UTM統(tǒng)一威脅管理技術(shù)課件

1、 UTM:統(tǒng)一威脅管理技術(shù)整理發(fā)布第1頁(yè)，共35頁(yè)。主 講 內(nèi) 容 1 UTM 提出的背景、定義、功能及特征 2 UTM 的典型技術(shù) 3 UTM 的優(yōu)勢(shì)及目前存在的問(wèn)題 4 UTM 的適用場(chǎng)合、廠商及產(chǎn)品 5 UTM 的一個(gè)典型應(yīng)用解決方案 6 UTM 的發(fā)展趨勢(shì) 7 小 結(jié)第2頁(yè)，共35頁(yè)。UTM 提 出 的 背 景 隨著網(wǎng)絡(luò)的日益發(fā)展和繁多的應(yīng)用軟件的不斷更新，使得“復(fù)雜性”已成為企業(yè)IT管理部門(mén)工作的代名詞。IT管理者不得不面對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)攻擊，這些網(wǎng)絡(luò)攻擊方式已從傳統(tǒng)的簡(jiǎn)單網(wǎng)絡(luò)層數(shù)據(jù)攻擊升級(jí)到多層次的混合型攻擊。新興的混合型攻擊通過(guò)組合多種威脅方法加大了危害的嚴(yán)重性，它將數(shù)種獨(dú)立的病

2、毒結(jié)合起來(lái)，通過(guò)極度難以防犯的攻擊渠道進(jìn)行傳播和實(shí)施攻擊。因此IT管理者不得不付出更多的維護(hù)成本來(lái)管理自己的網(wǎng)絡(luò)，而隨著網(wǎng)絡(luò)安全設(shè)備的增加，在一臺(tái)機(jī)器設(shè)備上投入的人力物力必然同等地N倍放大，這使得網(wǎng)絡(luò)安全維護(hù)成本也必然同期膨脹，與此同時(shí)IT管理者也深刻感受到分散安全機(jī)制所帶來(lái)的管理不便。第3頁(yè)，共35頁(yè)。UTM 提 出 的 背 景（續(xù)） 而傳統(tǒng)安全方法卻正在失效。如今最流行的傳統(tǒng)安全產(chǎn)品是狀態(tài)檢測(cè)防火墻、入侵檢測(cè)系統(tǒng)和基于主機(jī)的防病毒軟件。但它們面對(duì)新一代安全威脅作用卻越來(lái)越小。 1 從用戶(hù)角度來(lái)說(shuō)，雖然安裝了防火墻，但是還避免不了蠕蟲(chóng)泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。此外，基于網(wǎng)絡(luò)

3、傳播的病毒、帶有黑客程序的木馬和間諜軟件等都是混合型的安全威脅，傳統(tǒng)的防火墻設(shè)備已經(jīng)不能滿(mǎn)足防范的需求。另外傳統(tǒng)防火墻的問(wèn)題還在于黑客已研究出大量方法來(lái)繞過(guò)防火墻策略。 2 從未大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品來(lái)看，在提前預(yù)警方面存在著先天的不足，且精確定位和全局管理方面還有很大的空間。第4頁(yè)，共35頁(yè)。UTM 提 出 的 背 景（續(xù)） 3 雖然很多用戶(hù)在單機(jī)、終端都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問(wèn)題，還包括安全策略的執(zhí)行、外來(lái)非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。 所以說(shuō)，雖然傳統(tǒng)安全方法已經(jīng)立下了赫赫戰(zhàn)功，并且仍然在發(fā)揮著歷史作用，但是用戶(hù)已漸漸感覺(jué)到其不足之處。 由此看來(lái)

4、，為了有效地防御目前的混合型威脅，就需要求助于新型的安全設(shè)備。這些安全設(shè)備能夠通過(guò)簡(jiǎn)單的配置和管理，以較底維護(hù)成本為用戶(hù)提供一個(gè)高級(jí)別保護(hù)的“安全島”。統(tǒng)一威脅管理(UTM)的概念就是應(yīng)這一需求產(chǎn)生的。第5頁(yè)，共35頁(yè)。UTM的定義 UTM（Unified Threat Management）是英文“統(tǒng)一威脅管理”的縮寫(xiě), 美國(guó)著名的IDC對(duì)統(tǒng)一威脅管理（UTM）安全設(shè)備的定義是：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能。它將多種安全特性集成于一個(gè)硬設(shè)備里,構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。這和單純地在防火墻中整合其它安全功能不同，因?yàn)閁TM更注重的是“對(duì)設(shè)備和對(duì)

