網(wǎng)安設(shè)備選型規(guī)范V10

網(wǎng)安設(shè)備選型規(guī)范網(wǎng)絡(luò)安全設(shè)備選型框架 XXXX科技有限責(zé)任公司2016年5月文檔更新記錄日期更新人版本備注2016/3/21V0.5創(chuàng)建文檔及主干框架2016/3/31V0.6進(jìn)行二次修改，填充內(nèi)容2016/4/4V0.8填充UTM等設(shè)備內(nèi)容2016/4/5V0.9補(bǔ)充信息并完善2016/4/8V1.0重新修改，排版引言因設(shè)備參考選型工作之因，需對(duì)硬件有較為深入的知識(shí)體系架構(gòu)了解，為本部門與相關(guān)項(xiàng)目設(shè)備選型提供相對(duì)專業(yè)技術(shù)支持。因此通過查詢資料及詢問相關(guān)廠家設(shè)備信息，完成以下文檔。按照網(wǎng)絡(luò)從外到內(nèi)：從光纖>電腦客戶端，設(shè)備依次有：路由器（可做端口屏蔽，帶寬管理Qos，防泛洪flood攻擊等）防火墻（有普通防火墻和UTM等，可以做網(wǎng)絡(luò)三層端口管理、IPS（入侵檢測(cè)）、IDS（入侵防御）、IDP（入侵檢測(cè)防御）、安全審計(jì)認(rèn)證、防病毒、防垃圾和病毒郵件、流量監(jiān)控（QOS）等）行為管理器（可做UTM的所有功能、還有一些完全審計(jì)，網(wǎng)絡(luò)記錄等等功能，這個(gè)比較強(qiáng)大）核心交換機(jī)（可以劃分vlan、屏蔽廣播、以及基本的acl列表），而安全的網(wǎng)絡(luò)連接方式：現(xiàn)在流行的有MPLSVPN，SDH專線、VPN等，其中VPN常見的包括（SSLVPN\ipsecVPN\PPTPVPN等）。在這些設(shè)備中所涉及的內(nèi)容主要包括參數(shù)、功能、接口、技術(shù)類型、廠商等的框架信息。由于資料原因，目前信息仍然不夠健全，且由于技術(shù)更新太快已無(wú)法跟上網(wǎng)安設(shè)備的更新變化速度，因此造成了信息的遲滯性甚至不準(zhǔn)確。這些問題留待日后更新解決。 目錄引言 31、網(wǎng)絡(luò)安全設(shè)備 71.1信息安全與安全產(chǎn)品 71.2信息安全技術(shù)規(guī)范 91.3網(wǎng)安總體選型原則 92、硬件防火墻 122.1具體選型原則 122.2主流設(shè)備廠家 132.3設(shè)備詳細(xì)信息 152.3.1重要選擇參數(shù) 152.3.2主要技術(shù)類型 182.3.3主要架構(gòu) 252.3.4接口類型 272.3.5主要功能 282.3.6安裝位置 293、入侵檢測(cè)IDS 303.1性能評(píng)價(jià)標(biāo)準(zhǔn) 313.2主流設(shè)備廠家 323.3設(shè)備詳細(xì)信息 333.3.1重要選擇參數(shù) 333.3.2主要技術(shù)類型 343.3.3主要構(gòu)成 343.3.4接口類型 353.3.5主要功能 353.3.6安裝位置 364．入侵防御IPS 384.1具體性能要求 384.2主流設(shè)備廠家 394.3設(shè)備詳細(xì)信息 404.3.1重要選擇參數(shù) 404.3.2主要技術(shù)類型 414.3.3接口類型 424.3.4主要功能 424.3.5部署位置 424.4IDS和IPS的區(qū)別和選擇 445、統(tǒng)一威脅管理設(shè)備UTM 465.1具體選型原則 465.2主流設(shè)備廠家 485.3設(shè)備詳細(xì)信息 495.3.1重要選擇參數(shù) 495.3.2主要設(shè)備類型 505.3.3接口類型 505.3.4主要功能 506、其他常見設(shè)備 546.1防病毒網(wǎng)關(guān) 546.1.1防病毒網(wǎng)關(guān)簡(jiǎn)介 546.1.2基本特性 556.1.3重要參數(shù) 566.1.4主流廠商 566.1.5部署位置 586.1.6與防火墻區(qū)別 606.1.7與防病毒軟件區(qū)別 616.2VPN安全網(wǎng)關(guān) 616.2.1VPN網(wǎng)關(guān)簡(jiǎn)介 616.2.2基本特性 626.2.3重要參數(shù) 636.2.4主流廠商 646.2.5部署方案 666.3網(wǎng)絡(luò)審計(jì)系統(tǒng) 666.3.1網(wǎng)絡(luò)審計(jì)系統(tǒng) 666.3.2基本特性 666.3.3重要參數(shù) 676.3.4主流廠商 676.3.5審計(jì)類型 686.3.6審計(jì)內(nèi)容 697.規(guī)范總結(jié) 718.參考文檔 72網(wǎng)絡(luò)安全設(shè)備1.1信息安全與網(wǎng)絡(luò)安全產(chǎn)品（1）信息安全模型 國(guó)際標(biāo)準(zhǔn)化組織定義：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意原因而遭到破壞，更改和泄露。信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。 圖1.1信息安全模型（2）網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全不僅包括網(wǎng)絡(luò)信息的存儲(chǔ)安全，還涉及信息的產(chǎn)生、傳輸和使用過程中的安全。網(wǎng)絡(luò)安全從其本質(zhì)上來說就是網(wǎng)絡(luò)上的信息安全。（3）網(wǎng)絡(luò)安全防護(hù)產(chǎn)品：防火墻、防水墻WEB防火墻、網(wǎng)頁(yè)防篡改入侵檢測(cè)、入侵防御、防病毒統(tǒng)一威脅管理UTM身份鑒別、虛擬專網(wǎng)加解密、文檔加密、數(shù)據(jù)簽名物理隔離網(wǎng)閘、終端安全與上網(wǎng)行為管理內(nèi)網(wǎng)安全、審計(jì)與取證、漏洞掃描、補(bǔ)丁分發(fā)安全管理平臺(tái)災(zāi)難備份產(chǎn)品1.2信息安全技術(shù)規(guī)范 圖1.2信息安全國(guó)標(biāo)1.3網(wǎng)安總體選型原則（1）中國(guó)網(wǎng)絡(luò)安全產(chǎn)品概覽中國(guó)的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)廠家基本可分為三類：國(guó)家級(jí)的專業(yè)信息安全產(chǎn)品供應(yīng)廠家、新興的專業(yè)信息安全產(chǎn)品供應(yīng)廠家和國(guó)外廠家。從功能上，常用的一些信息安全產(chǎn)品有：加密產(chǎn)品、防火墻、防病毒產(chǎn)品、入侵檢測(cè)產(chǎn)品、虛擬專網(wǎng)產(chǎn)品，此外，還有身份鑒別產(chǎn)品、證書機(jī)關(guān)、物理安全產(chǎn)品。加密產(chǎn)品是非常傳統(tǒng)的信息安全產(chǎn)品，主要提供信息加密功能。加密產(chǎn)品一般可以分為鏈路加密、網(wǎng)絡(luò)加密、應(yīng)用加密和加密協(xié)處理器等幾個(gè)層次的產(chǎn)品。防火墻是用于實(shí)施網(wǎng)絡(luò)訪問控制的產(chǎn)品，是最常見也是中國(guó)國(guó)內(nèi)技術(shù)非常成熟的信息安全產(chǎn)品之一。防病毒產(chǎn)品是中國(guó)國(guó)內(nèi)最早出現(xiàn)并大規(guī)模使用的信息安全產(chǎn)品。國(guó)內(nèi)外生產(chǎn)的廠家很多，目前能夠在國(guó)內(nèi)獲得一定市場(chǎng)的都是不錯(cuò)的產(chǎn)品。入侵檢測(cè)產(chǎn)品是近一兩年發(fā)展起來的，主要用于檢測(cè)網(wǎng)絡(luò)攻擊事件的發(fā)生。國(guó)內(nèi)外供貨廠家也較多。身份鑒別產(chǎn)品也屬于非常傳統(tǒng)的產(chǎn)品，目前技術(shù)成熟的是一些基于信息技術(shù)的鑒別產(chǎn)品。一些基于生理參數(shù)（如：指紋、眼紋）的技術(shù)和產(chǎn)品發(fā)展很快，已經(jīng)有成熟產(chǎn)品推出。虛擬專網(wǎng)產(chǎn)品是利用密碼技術(shù)和公共網(wǎng)絡(luò)構(gòu)建專用網(wǎng)絡(luò)的一種設(shè)備，該設(shè)備集成了網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、遠(yuǎn)程管理技術(shù)、鑒別技術(shù)等于一體，是用戶以非常低的成本構(gòu)建專用網(wǎng)絡(luò)的一種非常重要的產(chǎn)品。證書機(jī)關(guān)是一類非?；A(chǔ)的產(chǎn)品，任何基于證書體制實(shí)現(xiàn)安全的信息系統(tǒng)都需要該產(chǎn)品。物理安全產(chǎn)品是非常特殊的信息安全產(chǎn)品，如干擾器、隔離計(jì)算機(jī)、隔離卡等，其主要功能是確保信息處理設(shè)備的物理安全，提供諸如防電磁輻射、物理隔離等功能。（2）信息安全產(chǎn)品選型指南信息安全產(chǎn)品的種類比較多。許多安全產(chǎn)品的功能上也有一定交叉。您在選型時(shí)一定要牢記以下幾個(gè)基本原則：適用原則。絕對(duì)的安全是不存在的，因此您必須具有“安全風(fēng)險(xiǎn)”意識(shí)。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對(duì)的安全。企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無(wú)法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對(duì)主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國(guó)許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會(huì)給信息安全產(chǎn)品的選型帶來很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對(duì)矛盾。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評(píng)估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對(duì)信息安全產(chǎn)品進(jìn)行選型。詳細(xì)信息見附件：2、硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。它的安全和穩(wěn)定，直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。因此，日常例行的檢查對(duì)于保證硬件防火墻的安全是非常重要的。 圖2.1深信服硬件防火墻 2.1具體選型原則（1）總擁有成本和價(jià)格:

