網(wǎng)安設(shè)備選型規(guī)范V10

本文格式為Word版，下載可任意編輯——網(wǎng)安設(shè)備選型規(guī)范V10

網(wǎng)安設(shè)備選型規(guī)范

編號(hào)階段標(biāo)記版本

V1.0

網(wǎng)絡(luò)安全設(shè)備選型框架

XXXX科技有限責(zé)任公司

2023年5月

1

網(wǎng)安設(shè)備選型規(guī)范

文檔更新記錄

日期2023/3/212023/3/312023/4/42023/4/52023/4/8更新人版本V0.5V0.6V0.8V0.9V1.0備注創(chuàng)立文檔及主干框架進(jìn)行二次修改，填充內(nèi)容填充UTM等設(shè)備內(nèi)容補(bǔ)充信息并完善重新修改，排版

2

網(wǎng)安設(shè)備選型規(guī)范

引言

因設(shè)備參考選型工作之因，需對(duì)硬件有較為深入的知識(shí)體系架構(gòu)了解，為本部門(mén)與相關(guān)項(xiàng)目設(shè)備選型提供相對(duì)專(zhuān)業(yè)技術(shù)支持。因此通過(guò)查詢(xún)資料及詢(xún)問(wèn)相關(guān)廠家設(shè)備信息，完成以下文檔。依照網(wǎng)絡(luò)從外到內(nèi)：從光纖>電腦客戶(hù)端，設(shè)備依次有：路由器（可做端口屏蔽，帶寬管理Qos，防泛洪flood攻擊等）防火墻（有普通防火墻和UTM等，可以做網(wǎng)絡(luò)三層端口管理、IPS（入侵檢測(cè)）、IDS（入侵防衛(wèi)）、IDP（入侵檢測(cè)防衛(wèi)）、安全審計(jì)認(rèn)證、防病毒、防垃圾和病毒郵件、流量監(jiān)控（QOS）等）行為管理器（可做UTM的所有功能、還有一些完全審計(jì)，網(wǎng)絡(luò)記錄等等功能，這個(gè)比較強(qiáng)大）核心交換機(jī)（可以劃分vlan、屏蔽廣播、以及基本的acl列表），而安全的網(wǎng)絡(luò)連接方式：現(xiàn)在流行的有MPLSVPN，SDH專(zhuān)線、VPN等，其中VPN常見(jiàn)的包括（SSLVPN\\ipsecVPN\\PPTPVPN等）。在這些設(shè)備中所涉及的內(nèi)容主要包括參數(shù)、功能、接口、技術(shù)類(lèi)型、廠商等的框架信息。由于資料原因，目前信息依舊不夠健全，且由于技術(shù)更新太快已無(wú)法跟上網(wǎng)安設(shè)備的更新變化速度，因此造成了信息的遲滯性甚至不確鑿。這些問(wèn)題留待日后更新解決。

3

網(wǎng)安設(shè)備選型規(guī)范

目錄

引言31、網(wǎng)絡(luò)安全設(shè)備7

1.1信息安全與安全產(chǎn)品71.2信息安全技術(shù)規(guī)范91.3網(wǎng)安總體選型原則92、硬件防火墻11

2.1具體選型原則122.2主流設(shè)備廠家132.3設(shè)備詳細(xì)信息15

2.3.1重要選擇參數(shù)152.3.2主要技術(shù)類(lèi)型182.3.3主要架構(gòu)242.3.4接口類(lèi)型262.3.5主要功能272.3.6安裝位置28

3、入侵檢測(cè)IDS28

3.1性能評(píng)價(jià)標(biāo)準(zhǔn)303.2主流設(shè)備廠家303.3設(shè)備詳細(xì)信息32

3.3.1重要選擇參數(shù)323.3.2主要技術(shù)類(lèi)型323.3.3主要構(gòu)成333.3.4接口類(lèi)型343.3.5主要功能343.3.6安裝位置35