5、威脅的管理”，它致力于將各種各樣的網(wǎng)絡(luò)安全威脅消彌于無(wú)形之中，以達(dá)到防患于未然的終極目標(biāo)。它對(duì)于終端普通消費(fèi)者來(lái)說(shuō)是透明的，而這正是目前的消費(fèi)市場(chǎng)所期望的。第6頁(yè)，共35頁(yè)。UTM的功能 UTM設(shè)備應(yīng)該具備的基本功能包括：網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)防御和網(wǎng)關(guān)防病毒功能。這幾項(xiàng)功能并不一定要同時(shí)都得到使用，但它們應(yīng)該是UTM設(shè)備自身固有的功能。UTM安全設(shè)備也可能包括其它功能特性，例如安全管理、日志、策略管理、服務(wù)質(zhì)量（QoS）、負(fù)載均衡（LB）、高可用性（HA）和報(bào)告帶寬管理等。不過(guò)，其它特性通常都是為主要的安全功 能服務(wù)的。第7頁(yè)，共35頁(yè)。UTM的功能（續(xù)） UTM系統(tǒng)平臺(tái)的綜合功能 第8頁(yè)

6、，共35頁(yè)。UTM的特征 （個(gè)）1深度檢測(cè) 用戶(hù)需要基于深度數(shù)據(jù)包檢測(cè)（DPI）的防火墻?；跔顟B(tài)數(shù)據(jù)包檢測(cè)（SPI）的防火墻僅能夠處理來(lái)自互聯(lián)網(wǎng)威脅的2%。2個(gè)體差異 所有的UTM防火墻并非都是一樣的，當(dāng)然不同的深度數(shù)據(jù)包檢測(cè)防火墻也有所不同，有些就不能高效地處理大流量和大尺寸文件。 3動(dòng)態(tài)更新 為使所采用的安全技術(shù)能夠滿(mǎn)足未來(lái)要求，必須采用動(dòng)態(tài)保護(hù)。可動(dòng)態(tài) 連續(xù)更新的安全設(shè)備正在成為事實(shí)上的行業(yè)標(biāo)準(zhǔn)。4高度集成 高度集成的設(shè)備是關(guān)鍵。部署分離的設(shè)備和技術(shù)也可獲得某種形式的統(tǒng)一威脅管理，但在管理和維護(hù)方面的成本卻翻了幾翻，并且實(shí)施的成本也非常高昂。在當(dāng)前情況下，這種點(diǎn)式解決方案的成本高昂又難

7、于管理。 第9頁(yè)，共35頁(yè)。UTM的特征 （續(xù)）5網(wǎng)絡(luò)全協(xié)議層防御 防火墻僅作為簡(jiǎn)單的二到四層的防護(hù)。防火墻主要是針對(duì)一些像IP、端口等這樣一些靜態(tài)的信息進(jìn)行防護(hù)和控制，但真正的安全不能只停留在底層，需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問(wèn)控制之外，還要對(duì)防垃圾郵件、拒絕服務(wù)、黑客攻擊等這樣的一些外部的威脅起到綜合檢測(cè)和治理的效果，能夠?qū)崿F(xiàn)七層協(xié)議保護(hù)，而不僅局限于二到四層。6有高檢測(cè)技術(shù)來(lái)降低誤報(bào) 作為一個(gè)串聯(lián)接入的網(wǎng)關(guān)設(shè)備，一旦誤報(bào)過(guò)高，對(duì)用戶(hù)來(lái)說(shuō)是一個(gè)災(zāi)難性的后果。IPS這個(gè)理念在九十年代就已經(jīng)提出來(lái)，但是從目前全世界對(duì)IPS的部署情況看，非常有限，影響部署的一個(gè)最大問(wèn)題就是誤