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有的成本不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。防火墻的最終功能將是管理的結(jié)果，而非工程上的決策。

（2）明確系統(tǒng)需求:

即用戶需要什么樣的網(wǎng)絡(luò)監(jiān)視、冗余度以及控制水平?？梢粤谐鲆粋€(gè)必須監(jiān)測(cè)怎樣的傳輸、必須允許怎樣的傳輸流通行，以及應(yīng)當(dāng)拒絕什么傳輸?shù)那鍐巍?/p>

（3）應(yīng)滿足企業(yè)特殊要求:

企業(yè)安全政策中的某些特殊需求并不是每種防火墻都能提供的，這常會(huì)成為選擇防火墻時(shí)需考慮的因素之一，比如：加密控制標(biāo)準(zhǔn)，訪問控制，特殊防御功能等。

（4）防火墻的安全性:

防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能，普通用戶通常無(wú)法判斷。用戶在選擇防火墻產(chǎn)品時(shí)，應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過了國(guó)家權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。

（5）防火墻產(chǎn)品主要需求：企業(yè)級(jí)用戶對(duì)防火墻產(chǎn)品主要需求是：內(nèi)網(wǎng)安全性需求,細(xì)度訪問控制能力需求,VPN

需求,統(tǒng)計(jì)、計(jì)費(fèi)功能需求,帶寬管理能力需求等，這些都是選擇防火墻時(shí)側(cè)重考慮的方面。

（6）管理與培訓(xùn):

管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

（7）可擴(kuò)充性:

網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用都有可能隨著新技術(shù)的出現(xiàn)而增加，網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升，因此便需要增加具有更高安全性的防火墻產(chǎn)品。具體要求見下列文檔2.2主流設(shè)備廠家（1）國(guó)內(nèi)廠家：華為（USG系列產(chǎn)品，如USG5120，USG5520S，USG6390等）、天融信、網(wǎng)康、啟明星辰等 圖2.2華為USG6390華為USG6390產(chǎn)品參數(shù)重要參數(shù)網(wǎng)絡(luò)端口：8GE+4SFP控制端口：暫無(wú)數(shù)據(jù)外形設(shè)計(jì)：暫無(wú)數(shù)據(jù)產(chǎn)品尺寸：442×421×43.6mm主要參數(shù)設(shè)備類型：下一代防火墻網(wǎng)絡(luò)端口：8GE+4SFPVPN支持：支持入侵檢測(cè)：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對(duì)設(shè)備的本地配置、遠(yuǎn)程維護(hù)、集中管理等多種手段，并提供完備的診斷、告警、測(cè)試等功能安全標(biāo)準(zhǔn)CE，ROHS，CB，UL，VCCI處理器多核處理器一般參數(shù)電源AC:100-240V最大功率：170W產(chǎn)品尺寸：442×421×43.6mm產(chǎn)品重量：10kg適用環(huán)境工作溫度：0℃-40℃工作濕度：10%-95%其他性能環(huán)境感知、應(yīng)用安全、入侵防御、Web安全、郵件安全、數(shù)據(jù)安全、安全虛擬化、網(wǎng)絡(luò)安全、路由特性、部署及可靠性、智能管理產(chǎn)品特性擴(kuò)展槽位：2×WSIC產(chǎn)品形態(tài)：1UHDD：選配300GB單硬盤，支持熱插拔（2）國(guó)外廠家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等 圖2.2CISCOASA5512-K9

整體外觀圖CISCOASA5512-K9詳細(xì)參數(shù)重要參數(shù)網(wǎng)絡(luò)端口：6個(gè)GE接口控制端口：2個(gè)USB2.0接口，1個(gè)console端口外形設(shè)計(jì)：1U產(chǎn)品尺寸：42.4×429×395mm主要參數(shù)設(shè)備類型下一代防火墻并發(fā)連接數(shù)100,000網(wǎng)絡(luò)吞吐量，狀態(tài)檢測(cè)吞吐量最大：1Gbps，多協(xié)議狀態(tài)檢測(cè)吞吐量：500Mbps，IPS吞吐量：250Mbps網(wǎng)絡(luò)端口6個(gè)GE接口控制端口2個(gè)USB2.0接口，1個(gè)console端口VPN支持支持一般參數(shù)電源AC100-240V，50/60Hz，4.85A外形設(shè)計(jì)1U產(chǎn)品尺寸42.4×429×395mm產(chǎn)品重量6.07kg其他性能includesfirewallservices，250IPsecVPNpeers，2SSLVPNpeers，6copperGigabitEthernetdataports，1copperGigabitEthernetmanagementport，1ACpowersupply，3DES/AESencryption具體信息見下列文檔：2.3設(shè)備詳細(xì)信息2.3.1重要選擇參數(shù)●吞吐量：在不丟包的情況下單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量