4．入侵防衛(wèi)IPS36

4.1具體性能要求374.2主流設(shè)備廠家38

4

網(wǎng)安設(shè)備選型規(guī)范

4.3設(shè)備詳細(xì)信息39

4.3.1重要選擇參數(shù)394.3.2主要技術(shù)類(lèi)型404.3.3接口類(lèi)型404.3.4主要功能404.3.5部署位置414.4IDS和IPS的區(qū)別和選擇425、統(tǒng)一要挾管理設(shè)備UTM44

5.1具體選型原則455.2主流設(shè)備廠家465.3設(shè)備詳細(xì)信息47

5.3.1重要選擇參數(shù)475.3.2主要設(shè)備類(lèi)型485.3.3接口類(lèi)型485.3.4主要功能48

6、其他常見(jiàn)設(shè)備51

6.1防病毒網(wǎng)關(guān)51

6.1.1防病毒網(wǎng)關(guān)簡(jiǎn)介516.1.2基本特性526.1.3重要參數(shù)546.1.4主流廠商546.1.5部署位置566.1.6與防火墻區(qū)別576.1.7與防病毒軟件區(qū)別586.2VPN安全網(wǎng)關(guān)59

6.2.1VPN網(wǎng)關(guān)簡(jiǎn)介596.2.2基本特性606.2.3重要參數(shù)616.2.4主流廠商61

5

網(wǎng)安設(shè)備選型規(guī)范

6.2.5部署方案646.3網(wǎng)絡(luò)審計(jì)系統(tǒng)64

6.3.1網(wǎng)絡(luò)審計(jì)系統(tǒng)646.3.2基本特性646.3.3重要參數(shù)656.3.4主流廠商656.3.5審計(jì)類(lèi)型666.3.6審計(jì)內(nèi)容67

7.規(guī)范總結(jié)688.參考文檔69

6

網(wǎng)安設(shè)備選型規(guī)范

1、網(wǎng)絡(luò)安全設(shè)備

1.1信息安全與網(wǎng)絡(luò)安全產(chǎn)品

（1）信息安全模型

國(guó)際標(biāo)準(zhǔn)化組織定義：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理

的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意原因而遭到破壞，更改和泄露。

信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以要挾全局安全。信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

7

網(wǎng)安設(shè)備選型規(guī)范

圖1.1信息安全模型

（2）網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全不僅包括網(wǎng)絡(luò)信息的存儲(chǔ)安全，還涉及信息的產(chǎn)生、傳輸和使用過(guò)程中的安全。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)說(shuō)就是網(wǎng)絡(luò)上的信息安全。（3）網(wǎng)絡(luò)安全防護(hù)產(chǎn)品：?防火墻、防水墻

?WEB防火墻、網(wǎng)頁(yè)防篡改?入侵檢測(cè)、入侵防衛(wèi)、防病毒?統(tǒng)一要挾管理UTM?身份鑒別、虛擬專(zhuān)網(wǎng)?加解密、文檔加密、數(shù)據(jù)簽名

?物理隔離網(wǎng)閘、終端安全與上網(wǎng)行為管理?內(nèi)網(wǎng)安全、審計(jì)與取證、漏洞掃描、補(bǔ)丁分發(fā)?安全管理平臺(tái)?災(zāi)難備份產(chǎn)品

8

網(wǎng)安設(shè)備選型規(guī)范

1.2信息安全技術(shù)規(guī)范

圖1.2信息安全國(guó)標(biāo)

1.3網(wǎng)安總體選型原則

（1）中國(guó)網(wǎng)絡(luò)安全產(chǎn)品概覽

中國(guó)的網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)廠家基本可分為三類(lèi)：國(guó)家級(jí)的專(zhuān)業(yè)信息安全產(chǎn)品供應(yīng)廠家、新興的專(zhuān)業(yè)信息安全產(chǎn)品供應(yīng)廠家和國(guó)外廠家。