8、報(bào)率。而采用高技術(shù)門(mén)檻的分類(lèi)檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，因此，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲(chóng)和黑客攻擊、防垃圾郵件的攻擊、防違規(guī)短信攻擊等，有效整合可降低誤報(bào)率。第10頁(yè)，共35頁(yè)。UTM的特征 （續(xù)）7 有高可靠、高性能的硬件平臺(tái)支撐對(duì)于UTM時(shí)代的防火墻，在保障網(wǎng)絡(luò)安全的同時(shí)，也不能 成為網(wǎng)絡(luò)應(yīng)用的瓶頸，防火墻/UTM必須以高性能、高可靠性的專(zhuān)用芯片及專(zhuān)用硬件平臺(tái)為支撐，以避免UTM設(shè)備在復(fù)雜環(huán)境下其可靠性和性能不佳可能帶來(lái)的對(duì)用戶(hù)核心業(yè) 務(wù)正常運(yùn)行的威脅。8 UTM一體化的統(tǒng)一管理 由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)

9、，使用戶(hù)能夠有效地管理。第11頁(yè)，共35頁(yè)。UTM的典型技術(shù)（5個(gè)） 完全性?xún)?nèi)容保護(hù)（CCP） 完全性?xún)?nèi)容保護(hù)(Complete Content Protection, 簡(jiǎn)稱(chēng)CCP)提供對(duì)OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實(shí)時(shí)保護(hù)。這種方法比防火墻狀態(tài)檢測(cè)（檢查數(shù)據(jù)包頭）和深度包檢測(cè)（在狀態(tài)檢測(cè)包過(guò)濾基礎(chǔ)上提供額外檢查）等技術(shù)先進(jìn)。它具備在千兆網(wǎng)絡(luò)環(huán)境中，實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象的能力，而且重組之后的應(yīng)用層對(duì)象可以通過(guò)動(dòng)態(tài)更新病毒和蠕蟲(chóng)特征來(lái)進(jìn)行掃描和分析。CCP還可探測(cè)其它各種威脅，包括不良 Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚(yú)欺騙。 ASIC 加速技術(shù) ASIC芯片是UT

10、M產(chǎn)品的一個(gè)關(guān)鍵組成部分。它是為提供千兆級(jí)實(shí)時(shí)的應(yīng)用層安全服務(wù)的平臺(tái)，它是專(zhuān)門(mén)為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)所必不可少的。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時(shí)內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù) 據(jù)包掃描，以及流量整形的加速功能。第12頁(yè)，共35頁(yè)。UTM的典型技術(shù)（續(xù)） 定制的操作系統(tǒng)（OS）專(zhuān)用的強(qiáng)化安全的OS提供精簡(jiǎn)的、高性能防火墻和內(nèi)容安全檢測(cè)平 臺(tái)?；趦?nèi)容處理加速模塊的硬件加速，加上智能排隊(duì)和管道管理，OS使各種類(lèi)型流量的處理時(shí)間達(dá)到最小，從而給用戶(hù)提供最好的實(shí)時(shí)系統(tǒng)，有效實(shí)現(xiàn)防病毒、防火墻、VPN、反垃圾郵件、IDP等功能。 緊密

11、型模式識(shí)別語(yǔ)言 (CPRL) 緊密型模式識(shí)別語(yǔ)言（Compact Patten Recognition Language, 簡(jiǎn)稱(chēng)CPRL）是針對(duì)完全的內(nèi)容防護(hù)中大量計(jì)算程式所需求的加速而設(shè)計(jì)的。狀態(tài)檢測(cè)防火墻、防病毒檢測(cè)和入侵檢測(cè)的功能要求，引發(fā)了新的安全算法包括基于行為的啟發(fā)式算法。 通過(guò)硬件與軟件的結(jié)合，加 上智能型檢測(cè)方法，識(shí)別的效率得以提高。 第13頁(yè)，共35頁(yè)。UTM的典型技術(shù)（續(xù)） 動(dòng)態(tài)威脅管理檢測(cè)技術(shù)動(dòng)態(tài)威脅防御系統(tǒng)（Dynamic Threat Prevention System, 簡(jiǎn)稱(chēng)DTPS）是由針對(duì)已知和未知威脅而增強(qiáng)檢測(cè)能力的技術(shù)。DTPS將防病毒、IDS、IPS和防火