（1）定義：在不丟包的情況下能夠達(dá)到的最大每秒包轉(zhuǎn)發(fā)數(shù)量

（2）衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能

圖2.3數(shù)據(jù)吞吐示意圖

●時(shí)延：數(shù)據(jù)包最后一個(gè)比特進(jìn)入防火墻到第一比特從防火墻輸出的時(shí)間間隔

（1）定義：入口處輸入幀的最后1個(gè)比特到達(dá)，至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔

（2）衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度圖2.4時(shí)延

●丟包率：通過防火墻傳送時(shí)所丟失數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率

（1）定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

（2）衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響

圖2.5丟包率計(jì)算

●并發(fā)連接數(shù)：防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目

（1）定義：指穿越防火墻的主機(jī)之間,或主機(jī)與防火墻之間，能同時(shí)建立的最大連接數(shù)。

（2）衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來測(cè)試防火墻建立和維持TCP連接的性能，同時(shí)也能通過并發(fā)連接數(shù)的大小體現(xiàn)防火墻對(duì)來自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力圖2.6并發(fā)連接示意圖

●新建連接數(shù)：在不丟包的情況下每秒可以建立的最大連接數(shù)

（1）定義：指穿越防火墻的主機(jī)之間，或主機(jī)與防火墻之間，單位時(shí)間內(nèi)建立的最大連接數(shù)。

（2）衡量標(biāo)準(zhǔn)：新建連接數(shù)主要用來衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力

圖2.7新建連接示意圖詳細(xì)的技術(shù)參數(shù)及性能要求見如下文檔2.3.2主要技術(shù)類型（1）包過濾防火墻

也叫分組過濾防火墻。根據(jù)分組包的源、目的地址，端口號(hào)及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。

【優(yōu)點(diǎn)】

●

高效、透明

【缺點(diǎn)】

●不能防范部分的黑客IP欺騙類攻擊

●不能跟蹤TCP連接的狀態(tài)

●不支持應(yīng)用層協(xié)議

●對(duì)管理員要求高

【判斷依據(jù)】

●數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等

●源、目的IP地址

●源、目的端口：FTP、HTTP、DNS等

●IP選項(xiàng)：源路由選項(xiàng)等

●TCP選項(xiàng)：SYN、ACK、FIN、RST等

●其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等

●數(shù)據(jù)包流向：in或out

●數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1 圖2.8包過濾防火墻工作區(qū)域

包過濾防火墻應(yīng)用實(shí)例：

圖2.9包過濾防火墻應(yīng)用實(shí)例（2）應(yīng)用網(wǎng)關(guān)防火墻

也叫應(yīng)用代理防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序；對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。

【優(yōu)點(diǎn)】

●

安全性高

●

提供應(yīng)用層的安全

●

可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)

【缺點(diǎn)】

●性能差

●伸縮性差

●只支持有限的應(yīng)用

●不透明

●難于配置

●處理速度較慢

圖2.10應(yīng)用網(wǎng)關(guān)防火墻工作區(qū)域

圖2.11應(yīng)用網(wǎng)關(guān)防火墻工作模型

一個(gè)Telnet代理的例子：

圖2.12應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用實(shí)例（3）狀態(tài)檢測(cè)防火墻

又稱動(dòng)態(tài)包過濾防火墻。對(duì)于新建立的應(yīng)用連接，狀態(tài)檢測(cè)型防火墻先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過；記錄下該連接的相關(guān)信息，生成狀態(tài)表；對(duì)該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過。目前的狀態(tài)檢測(cè)技術(shù)僅可用于TCP/IP網(wǎng)絡(luò)。

圖2.13狀態(tài)檢測(cè)防火墻工作區(qū)域

狀態(tài)檢測(cè)防火墻處理示意圖： 圖2.14狀態(tài)監(jiān)測(cè)防火墻工作流程

【優(yōu)點(diǎn)】

●

連接狀態(tài)可以簡(jiǎn)化規(guī)則的設(shè)置

●

提供了完整的對(duì)傳輸層的控制能力

●

使防火墻性能得到較大的提高，特別是大流量的處理能力

●

根據(jù)從所有層中提取的與狀態(tài)相關(guān)信息來做出安全決策，使得安全性也得到進(jìn)一步的提高

【缺點(diǎn)】

●對(duì)應(yīng)用層檢測(cè)不夠深入4、傳統(tǒng)火墻的弱點(diǎn) 圖2.15傳統(tǒng)包過濾防火墻過濾過程

傳統(tǒng)的包過濾和狀態(tài)檢測(cè)防火墻弱點(diǎn)如下：

●沒有深度包檢測(cè)來發(fā)現(xiàn)惡意代碼

●不進(jìn)行包重組

●惡意程序可以通過信任端口建立隧道穿過去

●傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊分組過

5、深度檢測(cè)防火墻

●深度檢測(cè)技術(shù)深入檢查通過防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷

●以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包

●可以更有效的辨識(shí)和防護(hù)緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、各種欺騙性技術(shù)以及蠕蟲病毒

圖2.16深度檢測(cè)防火墻工作過程

6、復(fù)合型防火墻 圖2.17復(fù)合型防火墻工作模型2.3.3主要架構(gòu)在未來的網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的基于x86體系結(jié)構(gòu)的工控機(jī)防火墻已不能滿足寬帶網(wǎng)絡(luò)高吞吐量、低時(shí)延的要求，而網(wǎng)絡(luò)處理器（NetworkProcessor）和專用集成電路（ASIC）技術(shù)被以為是未來千兆防火墻的主要方向。（1）X86架構(gòu)：最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過去一直是防火墻開發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺(tái)，x86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會(huì)受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。同時(shí)很多X86架構(gòu)的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會(huì)存在安全漏洞。（2）ASIC架構(gòu)：相比之下，ASIC防火墻通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。ASIC通過把指令或計(jì)算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點(diǎn)也同樣明顯，它的靈活性和擴(kuò)展性不夠，開發(fā)費(fèi)用高，開發(fā)周期太長(zhǎng)，一般耗時(shí)接近2年。雖然研發(fā)成本較高，靈活性受限制、無(wú)法支持太多的功能，但其性能具有先天的優(yōu)勢(shì)，非常適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。目前，NetScreen在ASIC防火墻領(lǐng)域占有優(yōu)勢(shì)地位，而我國(guó)的首信也推出了我國(guó)基于自主技術(shù)的ASIC千兆防火墻產(chǎn)品。（3）NP架構(gòu)：NP可以說是介于兩者之間的技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級(jí)，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計(jì)支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)品的生命周期更長(zhǎng)。由于防火墻處理的就是網(wǎng)絡(luò)數(shù)據(jù)包，所以基于NP架構(gòu)的防火墻與X86架構(gòu)的防火墻相比，性能得到了很大的提高。NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。但是，相比于X86架構(gòu)，由于應(yīng)用開發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)該說，NP是X86架構(gòu)和ASIC之間的一個(gè)折衷。目前NP的主要提供商是Intel和Motorola，國(guó)內(nèi)基于NP技術(shù)開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。從上面可以看出，X86架構(gòu)、NP和ASIC各有優(yōu)缺點(diǎn)。X86架構(gòu)靈活性最高，新功能、新模塊擴(kuò)展容易，但性能肯定滿足不了千兆需要。ASIC性能最高，千兆、萬(wàn)兆吞吐速率均可實(shí)現(xiàn)，但靈活性最低，定型后再擴(kuò)展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時(shí)也具有一定的靈活性。三種架構(gòu)綜合比較：架構(gòu)類型X86NPASIC靈活性高中低擴(kuò)展性高中低開放性中高低穩(wěn)定性低中高性能最高2Gbps千兆可達(dá)萬(wàn)兆2.3.4接口類型網(wǎng)絡(luò)防火墻至少應(yīng)當(dāng)提供3個(gè)網(wǎng)絡(luò)接口，分別用于連接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)域。如果能夠提供更多數(shù)量的端口，則還可以借助虛擬防火墻實(shí)現(xiàn)多路網(wǎng)絡(luò)連接。而接口速率則關(guān)系到網(wǎng)絡(luò)防火墻所能提供的最高傳輸速率，為了避免可能的網(wǎng)絡(luò)瓶頸，防火墻的接口速率應(yīng)當(dāng)為百兆、千兆或萬(wàn)兆。網(wǎng)絡(luò)端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口2.3.5主要功能（1）防火墻的基本功能：防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成熟的硬件防火墻產(chǎn)品應(yīng)具有以下功能：防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。（2）企業(yè)的特殊要求：企業(yè)安全政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一。常見的需求有網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)，雙重DNS、虛擬專用網(wǎng)絡(luò)、掃毒功能、特殊控制需求等。（3）與用戶網(wǎng)絡(luò)結(jié)合：包括管理的難易度、自身的安全性、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶情況等。2.3.6安裝位置