從功能上，常用的一些信息安全產(chǎn)品有：加密產(chǎn)品、防火墻、防病毒產(chǎn)品、入侵檢測(cè)產(chǎn)品、虛擬專(zhuān)網(wǎng)產(chǎn)品，此外，還有身份鑒別產(chǎn)品、證書(shū)機(jī)關(guān)、物理安全產(chǎn)品。加密產(chǎn)品是十分傳統(tǒng)的信息安全產(chǎn)品，主要提供信息加密功能。加密產(chǎn)品一般可以分為鏈路加密、網(wǎng)絡(luò)加密、應(yīng)用加密和加密協(xié)處理器等幾個(gè)層次的產(chǎn)品。防火墻是用于實(shí)施網(wǎng)絡(luò)訪問(wèn)控制的產(chǎn)品，是最常見(jiàn)也是中國(guó)國(guó)內(nèi)技術(shù)十分成熟的信息安全產(chǎn)品之一。

防病毒產(chǎn)品是中國(guó)國(guó)內(nèi)最早出現(xiàn)并大規(guī)模使用的信息安全產(chǎn)品。國(guó)內(nèi)外生產(chǎn)的廠家好多，目前能夠在國(guó)內(nèi)獲得一定市場(chǎng)的都是不錯(cuò)的產(chǎn)品。

入侵檢測(cè)產(chǎn)品是近一兩年發(fā)展起來(lái)的，主要用于檢測(cè)網(wǎng)絡(luò)攻擊事件的發(fā)生。

9

網(wǎng)安設(shè)備選型規(guī)范

國(guó)內(nèi)外供貨廠家也較多。

身份鑒別產(chǎn)品也屬于十分傳統(tǒng)的產(chǎn)品，目前技術(shù)成熟的是一些基于信息技術(shù)的鑒別產(chǎn)品。一些基于生理參數(shù)（如：指紋、眼紋）的技術(shù)和產(chǎn)品發(fā)展很快，已經(jīng)有成熟產(chǎn)品推出。

虛擬專(zhuān)網(wǎng)產(chǎn)品是利用密碼技術(shù)和公共網(wǎng)絡(luò)構(gòu)建專(zhuān)用網(wǎng)絡(luò)的一種設(shè)備，該設(shè)備集成了網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、遠(yuǎn)程管理技術(shù)、鑒別技術(shù)等于一體，是用戶(hù)以十分低的成本構(gòu)建專(zhuān)用網(wǎng)絡(luò)的一種十分重要的產(chǎn)品。

證書(shū)機(jī)關(guān)是一類(lèi)十分基礎(chǔ)的產(chǎn)品，任何基于證書(shū)體制實(shí)現(xiàn)安全的信息系統(tǒng)都需要該產(chǎn)品。

物理安全產(chǎn)品是十分特別的信息安全產(chǎn)品，如干擾器、隔離計(jì)算機(jī)、隔離卡等，其主要功能是確保信息處理設(shè)備的物理安全，提供諸如防電磁輻射、物理隔離等功能。

（2）信息安全產(chǎn)品選型指南

信息安全產(chǎn)品的種類(lèi)比較多。大量安全產(chǎn)品的功能上也有一定交織。您在選型時(shí)一定要牢記以下幾個(gè)基本原則：

適用原則。絕對(duì)的安全是不存在的，因此您必需具有“安全風(fēng)險(xiǎn)〞意識(shí)。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對(duì)的安全。

企業(yè)應(yīng)考慮明白自己信息系統(tǒng)最大的安全要挾來(lái)自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無(wú)法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對(duì)主要的安全要挾，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。

不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國(guó)大量企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁〞。這種“補(bǔ)丁〞做法往往會(huì)給信息安全產(chǎn)品的選型帶來(lái)好多困難，由于好多時(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對(duì)矛盾。

企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評(píng)估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原

10

網(wǎng)安設(shè)備選型規(guī)范

則，對(duì)信息安全產(chǎn)品進(jìn)行選型。

詳細(xì)信息見(jiàn)附件：

2、硬件防火墻

硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。

11

網(wǎng)安設(shè)備選型規(guī)范

硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。它的安全和穩(wěn)定，直接關(guān)系到整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。因此，日常例行的檢查對(duì)于保證硬件防火墻的安全是十分重要的。