12、墻等各種安全模塊無(wú)縫集成在一起，將其中的攻擊信息相互關(guān)聯(lián)和共享，以識(shí)別可疑的惡意流量特征。DTPS通過(guò)將各種檢測(cè)過(guò)程關(guān)聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測(cè)活動(dòng)，并通過(guò)啟發(fā)式掃描和異常檢測(cè)引擎檢查，提高整個(gè)系統(tǒng)的檢測(cè)精確度。第14頁(yè)，共35頁(yè)。UTM的典型技術(shù)（續(xù)）動(dòng)態(tài)威脅防御系統(tǒng)的體系結(jié)構(gòu)第15頁(yè)，共35頁(yè)。UTM的優(yōu)勢(shì)（10點(diǎn)） 1 能夠防御混合型攻擊： UTM設(shè)備將防病毒和入侵檢測(cè)功能融合于防火墻之中， 成為防 御混合型攻擊的利劍?；旌闲偷墓艨赡芄テ茊吸c(diǎn)型的安全方 案，但卻很可能在統(tǒng)一安全方案面前敗下陣來(lái)。2 降低了復(fù)雜性： 一體化的設(shè)計(jì)簡(jiǎn)化了產(chǎn)品選擇、集成和支持服務(wù)的工作量。簡(jiǎn)單的使用、方

13、便的安裝是威脅管理安全設(shè)備最關(guān)鍵的優(yōu)點(diǎn)。對(duì)于沒(méi)有專(zhuān)業(yè)信息安全人員及技術(shù)力量相對(duì)薄弱的組織來(lái)說(shuō)，使用UTM產(chǎn)品可以提高這些組織應(yīng)用信息安全設(shè)施的質(zhì)量。第16頁(yè)，共35頁(yè)。UTM的優(yōu)勢(shì)（續(xù)） 3 避免了軟件安裝工作和服務(wù)器的增加： 安全服務(wù)商、產(chǎn)品經(jīng)銷(xiāo)商甚至最終用戶(hù)通常都能很容易的安裝和維護(hù)這些設(shè)備，而且這一過(guò)程還可以遠(yuǎn)程操作進(jìn)行。4 減少了維護(hù)量： 這些設(shè)備通常都是即插即用的黑盒子，相關(guān)的安裝、維護(hù)工作量會(huì)減少。如果出現(xiàn)問(wèn)題，可以直接通過(guò)設(shè)備替換來(lái)解決問(wèn)題。5 可以和高端軟件解決方案協(xié)同工作： 當(dāng)硬件設(shè)備安裝在企業(yè)沒(méi)有專(zhuān)業(yè)安全管理人員的遠(yuǎn)程地點(diǎn)，由于設(shè)備可以很容易的安裝并通過(guò)遠(yuǎn)程遙控來(lái)管理它，這

14、種管理方式可以很好的和已安裝的大型集中式的軟件防火墻協(xié)同工作。第17頁(yè)，共35頁(yè)。UTM的優(yōu)勢(shì)（續(xù)） 6 避免誤操作風(fēng)險(xiǎn)： 用戶(hù)通常都傾向于嘗試各種操作，而安全設(shè)備的“黑盒子”設(shè)計(jì)限制了用戶(hù)危險(xiǎn)操作的可能，降低了誤操作隱患，提高了安全性。7 更容易的排錯(cuò)： 當(dāng)一臺(tái)設(shè)備出現(xiàn)故障之后，即使是一個(gè)非專(zhuān)業(yè)人員也可以很容易的用另外一臺(tái)設(shè)備替換它，使網(wǎng)絡(luò)盡快恢復(fù)正常。這項(xiàng)特性對(duì)于那些沒(méi)有專(zhuān)職技術(shù)人員的遠(yuǎn)程辦公室顯得尤為重要。8 應(yīng)用的靈活性： UTM 設(shè)備能為用戶(hù)定制安全策略，提供靈活性。用戶(hù)既可以使用UTM 的全部功能，也可酌情使用最需要的某一特定功能。第18頁(yè)，共35頁(yè)。UTM的優(yōu)勢(shì)（續(xù)） 9 集中的