防火墻拓?fù)湮恢?/p>

●專用（內(nèi)部）和公共（外部）網(wǎng)絡(luò)之間

●網(wǎng)絡(luò)的出口和入口處

●專用網(wǎng)絡(luò)內(nèi)部：關(guān)鍵的網(wǎng)段，如數(shù)據(jù)中心

防火墻區(qū)域

●Trust（內(nèi)部）

●Untrust（外部，Internet）

●DMZ（DemilitarizedZone，非武裝軍事區(qū)）3、入侵檢測(cè)IDS入侵檢測(cè)系統(tǒng)(IDS)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，簡(jiǎn)稱IDS) 圖3.1入侵檢測(cè)系統(tǒng) 圖3.2入侵檢測(cè)系統(tǒng)架構(gòu)3.1性能評(píng)價(jià)標(biāo)準(zhǔn)1、評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)（1）準(zhǔn)確性(Accuracy)：指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)，否則會(huì)造成虛警現(xiàn)象。

（2）處理性能（Performance）：指一個(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。

（3）完備性(Compliteness)：指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。（相對(duì)困難）

（4）容錯(cuò)性（Fault

Tolerance）：入侵檢測(cè)系統(tǒng)自身必須能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻擊（Denial-Of-Service）。

（5）及時(shí)性(Timeliness)：及時(shí)性要求入侵檢測(cè)系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。它不僅要求處理速度快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。2、或者用另一種評(píng)價(jià)方法評(píng)價(jià)：（1）有效性：指研究檢測(cè)機(jī)制的檢測(cè)精確度和系統(tǒng)報(bào)警的可信度。（2）效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。（3）虛警（falsepositive）：把系統(tǒng)的“正常行為”作為“異常行為”進(jìn)行報(bào)警（4）漏警(falsenegative)：如果檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別、報(bào)警，稱為系統(tǒng)漏警。（5）檢測(cè)率：指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。（6）虛警率：指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛警的概率。3.2主流設(shè)備廠家（1）國(guó)內(nèi)廠家：華為、啟明星辰、網(wǎng)御星云、天融信下圖為華為某IDS設(shè)備圖 圖3.3華為NIP2100D其具體參數(shù)如下： 圖3.4華為NIP2100D信息 圖3.5啟明星辰NS100信息（2）國(guó)外廠家：Cisco、Juniper、CheckpointCisco入侵檢測(cè)系統(tǒng)4200系列設(shè)備檢測(cè)器，CiscoIDS4200系列設(shè)備檢測(cè)器包括三型產(chǎn)品：CiscoIDS4210、CiscoIDS4235和CiscoIDS4250。整個(gè)CiscoIDS設(shè)備系列提供多種解決方案，這些解決方案可以集成到多種不同的環(huán)境中，包括企業(yè)和電信運(yùn)營(yíng)商環(huán)境。每個(gè)設(shè)備檢測(cè)器都能提供多檔性能，滿足從45Mbps到千兆位的帶寬要求。3.3設(shè)備詳細(xì)信息3.3.1重要選擇參數(shù)具體參數(shù)指標(biāo)（暫無(wú)），下列指標(biāo)為根據(jù)部分產(chǎn)品信息得來的一些選擇參數(shù)（1）最大檢測(cè)率（2）最大并發(fā)連接數(shù)（3）每秒新建連接數(shù)（4）處理能力（默認(rèn)漏報(bào)率為0時(shí)）（5）漏報(bào)率和誤報(bào)率（6）延遲（7）吞吐量（8）特征數(shù)：去除冗余參數(shù)，保留能夠反映系統(tǒng)狀態(tài)的重要參數(shù)的一個(gè)算法3.3.2主要技術(shù)類型（1）基于主機(jī):系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是由代理(agent)來實(shí)現(xiàn)的，代理是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序，它們與命令控制臺(tái)(console)通信。（2）基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器(sensor)組成，傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。（3）混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 圖3.6混合型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)3.3.3主要構(gòu)成IETF（Internet工程任務(wù)組）將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫(kù)（Eventdatabases）。事件產(chǎn)生器的功能是從整個(gè)計(jì)算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。事件分析器分析得到的事件數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導(dǎo)事件的分析及反應(yīng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。下圖為IDS入侵檢測(cè)系統(tǒng)報(bào)警過程， 圖3.7入侵檢測(cè)報(bào)警3.3.4接口類型網(wǎng)絡(luò)端口（光、電口），控制端口3.3.5主要功能基本功能：（1）監(jiān)督并分析用戶和系統(tǒng)的活動(dòng)（2）檢查系統(tǒng)配置和漏洞（3）檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識(shí)別代表已知攻擊的活動(dòng)模式（5）對(duì)反常行為模式的統(tǒng)計(jì)分析（6）對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動(dòng)。其他功能：攻擊檢測(cè)能力；響應(yīng)方式；日志與報(bào)表；策略功能；管理功能；用戶管理；升級(jí)管理；產(chǎn)品安全性3.3.6安裝位置IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護(hù)資源這些位置通常是：（1）服務(wù)器區(qū)域的交換機(jī)上（2）Internet接入路由器之后的第一臺(tái)交換機(jī)上（3）重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上防火墻和IDS可以分開操作，IDS是個(gè)監(jiān)控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！ 圖3.8某網(wǎng)絡(luò)中入侵檢測(cè)設(shè)備位置4．入侵防御IPS入侵防御系統(tǒng)(IPS:IntrusionPreventionSystem)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件（AntivirusPrograms）和防火墻(PacketFilter,ApplicationGateway)的補(bǔ)充。