边锋、传奇、梦幻西游等识别和控制20种以上炒股软件，至少包括大智慧、同花顺、国泰君安等识别和控制常见文档类型的传输，包括但不限于电影类rmvb、flv. swf等文 件，

6、音乐类mp3、wma、wav、ogg等文件，且文档类型和分类库可自定义支持常见的如360平安卫士、金山毒霸等软件更新协议识别及控制，可识别 eBox、115网盘、YUNI0网盘、盛大网盘等网络存储应用支持WEB过滤，要求内置至少50类1000多万条以上的URL库，支持自定义 URL过滤流量控制 与优化基于主机的带宽管理，支持仅通过一条策略即可实现对指定的IP地址组里每 IP用户进行上下行限速，也可以只对单个IP进行上下行限速支持按照电影类型、图片类型、文本类型进行网络流量控制支持按成人网站、Web代理、人才招聘、反动言论、分裂国家、娱乐视频网 站分类的网络流量控制支持对P2P下载、P2P视频、

7、即时通讯、网络游戏等应用的网络流量控制业务趋势 分析支持按照指定的时间段，统计任一链路的上下行流量趋势曲线支持按照应用统计流量，并独立显示T0P10的应用及所占比例，可按照应用 识别特征库分类显示所有或局部分类的流量趋势曲支持按照URL访问类别统计流量，并独立显示T0P10的分类及所占比例，可 按照URL分类显示所有或局部分类的流量趋势曲线支持基于IP的升降序流量排名，并可统计占用带宽最大IP使用的应用及相 应流量Web女全具备500+针对Web服务攻击防护的特征库可对SQL注入攻击行为进行防护具备对XSS跨站脚本攻击行为的防护能力支持WEB服务器错误信息替换，防止服务器信息泄露主动防御支持I

8、Pv4和IPv6双栈协议下的主动防御能主动屏蔽恶意地址，以用于提前免疫包括病毒网站或者攻击源地址的攻击持主动防御功能，对服务器、主机进行后门、服务探测、文件共享、系统补 丁、IE漏洞等主动式扫描管理配置支持WEBUI/SSH/Telnet管理，支持数字证书和电子钥匙两种管理员认证方式支持用户可I己置的WEBUI接口，提供多套皮肤设置支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监 控可通过专用的集中管理系统实现对平安网关的集中设备监控、集中日志审计、 平安报警以及策略的统一制定和分发等功能，提供分级的策略管理功能支持基于VRRP技术的热备和负载均衡支持通过USB导出关键信

9、息时可选择信息列表，日志可按照模块存储在USB 设备中，并可设定定时自动导出支持按功能模块的配置导入导出功能支持日志中文化，可显示配置命令日志的操作人高可用性支持A-A,A-S模式，且切换时间小于2秒可在热备和集群工作模式下支持多台防火墙的配置自动同步特征库升级支持本地和远程特征库升级，支持用户自定义升级服务器及服务器地址配置4典型部署4.1 网络访问控制兼病毒防御解决方案天清汉马USG 一体化平安网关可以部署在Internet和内部网络之间，执行网络 访问控制功能，防止外部用户对内网核心资源的非法访问，同时，也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。天清汉马USG

10、 一体化平安网关 的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端， 只要使用的是标准的SMTP、POP3协议，天清汉马USG 一体化平安网关都可以对 电子邮件中的病毒进行过滤，防止病毒通过邮件传播。天清汉马USG 一体化平安网 关还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传 输过程中携带的病毒均可进行拦截。Internet图41病毒防御解决方案示意图4.2 入侵检测解决方案将天清汉马USG 一体化平安网关部属于防火墙之前，主要目的是防御来自于外 网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点，一旦防火墙遭到攻击后， 将会有很

11、大的机会造成网络中断。且防火墙仅具有四层封包解析的功能，对于利用七 层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS的保 护，除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外，对于所有进 出的封包均进行详细的七层分析，黑客利用合法方式进行非法存取的攻击将无所遁形。Web服务器图4-2网络入侵防御解决方案示意图4.3 应用监控解决方案企业单位在进行网路平安防护的时候往往只重视来自于外网的平安威胁，却忽略 了内网的平安防护。据统计目前企业所面临的平安威胁有40%来自于内网，包含了 带宽的滥用，无意义的上网行为，机密信息外泄以及恶意软件的使用等等。在内网行为管理解决

12、方案的网络拓扑中将天清汉马USG 一体化平安网关部属于 路由器与内网之间，主要目的是防御来自于内网的攻击，同时可针对于内网对于外网 的存取应用进行管理。通过使用天清汉马USG 一体化平安网关，可辨识多种类别如 IM/VoIP/P2P/FTP等的网路应用软件。除了开放与禁止的网络行为管理之外 还可针对不同的应用予以不同的带宽使用以及传输总量限制，可让企业网路实施弹性 管理，也不会因为防止网路攻击而影响到正常的网路访问，让企业的网路带宽投资得 到最高的回报。图4-3应用监控解决方案示意图1产品综述12产品特色2一体化平安引擎(ISE： Integrated Secure Engine ) 32.1