15、安全日志管理： UTM設(shè)備能提供全面的管理、報(bào)告和日志平臺(tái)，用戶(hù)可以統(tǒng)一地管理全部安全特性，包括特征庫(kù)更新和日志報(bào)告等。10 整合帶來(lái)成本降低： 將多種安全功能整合在同一產(chǎn)品當(dāng)中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮作用，相比于單個(gè)功能的累加功效更強(qiáng)，頗有一加一大于二的意味。有關(guān)人士做過(guò)一個(gè)估算：傳統(tǒng)百兆防火墻價(jià)格78萬(wàn)元，如果加上防毒、防垃圾郵件等安全產(chǎn)品，總成本在30萬(wàn)左右。而購(gòu)買(mǎi)UTM產(chǎn)品，價(jià)格僅10萬(wàn)元左右。第19頁(yè)，共35頁(yè)。 UTM目前存在的問(wèn)題（4點(diǎn)）1 性能 由于UTM自身的檢測(cè)是多方面的，而且這些檢測(cè)結(jié)果還要用于阻斷/通行的判斷。因此，目前UTM設(shè)備的HA能力普遍要弱于防火墻和路由

16、器。2 穩(wěn)定性 對(duì)于安全設(shè)備來(lái)說(shuō)，穩(wěn)定性是尤其重要的。即使可以通過(guò)設(shè)計(jì)上的提高增強(qiáng)設(shè)備的穩(wěn)定性，在目前條件固定的情況下，UTM安全設(shè)備的穩(wěn)定性相對(duì)于單功能的安全設(shè)備仍然要低一些，也就是說(shuō)UTM安全設(shè)備的穩(wěn)定性要求更難達(dá)成。3 安全性 UTM將所有的安全功能置于一臺(tái)設(shè)備之內(nèi)，使得UTM可能會(huì)成為網(wǎng)絡(luò)中的單點(diǎn)故障。一旦UTM安全設(shè)備出現(xiàn)問(wèn)題，所有的安全防御措施將陷入停頓；而一旦UTM安全設(shè)備被成功侵入或突破，整個(gè)網(wǎng)絡(luò)也將被赤裸裸地暴露在打擊之下。4 UTM其中的單個(gè)安全功能也許不是同類(lèi)功能中最好的第20頁(yè)，共35頁(yè)。UTM 的 適 用 場(chǎng) 合 對(duì)UTM的功能特點(diǎn)、自身限制等方面進(jìn)行綜合分析，可以發(fā)

17、現(xiàn)UTM的主要適用者應(yīng)當(dāng)就是：中小企業(yè)、中小辦公用戶(hù)以及多分支機(jī)構(gòu)。 隨著性能的提高，大型企業(yè)甚至服務(wù)提供商也開(kāi)始部署UTM設(shè)備，教育、金融和電信等行業(yè)需求明確。大型企業(yè)和行業(yè)應(yīng)用是UTM市場(chǎng)潛力巨大的一大領(lǐng)域，在目前UTM技術(shù)應(yīng)用中，金融和電信占整個(gè)市場(chǎng)份額的4050%，煙草、石油及石化等行業(yè)市場(chǎng)開(kāi)發(fā)潛力不可低估。第21頁(yè)，共35頁(yè)。UTM 廠 商 國(guó)內(nèi)廠商:有深信服、聯(lián)想網(wǎng)御、華為3Com、啟明星辰等。國(guó)外廠商：有4家比較領(lǐng)先 WatchGuard：據(jù)調(diào)查，2005年第二季度，WatchGuard已經(jīng)成為全球中端統(tǒng)一威脅管理（UTM）安全設(shè)備市場(chǎng)的領(lǐng)導(dǎo)廠商，設(shè)備銷(xiāo)量高居榜首。Fortine