入侵防御系統(tǒng)(Intrusion-preventionsystem)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。 圖4.1某IPS系統(tǒng)工作模型詳細(xì)信息見附件：4.1具體性能要求針對(duì)越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測(cè)到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。一款優(yōu)秀的網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)該具備以下特征：（1）滿足高性能的要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；（2）提供針對(duì)各類攻擊的實(shí)時(shí)檢測(cè)和防御功能，同時(shí)具備豐富的訪問控制能力，在任何未授權(quán)活動(dòng)開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來的損失；（3）準(zhǔn)確識(shí)別各種網(wǎng)絡(luò)流量，降低漏報(bào)和誤報(bào)率，避免影響正常的業(yè)務(wù)通訊；（4）全面、精細(xì)的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)；（5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；（6）可擴(kuò)展的多鏈路IPS防護(hù)能力，避免不必要的重復(fù)安全投資；（7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時(shí)間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時(shí)也支持旁路模式部署，用于攻擊檢測(cè)，適合不同客戶需要；（8）支持分級(jí)部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。4.2主流設(shè)備廠家（1）國(guó)內(nèi)廠家：華為、H3C、天融信、啟明星辰、DCN華為入侵防御系統(tǒng)： 圖4.2華為入侵防御系統(tǒng)關(guān)于華為設(shè)備詳細(xì)信息見附件：目前許多廠家產(chǎn)品中將入侵檢測(cè)和入侵防御融合到一起，同時(shí)對(duì)系統(tǒng)中流量進(jìn)行監(jiān)管和防護(hù)，如下列這件產(chǎn)品中其功能包含：入侵檢測(cè)和防御功能，稱之為IDP系統(tǒng)。 圖4.3某產(chǎn)品信息（2）國(guó)外廠家：思科、Juniper圖4.4CiscoFirePOWER8000系列設(shè)備Cisco入侵防御系統(tǒng)產(chǎn)品手冊(cè)：4.3設(shè)備詳細(xì)信息4.3.1重要選擇參數(shù)（1）吞吐量：作為用戶選擇和衡量NIPS性能最重要的指標(biāo)之一，吞吐量是指NIPS在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說明NIPS數(shù)據(jù)處理能力越強(qiáng)。（2）延遲：現(xiàn)在網(wǎng)絡(luò)的應(yīng)用種類非常復(fù)雜，許多應(yīng)用對(duì)延遲非常敏感(例如音頻、視頻等)而網(wǎng)絡(luò)中加入NIPS必然會(huì)增加傳輸延遲，所以較低的延遲對(duì)NIPS來說也是不可或缺的。（3）最大并發(fā)連接數(shù)：最大并發(fā)連接數(shù)決定了NIPS能夠同時(shí)支持的并發(fā)用戶數(shù)，它反映出NIPS對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力，這對(duì)于NIPS來說也是一個(gè)非常重要的性能指標(biāo)，尤其是在受NIPS保護(hù)的網(wǎng)絡(luò)向外部網(wǎng)絡(luò)提供公眾服務(wù)的情況下，一般來說，該指標(biāo)越大越好。4.3.2主要技術(shù)類型（1）基于主機(jī)的入侵防御(HIPS)：HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序?；谥鳈C(jī)的入侵防御技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。（2）基于網(wǎng)絡(luò)的入侵防御(NIPS)：NIPS通過檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。（3）應(yīng)用入侵防御(AIP)：IPS產(chǎn)品有一個(gè)特例，即應(yīng)用入侵防御（ApplicationIntrusionPrevention，AIP），它把基于主機(jī)的入侵防御擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計(jì)成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶遵守設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)。4.3.3接口類型（1）若干自適應(yīng)10/100/1000光/電口，作為監(jiān)控端口，區(qū)分旁路和非旁路監(jiān)控端口（2）模塊化端口（3）管理端口等4.3.4主要功能（1）異常偵查。正如入侵偵查系統(tǒng),入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對(duì)照識(shí)別異常。（2）在遇到動(dòng)態(tài)代碼(ActiveX,JavaApplet,各種指令語(yǔ)言scriptlanguages等等)時(shí)，先把它們放在沙盤內(nèi)，觀察其行為動(dòng)向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。（3）有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對(duì)通過網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)路內(nèi)部的有害代碼實(shí)行有效阻止。（4）核心基礎(chǔ)上的防護(hù)機(jī)制。用戶程序通過系統(tǒng)指令享用資源(如存儲(chǔ)區(qū)、輸入輸出設(shè)備、中央處理器等)。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請(qǐng)求。（5）對(duì)Library、Registry、重要文件和重要的文件夾進(jìn)行防守和保護(hù)。4.3.5部署位置隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)，已經(jīng)無(wú)法應(yīng)對(duì)一些安全威脅。在這種情況下，IPS技術(shù)應(yīng)運(yùn)而生，IPS技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報(bào)文；切斷此次應(yīng)用會(huì)話；切斷此次TCP連接。進(jìn)行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實(shí)際情況與重要程度，酌情部署。下圖為華三SecPATHIPS設(shè)備部署方式，（1）IPS在線部署方式部署于網(wǎng)絡(luò)的關(guān)鍵路徑上，對(duì)流經(jīng)的數(shù)據(jù)流進(jìn)行2-7層深度分析，實(shí)時(shí)防御外部和內(nèi)部攻擊。 圖4.4IPS在線部署方式 （2）IDS旁路部署方式對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)與分析，記錄攻擊事件并告警。 圖4.5IDS旁路部署方式4.4IDS和IPS的區(qū)別和選擇IPS對(duì)于初始者來說，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，如果檢測(cè)到攻擊，IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報(bào)警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。