13、 统一策略4全功能万兆线速52.2 双引擎防病毒6一键式配置73功能列表84典型部署11网络访问控制兼病毒防御解决方案124.1 入侵检测解决方案13应用监控解决方案141产品综述作为中国UTM市场的领导者，启明星辰不断通过技术革新带给用户更高价值的 UTM产品。天清汉马USG 一体化平安网关采用了业界最先进的基于多核硬件架构和 一体化的软件设计，集防火墙、VPN、入侵防御（IPS）、防病毒、上网行为管理、内 网平安、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤等多种平安技术于一身， 高性能、绿色低炭，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计 等功能，为网络边界

14、提供了全面实时的平安防护，帮助用户抵御日益复杂的平安威胁。天清汉马USG一体化平安网关采用了一体化的设计方案，在一个产品中协调统一 地实现了接入平安需要考虑的方方面面，采用天清汉马USG一体化平安网关，可以从 整体上解决了接入平安的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因 为多个产品难于维护管理而苦恼，天清汉马USG一体化平安网关是低本钱、高效率、 易管理的理想解决方案。天清汉马USG 一体化平安网关产品线丰富，可以为政府、教育、金融、企业、能 源、运营商等用户提供所需要的全系列的平安防护产品。自从天清汉马USG 一体化平安网关推向市场以来，很快就凭借其强大的功能和在 实际应用中优

15、异表现，赢得了众多机构和用户的广泛赞誉。2产品特色2.1 一体化平安引擎(ISE： Integrated Secure Engine)天清汉马USG 一体化平安网关采用高效的统一防御引擎ISE。它将应用协议分析、 异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化 各子系统，去除冗余，简化数据处理流程，实现统一的平安引擎处理机制。VPNIPSec SSLVPN VPN认证带宽管理|流量控制 画而7应用防护威胁特征库ISE一体化平安引擎VSOS2.6系统平台专用硬件平台图2-1 一体化平安引擎示意图ISE克服了传统上各个平安引擎单独为战的缺点，通过高效的引擎集成技术，将各

16、 个平安功能有机地整合为一体，协议分析机、应用识别、内容检测、异常分析等引擎 协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，同时采用联想的 专利技术一一基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。一体化平安引擎通过多协议融合分析技术和事件关联再分析技术，综合内容实体, 时间因素,提高了平安事件的检测率。ISE采用标准化的技术，对内提供统一服务接口， 使平安功能易于扩展，充分满足平安需求的快速开展;对外实现平安策略的统一配置， 给用户带来可管理的等级化平安。2.2 统一策略决定统一平安引擎执行效率的重要因素，要看对设备下发的平安策略是否单次执 行，如果平安策略是分

17、散在各功能模块里单独设置的，那么是不可能由统一的引擎进 行解析的，因为这样的策略执行路径只能是串行独立执行。天清汉马USG 一体化平安网关从最初研发开始就是以统一策略为指导思想，产品 功能可以很复杂，但策略必须是集成下发的，产品在一条策略里可以完成对传统防火 墙五元组的控制，以及依据应用、内容和用户区分的控制，同时完成更高级的带宽管 理、Web防护、数据库防护、URL过滤、入侵防御和防病毒控制。一次执行图2-2统一策略单次执行天清汉马USG 一体化平安网关通过统一平安引擎和统一策略的融合设计思想，总 体目标为了简化设备配置流程，提高设备使用效率，让用户面对繁多的功能时轻松自 如、灵活应对。2.

18、3 全功能万兆线速图2-3天清汉马USG 一体化平安网关高负载下的高威胁特征检出率通过业务处理引擎的高效预检机制和协议加速引擎的快速转发设计，天清汉马 USG 一体化平安网关可以在混合攻击包和病毒文件及多种应用特征的混合负载下，实 现防火墙、防病毒、入侵防御、内容过滤等全功能翻开时的万兆全时线速处理能力。但这还远远不能表达出天清汉马USG 一体化平安网关的性能优势，我们假设威胁 特征的检出率是70% （尽管业界一直在努力追求100%,多数时候这个假设仍是比拟 实际的），在4G负载的情况下到达这个检出率是正常水准，为了保持检出率不下降有 些产品采用了牺牲性能的方法，就是当负载到达某个程度，比方4

19、.5G的时候，系统吞 吐量无法再继续上升。相对的，得益于特征匹配优化算法，天清汉马USG一体化平安 网关可以在保持威胁特征检出率不变的情况下，支持到达万兆的吞吐处理能力。2.4 双引擎防病毒当前网络攻击越来越频繁，变种病毒、未知病毒种类越来越多，传统的病毒防护 已经无法从根本上应对日益频发的新型病毒。启明星辰天清汉马USG 一体化平安网关 新版本通过对防病毒模块的不断优化，推出了双防病毒引擎（标准引擎、增强引擎） 和双病毒库（标准病毒库、增强型病毒库），此设计一方面防止不同引擎因设计思路不 同而发生的个别漏报情况，另一方面双引擎合并内置病毒库的数量到达600W以上， 全面实现对各种标准/变种病毒、蠕虫的准确查杀2.5 一键式配置启明星辰独特的一键式配置，实现复杂设备的简单管理，降低用户的管理本钱。高一高平安等级：可定义严格的平安策略，如：只开通业务系统中一中平安等级：可定义较严格的平安策略，如:放宽至WEB和Email低一低平安等级：可定义宽松的平安策略，如：仅对病毒进行过滤