18、t：Fortinet以基于ASIC芯片加速防病毒的UTM設(shè)備在2003年獲得了3090萬(wàn)美元的銷(xiāo)售額，以29.5%的份額領(lǐng)先于全球UTM市場(chǎng)。 Symantec：Symantec是領(lǐng)先的軟件安全供應(yīng)商，在2003年以2400萬(wàn)美元的銷(xiāo)售額占據(jù)UTM市場(chǎng)第二位，市場(chǎng)占有率為22.9%。 Secure Computing：Secure Computing是從軟件廠商轉(zhuǎn)變?yōu)橛布O(shè)備廠商的，以2280萬(wàn)美元的銷(xiāo)售額排名第三，市場(chǎng)占有率為21.7%。 第22頁(yè)，共35頁(yè)。UTM 產(chǎn) 品 1 WatchGuard 產(chǎn)品： WatchGuard的產(chǎn)品集成了強(qiáng)大的垃圾郵件過(guò)濾和多層反間諜軟件保護(hù)功能，可保護(hù)客

19、戶(hù)網(wǎng)絡(luò)免受間諜軟件導(dǎo)致的系統(tǒng)死機(jī)、身份盜用、企業(yè)數(shù)據(jù)丟失等威脅，提供超越典型統(tǒng)一威脅管理設(shè)備的更有效的安全保護(hù)。2 Fortinet 產(chǎn)品： Fortinet的產(chǎn)品在軟件設(shè)計(jì)上采用冗余方式，多進(jìn)程相互監(jiān)測(cè)，發(fā)現(xiàn)UTM設(shè)備出現(xiàn)問(wèn)題能夠自動(dòng)重起。為了避免可能發(fā)生的單點(diǎn)故障，F(xiàn)ortinet 還提供了FortiBridge這樣的穿透式設(shè)備(在斷電時(shí)自動(dòng)變?yōu)榕月肥?，它采用“失效開(kāi)放”架構(gòu)，能夠發(fā)送真實(shí)的包，通過(guò)監(jiān)測(cè)協(xié)議來(lái)判斷UTM設(shè)備的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)UTM設(shè)備不能工作，F(xiàn)ortiBridge可把業(yè)務(wù)流量接管過(guò)來(lái)，維持網(wǎng)絡(luò)暢通。第23頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案 現(xiàn)結(jié)合國(guó)內(nèi)某著名

20、大型能源企業(yè)的案例，來(lái)介紹UTM設(shè)備在網(wǎng)絡(luò)安全保護(hù)中的作用和特點(diǎn)。 用戶(hù)需求分析 目前某大型能源企業(yè)廣域網(wǎng)呈星形分布，以北京為中心，通過(guò)專(zhuān)線方式與全國(guó)十個(gè)區(qū)域網(wǎng)絡(luò)中心相連，各區(qū)域中心直接連接地區(qū)分公司。廣域網(wǎng)IP地址采用保留地址10.x.x.x。地址段由總部統(tǒng)一分配，各地區(qū)公司內(nèi)部的地址由各自分配?？偛亢透鲄^(qū)域網(wǎng)絡(luò)中心有獨(dú)立的Internet入口，均可通過(guò)當(dāng)?shù)氐腎SP直接接入Internet，出口帶寬根據(jù)網(wǎng)絡(luò)規(guī)模從10M到100M不等。由于業(yè)務(wù)關(guān)系，該企業(yè)用戶(hù)經(jīng)常出差進(jìn)行遠(yuǎn)程辦公，需要通過(guò)Internet訪問(wèn)企業(yè)內(nèi)網(wǎng)資源，從企業(yè)廣域網(wǎng)實(shí)際情況來(lái)看，應(yīng)從以下方面對(duì)安全進(jìn)行分析： 第24頁(yè)，共35

21、頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)）1 鏈路層 用戶(hù)通過(guò)Internet訪問(wèn)內(nèi)網(wǎng)資源，黑客可能在公網(wǎng)鏈路上使用網(wǎng)絡(luò)嗅探器竊取用戶(hù)的機(jī)密信息。2 網(wǎng)絡(luò)層 由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCP/IP協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個(gè)網(wǎng)絡(luò)就會(huì)受到來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。尤其在Internet中存在著大量的黑客攻擊，他們常常針對(duì)Web服務(wù)器和郵件服務(wù)器作為突破口，進(jìn)行網(wǎng)絡(luò)攻擊和滲透。常見(jiàn)的手法包括IP欺騙、重放或重演、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。 第25頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)）3 應(yīng)用層 網(wǎng)絡(luò)中運(yùn)行著不同的操作