IPS檢測(cè)攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。目前無(wú)論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測(cè)系統(tǒng)的可能。但由于入侵防御產(chǎn)品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測(cè)產(chǎn)品，什么時(shí)候該選擇入侵防御產(chǎn)品呢?從產(chǎn)品價(jià)值角度講：入侵檢測(cè)系統(tǒng)注重的是網(wǎng)絡(luò)安全狀況的監(jiān)管。入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。與防火墻類產(chǎn)品、入侵檢測(cè)產(chǎn)品可以實(shí)施的安全策略不同，入侵防御系統(tǒng)可以實(shí)施深層防御安全策略，即可以在應(yīng)用層檢測(cè)出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測(cè)產(chǎn)品所做不到的。從產(chǎn)品應(yīng)用角度來講：為了達(dá)到可以全面檢測(cè)網(wǎng)絡(luò)安全狀況的目的，入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。如果信息系統(tǒng)中包含了多個(gè)邏輯隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測(cè)分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以達(dá)到掌控整個(gè)信息系統(tǒng)安全狀況的目的。而為了實(shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng)IDS的核心價(jià)值在于通過對(duì)全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)IPS的核心價(jià)值在于對(duì)數(shù)據(jù)的深度分析及安全策略的實(shí)施—對(duì)黑客行為的阻擊；入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對(duì)內(nèi)部攻擊行為無(wú)能為力。IPS可以理解為深度f(wàn)ilewall。5、統(tǒng)一威脅管理設(shè)備UTM統(tǒng)一威脅管理(UnifiedThreatManagement)，2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(UnifiedThreatManagement，簡(jiǎn)稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測(cè)等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動(dòng)了以整合式安全設(shè)備為代表的市場(chǎng)細(xì)分的誕生。本設(shè)備主要適用于中小型企業(yè)、中小辦公機(jī)構(gòu)及多分支機(jī)構(gòu)，另外對(duì)于大型企業(yè)、電信企業(yè)骨干網(wǎng)等可以作為防火墻等網(wǎng)絡(luò)安全設(shè)備的有效補(bǔ)充。由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。 圖5.1天清漢馬UTM設(shè)備圖5.1具體選型原則從定義上來講，UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能，但卻不一定要同時(shí)開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級(jí)別。也就是說，如果用戶需要同時(shí)開啟多項(xiàng)功能，則需要配置性能比較高、功能比較豐富的產(chǎn)品。（1）易用性：由于UTM包含了眾多的安全特性，因此能否方便快捷地部署，成為了用戶的首要訴求。曾有用戶調(diào)查顯示，用戶對(duì)UTM易用性的關(guān)注超越了入侵防御和防病毒，成為用戶在選購(gòu)UTM時(shí)最關(guān)注的問題。（2）集中管理能力：UTM應(yīng)該具有基于組的集群管理功能，當(dāng)在一個(gè)網(wǎng)絡(luò)中部署多臺(tái)UTM設(shè)備時(shí)，可以通過集中管理中心來對(duì)設(shè)備組進(jìn)行配置，這樣經(jīng)過一次配置，組內(nèi)所有的UTM設(shè)備可以整體生效。另外通過集群管理，可以把分散在不同地方的UTM設(shè)備的日志進(jìn)行統(tǒng)一分析處理，形成全網(wǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告。（3）病毒庫(kù)和入侵防御特征庫(kù)的在線升級(jí)：跟防火墻不同，UTM的病毒庫(kù)、入侵特征庫(kù)、反垃圾郵件庫(kù)必須及時(shí)進(jìn)行更新，這樣才能具有最新的安全防護(hù)能力，因此需要對(duì)UTM定期進(jìn)行升級(jí)。尤其是通過在線升級(jí)的方式，能夠保證設(shè)備在最短的時(shí)間內(nèi)獲得更新。能否供給在線升級(jí)，以及在線升級(jí)的頻度，是考慮廠家實(shí)力和技巧水平的重要指標(biāo)。（4）日志和流量處理能力：UTM應(yīng)能夠?qū)Σ《?、入侵等高威脅性事件進(jìn)行日志記載，并通過郵件等方式進(jìn)行告警;應(yīng)能通過NetFlow等技巧對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，可以查詢實(shí)時(shí)流量和歷史流量，這不僅可以幫助管理者更好地評(píng)估網(wǎng)絡(luò)狀況，還能夠通過異常流量分析，發(fā)現(xiàn)潛伏的網(wǎng)絡(luò)威脅。產(chǎn)品規(guī)格及功能要求產(chǎn)品型號(hào)提供小型、中型、大型多種設(shè)備型號(hào)硬件規(guī)格1U~4U上架設(shè)備，具體規(guī)格見實(shí)際硬件型號(hào)說明訪問控制實(shí)現(xiàn)基于域名、IP地址、服務(wù)端口、IP協(xié)議、時(shí)間等元素的訪問控制防病毒支持HTTP、FTP、POP3、SMTP協(xié)議的病毒防護(hù)，病毒庫(kù)自動(dòng)升級(jí)VPN支持SSL-VPN、IPSEC-VPN，能夠與CISCO等廠商VPN設(shè)備互聯(lián)互通郵件防護(hù)提供基于行為、內(nèi)容的垃圾郵件防護(hù)功能，支持郵件的延遲審核發(fā)送防火墻集成基于統(tǒng)一安全引擎的安全防護(hù)功能，提供全面的防火墻功能IDS/IPS提供全面的入侵檢測(cè)與入侵防御功能P2P識(shí)別支持典型P2P和IM軟件的過濾和帶寬限制流量整形支持QoS帶寬管理，基于IP、協(xié)議、服務(wù)、接口、時(shí)間等元素的帶寬控制高可用性支持透明、路由、混合三種工作模式，支持靜態(tài)路由、策略路由、VLAN高可靠性支持雙機(jī)熱備部署模式，且切換時(shí)間小于1秒鐘設(shè)備監(jiān)控支持對(duì)CPU、網(wǎng)絡(luò)、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控系統(tǒng)維護(hù)提供基于WEB和命令行的系統(tǒng)管理，支持遠(yuǎn)程升級(jí)5.2主流設(shè)備廠家（1）國(guó)內(nèi)廠家：華為、H3C、天融信、深信服下圖為華為UTMUSG2000設(shè)備，是面向中小型企業(yè)/分支機(jī)構(gòu)設(shè)計(jì)的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設(shè)備。 圖5.2華為USG2000華為USG2000基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，基于用戶的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測(cè)、防病毒、URL過濾、應(yīng)用程序控制、郵件過濾等行業(yè)領(lǐng)先的專業(yè)安全技術(shù)，可精細(xì)化管理1200余種網(wǎng)絡(luò)應(yīng)用，全面支持IPv6協(xié)議，為用戶提供強(qiáng)大、可擴(kuò)展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應(yīng)用。