圖2.1深信服硬件防火墻

2.1具體選型原則

（1）總擁有成本和價(jià)格:防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有的成本不應(yīng)當(dāng)超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭遇最大損失的成本。防火墻的最終功能將是管理的結(jié)果，而非工程上的決策。

（2）明確系統(tǒng)需求:即用戶(hù)需要什么樣的網(wǎng)絡(luò)監(jiān)視、冗余度以及控制水平?？梢粤谐鲆粋€(gè)必需監(jiān)測(cè)怎樣的傳輸、必需允許怎樣的傳輸流通行，以及應(yīng)當(dāng)拒絕什么傳輸?shù)那鍐巍?/p>

（3）應(yīng)滿(mǎn)足企業(yè)特別要求:企業(yè)安全政策中的某些特別需求并不是每種防火墻都能提供的，這常會(huì)成為選擇防火墻時(shí)需考慮的因素之一，譬如：加密控制標(biāo)準(zhǔn)，訪問(wèn)控制，特別防衛(wèi)功能等。

（4）防火墻的安全性:防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能，普通用戶(hù)尋常無(wú)法判斷。用戶(hù)在選擇防火墻產(chǎn)品時(shí)，應(yīng)當(dāng)盡量選擇占市場(chǎng)份額較大同時(shí)又通過(guò)了國(guó)家權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。

（5）防火墻產(chǎn)品主要需求：企業(yè)級(jí)用戶(hù)對(duì)防火墻產(chǎn)品主要需求是：內(nèi)網(wǎng)安全性需求,細(xì)度訪問(wèn)控制能力需求,VPN需求,統(tǒng)計(jì)、計(jì)費(fèi)功能需求,帶寬管理能力需求等，這些都是選擇防火墻時(shí)側(cè)重考慮的方面。

（6）管理與培訓(xùn):管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。人員的培訓(xùn)和日常維護(hù)費(fèi)用尋常會(huì)占據(jù)較大的比例。一家優(yōu)秀的安全產(chǎn)品供應(yīng)商必需為其用戶(hù)提供良好的培訓(xùn)和售后服務(wù)。

12

網(wǎng)安設(shè)備選型規(guī)范

（7）可擴(kuò)展性:網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用都有可能隨著新技術(shù)的出現(xiàn)而增加，網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升，因此便需要增加具有更高安全性的防火墻產(chǎn)品。

具體要求見(jiàn)以下文檔

防火墻的性能評(píng)估.doc網(wǎng)絡(luò)性能與安全性評(píng)估.ppt

2.2主流設(shè)備廠家

（1）國(guó)內(nèi)廠家：華為（USG系列產(chǎn)品，如USG5120，USG5520S，USG6390等）、天融信、網(wǎng)康、啟明星辰等

圖2.2華為USG6390

華為USG6390產(chǎn)品參數(shù)

重要參數(shù)網(wǎng)絡(luò)端口：8GE+4SFP控制端口：暫無(wú)數(shù)據(jù)外形設(shè)計(jì)：暫無(wú)數(shù)據(jù)產(chǎn)品尺寸：442×421×43.6mm主要參數(shù)設(shè)備類(lèi)型：下一代防火墻網(wǎng)絡(luò)端口：8GE+4SFPVPN支持：支持入侵檢測(cè)：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對(duì)設(shè)備的本地配置、遠(yuǎn)程維護(hù)、集中管理等多種手段，并提供完備的診斷、告警、測(cè)試等功能安全標(biāo)準(zhǔn)CE，ROHS，CB，UL，VCCI13

網(wǎng)安設(shè)備選型規(guī)范

處理器多核處理器一般參數(shù)電源AC:100-240V最大功率：170W產(chǎn)品尺寸：442×421×43.6mm產(chǎn)品重量：10kg適用環(huán)境工作溫度：0℃-40℃工作濕度：10%-95%其他性能環(huán)境感知、應(yīng)用安全、入侵防衛(wèi)、Web安全、郵件安全、數(shù)據(jù)安全、安全虛擬化、網(wǎng)絡(luò)安全、路由特性、部署及可靠性、智能管理產(chǎn)品特性擴(kuò)展槽位：2×WSIC產(chǎn)品形態(tài)：1UHDD：選配300GB單硬盤(pán)，支持熱插拔（2）國(guó)外廠家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等