22、系統(tǒng)，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。一名黑客可以通過(guò)緩存溢出、造成死機(jī)等方式進(jìn)行破壞，甚至取得主機(jī)管理員的權(quán)限。企業(yè)廣域網(wǎng)與Internet相連，進(jìn)行著包括WEB、FTP、E-mail、DNS等各種Internet應(yīng)用。黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點(diǎn)對(duì)其進(jìn)行攻擊 。應(yīng)用層的安全威脅還包括對(duì)各種不良網(wǎng)絡(luò)內(nèi)容的訪問(wèn)，例如內(nèi)網(wǎng)用戶(hù)訪問(wèn)非法或不良網(wǎng)站。每天發(fā)送的大量垃圾郵件也占用了大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，還可能將病毒傳入內(nèi)網(wǎng)。近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲(chóng)病毒的傳播也會(huì)大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊（DoS）。第26頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)）

23、 產(chǎn)品選擇 從用戶(hù)的安全威脅分析我們可以看出，傳統(tǒng)的網(wǎng)絡(luò)層防火墻只能針對(duì)IP地址、端口等參數(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾，對(duì)應(yīng)用層的安全威脅的防御能力很有限。復(fù)雜的網(wǎng)絡(luò)入侵、病毒、不良內(nèi)容、垃圾郵件等可以輕易的穿越傳統(tǒng)防火墻進(jìn)入用戶(hù)內(nèi)網(wǎng)。需要使用集成多種安全功能的綜合安全產(chǎn)品來(lái)保護(hù)用戶(hù)的網(wǎng)絡(luò)。統(tǒng)一威脅管理（UTM）設(shè)備是集防火墻、防病毒、入侵檢測(cè)、VPN等多項(xiàng)功能于一身的安全產(chǎn)品，能給用戶(hù)提供最全面的安全保護(hù)。 要完全過(guò)濾應(yīng)用層安全威脅（病毒、不良內(nèi)容等），就必須在安全設(shè)備上對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行緩存和重組，然后調(diào)用各個(gè)安全掃描引擎（如防病毒、入侵檢測(cè)、內(nèi)容檢查等）進(jìn)行掃描，這些工作對(duì)于系統(tǒng)性能的要求非常高。

24、 第27頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)） 產(chǎn)品選擇 使用軟件方式來(lái)實(shí)現(xiàn)統(tǒng)一威脅管理（UTM）的產(chǎn)品往往由于性能上的瓶頸大大降低了網(wǎng)絡(luò)傳輸速度，因此在高帶寬網(wǎng)絡(luò)中的實(shí)用性不強(qiáng)。 而Fortinet公司的FortiGate系列是業(yè)界唯一集防火墻、防病毒、入侵防御(IPS)、VPN和內(nèi)容過(guò)濾、反垃圾郵件等多項(xiàng)功能于一身的統(tǒng)一威脅管理（UTM）設(shè)備，可對(duì)進(jìn)出企業(yè)網(wǎng)絡(luò)的流量進(jìn)行黑客攻擊、病毒、入侵、不良內(nèi)容和垃圾郵件等的全方位過(guò)濾。自主研發(fā)的ASIC芯片硬件處理方式大大提升了UTM產(chǎn)品的性能，在幾乎不影響網(wǎng)絡(luò)速度的情況下提供千兆級(jí)的內(nèi)容處理能力，適合各種規(guī)模企業(yè)的安全應(yīng)用需求。第28頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)） 方案介紹 某大型企業(yè)網(wǎng)絡(luò)安全解決方案示意圖 第29頁(yè)，共35頁(yè)。 UTM 的一個(gè)典型應(yīng)用解決方案（續(xù)） 方案介紹 如上圖，首先在企業(yè)總部出口處部署2臺(tái)FortiGate-3000，配置成負(fù)載均衡式HA結(jié)構(gòu)。負(fù)載均衡式HA不但可以提供網(wǎng)絡(luò)的高可靠性，在兩臺(tái)設(shè)備同時(shí)工作時(shí)還可提供約2倍于單臺(tái)設(shè)備的性能，為企業(yè)出口安全過(guò)濾提供足夠的性能。 同樣,在每個(gè)區(qū)域網(wǎng)絡(luò)中心與Internet之間各部署1臺(tái)FortiGate-3000，提供與總部同樣