下圖為H3C的UTM設(shè)備圖， 圖5.3H3CUTM全家福（2）國(guó)外廠家：Juniper、WatchGuard、checkpoint暫無(wú)產(chǎn)品信息，只獲得checkpoint產(chǎn)品培訓(xùn)資料一份5.3設(shè)備詳細(xì)信息5.3.1重要選擇參數(shù)（1）UTM應(yīng)用層轉(zhuǎn)發(fā)性能（替代網(wǎng)絡(luò)吞吐量）：傳統(tǒng)防火墻采用吞吐量來評(píng)估轉(zhuǎn)發(fā)性能，而UTM由于工作在2到7層，單純使用IP或UDP的吞吐量測(cè)試不具有實(shí)際意義，因此使用應(yīng)用層轉(zhuǎn)發(fā)性能來進(jìn)行評(píng)估更加準(zhǔn)確。通?？刹捎肏TTP并進(jìn)行文件傳輸，來評(píng)估UTM所支持的應(yīng)用層轉(zhuǎn)發(fā)性能。一般網(wǎng)絡(luò)吞吐量在百兆/千兆以上。（2）并發(fā)連接數(shù)：并發(fā)連接數(shù)是UTM可以同時(shí)維護(hù)的用戶連接數(shù)，一般來說同一用戶會(huì)存在多個(gè)連接。并發(fā)連接數(shù)越高，UTM所能支持的連接用戶就越多。（3）新建連接速率：新建連接速率是UTM每秒鐘能夠處理用戶的應(yīng)用層請(qǐng)求的速率，它代表了設(shè)備在面對(duì)大量網(wǎng)絡(luò)終端的訪問請(qǐng)求時(shí)，所能體現(xiàn)出的響應(yīng)速度。如果新建連接速率，會(huì)導(dǎo)致用戶的網(wǎng)絡(luò)訪問速度慢等問題。對(duì)于UTM來說，自然是性能越高，所能供給的數(shù)據(jù)處理能力更高，但高性能的處理設(shè)備必然費(fèi)用昂貴，用戶在選擇時(shí)需要根據(jù)預(yù)算選擇具有合適處理能力的產(chǎn)品即可。對(duì)于中小企業(yè)，可能選擇具有二三十兆轉(zhuǎn)發(fā)性能的UTM產(chǎn)品就已足夠，而對(duì)于大型企業(yè)或運(yùn)營(yíng)級(jí)用戶，則需要幾百兆甚至1G以上的處理能力。5.3.2主要設(shè)備類型從設(shè)備使用范圍及功能特性上來說，針對(duì)不同級(jí)別用戶，UTM（統(tǒng)一威脅管理）主要有以下幾種設(shè)備類型：小型企業(yè)安全網(wǎng)關(guān)（吞吐量在幾百兆）中小型企業(yè)級(jí)百兆網(wǎng)絡(luò)應(yīng)用（吞吐量上千兆）大中型企業(yè)級(jí)千兆網(wǎng)絡(luò)應(yīng)用（吞吐量達(dá)萬(wàn)兆左右）電信級(jí)萬(wàn)兆骨干網(wǎng)絡(luò)應(yīng)用（吞吐量在幾萬(wàn)兆）UTM防火墻（千兆級(jí)）5.3.3接口類型控制端口：RJ45、RS-232網(wǎng)絡(luò)端口：多個(gè)千兆以太網(wǎng)電口或千兆光口5.3.4主要功能在UTM的所有功能中，并不是所有的功能都是必要的，用戶需要根據(jù)自己的需求來斷定采購(gòu)目標(biāo)。但一般來說，UTM設(shè)備應(yīng)該包括如下基本功能，才具備基本的可用性：（1）根基防火墻功能：包括狀態(tài)過濾、訪問控制、NAT轉(zhuǎn)換等，這些是防火墻的基本功能，也是UTM中必不可缺的功能。（2）入侵防御(IPS)功能：入侵防御功能是UTM區(qū)別于防火墻的最基本特征。傳統(tǒng)防火墻具有的是2-4層的防御能力，對(duì)更高層的協(xié)議不具備檢測(cè)能力，而UTM正是通過入侵檢測(cè)和防御技巧的實(shí)現(xiàn)，具有了2-7層的全面防御能力。從這一個(gè)角度來說，入侵檢測(cè)能力的上下，是衡量一款UTM是否專業(yè)的重要標(biāo)準(zhǔn)。（3）防病毒功能：UTM所采用的網(wǎng)絡(luò)防病毒引擎同桌面防病毒產(chǎn)品在實(shí)現(xiàn)上有一定的差異，病毒的實(shí)際檢測(cè)率也是選擇UTM設(shè)備的重要參考。（4）VPN功能：UTM應(yīng)支持最基本的VPN功能，即端到端的IPSecVPN。（5）高可用性(HA)：由于UTM整合了眾多的安全特性，使得其對(duì)穩(wěn)定性的要求較一般安全設(shè)備要更加苛刻，因?yàn)橐坏┌l(fā)生故障，可能會(huì)導(dǎo)致所有安全防御功能失效，造成無(wú)法挽回的損失。UTM應(yīng)具備高可用性，能夠采用主備模式，在檢測(cè)到鏈路和設(shè)備故障時(shí)由備份設(shè)備取代主設(shè)備，供給不間斷的安全防護(hù)。 圖5.4H3CUTM功能模塊不同設(shè)備的功能可能會(huì)有不同，首先根據(jù)用戶的細(xì)分行業(yè)的需求不同分析其不同的安全需求，如下圖：圖5.5公司網(wǎng)絡(luò) 圖5.6學(xué)校上網(wǎng)上述功能可認(rèn)為是UTM的標(biāo)準(zhǔn)功能，如果一款設(shè)備不具備上述所有功能，則不能被稱為合格的UTM設(shè)備。譬如有的廠家推出的產(chǎn)品雖然號(hào)稱UTM，但只是在傳統(tǒng)防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵御網(wǎng)絡(luò)層的DOS攻擊而不具備入侵防御功能，在本質(zhì)上仍然是防火墻的有限增強(qiáng)，其所能滿足的用戶價(jià)值也是有限的。除了上述功能，視不同用戶的需求，UTM可能還需要實(shí)現(xiàn)以下功能：（1）動(dòng)態(tài)路由功能：實(shí)現(xiàn)RIP、OSPF等路由功能，對(duì)于小型客戶，將路由器部分功能整合到UTM中，可以節(jié)省投資，并使得網(wǎng)絡(luò)接入更加扁平、易管理。（2）擴(kuò)展的VPN功能：通過SSLVPN和L2TPVPN，可以供給更靈活的VPN組網(wǎng)能力，包括無(wú)客戶端或瘦客戶端的VPN部署，對(duì)動(dòng)態(tài)用戶的支持等。（3）內(nèi)容過濾：狹義的內(nèi)容過濾是對(duì)網(wǎng)頁(yè)內(nèi)容、URL、網(wǎng)頁(yè)控件等的過濾，廣義的內(nèi)容過濾還包括對(duì)各種互聯(lián)網(wǎng)應(yīng)用比如IM/P2P、網(wǎng)絡(luò)游戲、股票軟件、流媒體應(yīng)用等的檢測(cè)和控制;在業(yè)務(wù)互聯(lián)網(wǎng)化的今天，這部分功能對(duì)用戶特別是對(duì)企業(yè)用戶，價(jià)值日益凸顯。（4）反垃圾郵件：對(duì)于UTM中是否實(shí)現(xiàn)反垃圾郵件，存在一定的爭(zhēng)議，但不可否認(rèn)的是在UTM中實(shí)現(xiàn)反垃圾郵件有一定的先天優(yōu)勢(shì)，，發(fā)揮入侵防御引擎的深度掃描能力，對(duì)通過郵件的入侵可以達(dá)到良好的防御效果。而對(duì)垃圾郵件的處理性能上，UTM較專業(yè)的反垃圾郵件網(wǎng)關(guān)仍然有一定的差距。（5）負(fù)載分擔(dān)功能：在雙機(jī)熱備的根基之上，通過HA雙主或集群的方式，實(shí)現(xiàn)UTM的負(fù)載分擔(dān)。在對(duì)流量要求較高的場(chǎng)景下，通過負(fù)載分擔(dān)可以提高安全網(wǎng)關(guān)整體的數(shù)據(jù)處理能力。6、其他常見設(shè)備6.1防病毒網(wǎng)關(guān)6.1.1防病毒網(wǎng)關(guān)簡(jiǎn)介防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備，用以保護(hù)網(wǎng)絡(luò)內(nèi)(一般是局域網(wǎng))進(jìn)出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾(如色情、反動(dòng))、垃圾郵件阻止的功能，同時(shí)部分設(shè)備也具有一定防火墻(劃分VLAN)的功能。防病毒網(wǎng)關(guān)就是針對(duì)網(wǎng)絡(luò)安全所面臨的新挑戰(zhàn)應(yīng)運(yùn)而生的。對(duì)病毒等惡意軟件進(jìn)行防御的硬件網(wǎng)絡(luò)防護(hù)設(shè)備，可以協(xié)助企業(yè)防護(hù)各類病毒和惡意軟件，對(duì)其進(jìn)行隔離和清除。當(dāng)企業(yè)在網(wǎng)絡(luò)的Internet出口部署防病毒網(wǎng)關(guān)系統(tǒng)后，可大幅度降低因惡意軟件傳播帶來的安全威脅，及時(shí)發(fā)現(xiàn)并限制網(wǎng)絡(luò)病毒爆發(fā)疫情，同時(shí)它還集成了完備的防火墻，為用戶構(gòu)建立體的網(wǎng)絡(luò)安全保護(hù)機(jī)制提供了完善的技術(shù)手段。廣泛適用于政府、公安、軍隊(duì)、金融、證券、保險(xiǎn)等多個(gè)領(lǐng)域。 圖6.1防病毒網(wǎng)關(guān)—反垃圾郵件6.1.2基本特性防病毒網(wǎng)關(guān)應(yīng)具有以下特性：（1）強(qiáng)勁的惡意軟件防護(hù)功能，Web應(yīng)用高效防護(hù)防病毒網(wǎng)關(guān)產(chǎn)品應(yīng)該采用獨(dú)特的虛擬并行系統(tǒng)檢測(cè)技術(shù)，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)病毒等惡意軟件掃描的同時(shí)，會(huì)實(shí)時(shí)同步傳送數(shù)據(jù)。這一技術(shù)的在系統(tǒng)中的應(yīng)用，從根本上解決了以往對(duì)Web數(shù)據(jù)進(jìn)行掃描操作時(shí)，普遍存在的性能瓶頸，在實(shí)際使用效果上遠(yuǎn)遠(yuǎn)超出了“存儲(chǔ)-掃描-轉(zhuǎn)發(fā)”的傳統(tǒng)技術(shù)模式。由于采用了虛擬并行系統(tǒng)技術(shù)，在保證不放過任何一個(gè)可能的惡意軟件同時(shí)，大大減小了網(wǎng)絡(luò)應(yīng)用的請(qǐng)求響應(yīng)時(shí)間，改善了用戶體驗(yàn)效果。用戶在使用防病毒網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè)時(shí)，基本感覺不到數(shù)據(jù)掃描操作所帶來的響應(yīng)延遲，更不用擔(dān)心錯(cuò)過精彩的網(wǎng)絡(luò)實(shí)況播報(bào)（2）適應(yīng)于復(fù)雜的核心網(wǎng)絡(luò)防病毒網(wǎng)關(guān)系統(tǒng)吸收了業(yè)界多年來在防火墻領(lǐng)域的設(shè)計(jì)經(jīng)驗(yàn)和先進(jìn)技術(shù)，支持眾多網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，如802.1QVLAN、PPPoE、802.1Q、Spanningtree等協(xié)議，適用的范圍更廣泛，確保了用戶的網(wǎng)絡(luò)的“無(wú)縫部署”、“無(wú)縫防護(hù)”、“無(wú)縫升級(jí)”。當(dāng)防病毒網(wǎng)關(guān)設(shè)備處于透明工作模式時(shí)，相當(dāng)于一臺(tái)二層交換機(jī)。這種特性使防病毒網(wǎng)關(guān)產(chǎn)品具有了極佳的環(huán)境適應(yīng)能力，用戶無(wú)需改變網(wǎng)絡(luò)拓?fù)?，就可以零操作、零配置的升?jí)到更全面的網(wǎng)絡(luò)安全解決方案，同時(shí)也降低了因新增網(wǎng)絡(luò)設(shè)備而導(dǎo)致的部署、維護(hù)和管理開銷。（3）靈活的網(wǎng)絡(luò)安全概念防病毒網(wǎng)關(guān)應(yīng)該基于先進(jìn)的安全區(qū)段概念實(shí)施安全策略的定制和部署，將從接口層面的訪問控制提升到安全區(qū)段概念。防病毒網(wǎng)關(guān)從概念上繼承了傳統(tǒng)防火墻的網(wǎng)絡(luò)安全區(qū)域概念，也實(shí)現(xiàn)了很多突破。它默認(rèn)各個(gè)安全區(qū)段間的安全級(jí)別是一樣的，相互間的安全需求差異交由用戶定制，為安全策略的定制和部署提供了很大的靈活性，同時(shí)也避免了機(jī)械的將網(wǎng)絡(luò)劃分為Internal，External和DMZ的傳統(tǒng)安全概念，能夠完備靈活的表達(dá)不同網(wǎng)絡(luò)、網(wǎng)段間的安全需求。防病毒網(wǎng)關(guān)系統(tǒng)還應(yīng)該提供豐富的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能支持，支持映像IP地址（MIP）、動(dòng)態(tài)地址池的正向地址轉(zhuǎn)換、反向地址轉(zhuǎn)換。（4）集中管理，全局控制防病毒網(wǎng)關(guān)提供了功能強(qiáng)大的圖形化管理系統(tǒng)，該系統(tǒng)基于Windows平臺(tái)運(yùn)行。使用圖形化管理系統(tǒng)，可以對(duì)多臺(tái)不同地域的防病毒網(wǎng)關(guān)系統(tǒng)設(shè)備進(jìn)行統(tǒng)一管理和配置，收集并審計(jì)分析多臺(tái)防病毒網(wǎng)關(guān)設(shè)備發(fā)送的日志信息，包括事件日志，配置日志，安全日志和負(fù)載日志，對(duì)多臺(tái)防病毒網(wǎng)關(guān)系統(tǒng)設(shè)備進(jìn)行統(tǒng)一的固件升級(jí)，病毒庫(kù)升級(jí)；實(shí)時(shí)監(jiān)控多臺(tái)防病毒網(wǎng)關(guān)設(shè)備的運(yùn)行狀態(tài)和負(fù)載信息。（5）細(xì)致入微的系統(tǒng)日志和審計(jì)功能防病毒網(wǎng)關(guān)應(yīng)該具備完善的網(wǎng)絡(luò)訪問日志記錄和審計(jì)功能，網(wǎng)絡(luò)管理員在定制安全策略時(shí)，可根據(jù)需要，對(duì)網(wǎng)絡(luò)行為、資源訪問情況進(jìn)行有選擇地審計(jì)。當(dāng)系統(tǒng)監(jiān)測(cè)到有異常行為，病毒訪問等事件時(shí)，將自動(dòng)對(duì)其進(jìn)行審計(jì)分析，以幫助管理員定制更完善的網(wǎng)絡(luò)系統(tǒng)安全規(guī)則。6.1.3重要參數(shù)（1）最大并發(fā)連接數(shù)（2）最大吞吐量（3）每秒最大新建連接數(shù)（4）網(wǎng)絡(luò)接口：多個(gè)千兆電口，USB接口，獨(dú)立帶外網(wǎng)絡(luò)管理端口，HA接口6.1.4主流廠商（1）國(guó)內(nèi)廠家：天融信、華為、江民天融信公司堅(jiān)持對(duì)防病毒產(chǎn)品技術(shù)的跟蹤和創(chuàng)新，結(jié)合對(duì)用戶安全需求的深入了解，打造出優(yōu)異的防病毒過濾網(wǎng)關(guān)產(chǎn)品。目前該產(chǎn)品在軍隊(duì)、政府、能源、金融等行業(yè)擁有大量用戶，并且為其病毒防護(hù)提供可行的解決方案。天融信網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)系統(tǒng)TopFilter系列產(chǎn)品采用獨(dú)創(chuàng)的TCP粘合技術(shù)，可對(duì)HTTP、SMTP、POP3、IMAP以及FTP這些網(wǎng)絡(luò)中主要的應(yīng)用協(xié)議進(jìn)行病毒過濾和防護(hù)。本產(chǎn)品以透明接入的方式安裝在企業(yè)網(wǎng)絡(luò)的入口處，能直接保護(hù)企業(yè)局域網(wǎng)免受各類病毒、蠕蟲、木馬和垃圾郵件的干擾，極大的簡(jiǎn)化了管理員的管理工作，能夠?qū)崿F(xiàn)自動(dòng)升級(jí)、報(bào)警等眾多功能。系統(tǒng)主要功能及特點(diǎn)包括：病毒防護(hù)解決方案全面的病毒庫(kù)靈活多樣雙擎查殺高效與安全并重多通道防護(hù)功能透明的掃描方式高可用性 圖6.2天融信防病毒網(wǎng)關(guān)天融信TopFilter系列產(chǎn)品信息如下表TopFilter8000TF-31714-Virus標(biāo)準(zhǔn)1U機(jī)架式設(shè)備,產(chǎn)品最大配置為12個(gè)接口,產(chǎn)品配置為4個(gè)10/100/1000BASE-T接口，默認(rèn)電口