圖2.2CISCOASA5512-K9整體外觀圖

CISCOASA5512-K9詳細(xì)參數(shù)

重要參數(shù)網(wǎng)絡(luò)端口：6個(gè)GE接口控制端口：2個(gè)USB2.0接口，1個(gè)console端口外形設(shè)計(jì)：1U產(chǎn)品尺寸：42.4×429×395mm設(shè)備類(lèi)型下一代防火墻并發(fā)連接數(shù)100,000網(wǎng)絡(luò)吞吐量，狀態(tài)檢測(cè)吞吐量最大：1Gbps，多協(xié)議狀態(tài)檢測(cè)吞吐量：14

網(wǎng)安設(shè)備選型規(guī)范

主要參數(shù)500Mbps，IPS吞吐量：250Mbps網(wǎng)絡(luò)端口6個(gè)GE接口控制端口2個(gè)USB2.0接口，1個(gè)console端口VPN支持支持一般參數(shù)電源AC100-240V，50/60Hz，4.85A外形設(shè)計(jì)1U產(chǎn)品尺寸42.4×429×395mm產(chǎn)品重量6.07kg其他性能includesfirewallservices，250IPsecVPNpeers，2SSLVPNpeers，6copperGigabitEthernetdataports，1copperGigabitEthernetmanagementport，1ACpowersupply，3DES/AESencryption具體信息見(jiàn)以下文檔：

2.3設(shè)備詳細(xì)信息2.3.1重要選擇參數(shù)

●吞吐量：在不丟包的狀況下單位時(shí)間內(nèi)通過(guò)的數(shù)據(jù)包數(shù)量（1）定義：在不丟包的狀況下能夠達(dá)到的最大每秒包轉(zhuǎn)發(fā)數(shù)量

（2）衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能

15

網(wǎng)安設(shè)備選型規(guī)范

圖2.3數(shù)據(jù)吞吐示意圖

●時(shí)延：數(shù)據(jù)包最終一個(gè)比特進(jìn)入防火墻到第一比特從防火墻輸出的時(shí)間間隔

（1）定義：入口處輸入幀的最終1個(gè)比特到達(dá)，至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔

（2）衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠表達(dá)它處理數(shù)據(jù)的速度

圖2.4時(shí)延

●丟包率：通過(guò)防火墻傳送時(shí)所丟失數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率

（1）定義：在連續(xù)負(fù)載的狀況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

（2）衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響

16

網(wǎng)安設(shè)備選型規(guī)范

圖2.5丟包率計(jì)算

●并發(fā)連接數(shù)：防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目

（1）定義：指穿越防火墻的主機(jī)之間,或主機(jī)與防火墻之間，能同時(shí)建立的最大連接數(shù)。

（2）衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試防火墻建立和維持TCP連接的性能，同時(shí)也能通過(guò)并發(fā)連接數(shù)的大小表達(dá)防火墻對(duì)來(lái)自于客戶(hù)端的TCP連接請(qǐng)求的響應(yīng)能力

圖2.6并發(fā)連接示意圖

●新建連接數(shù)：在不丟包的狀況下每秒可以建立的最大連接數(shù)

（1）定義：指穿越防火墻的主機(jī)之間，或主機(jī)與防火墻之間，單位時(shí)間內(nèi)建立的最大連接數(shù)。

（2）衡量標(biāo)準(zhǔn)：新建連接數(shù)主要用來(lái)衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力

17

網(wǎng)安設(shè)備選型規(guī)范

圖2.7新建連接示意圖

詳細(xì)的技術(shù)參數(shù)及性能要求見(jiàn)如下文檔

硬件防火墻技術(shù)參數(shù)及要求.doc

2.3.2主要技術(shù)類(lèi)型

（1）包過(guò)濾防火墻

也叫分組過(guò)濾防火墻。根據(jù)分組包的源、目的地址，端口號(hào)及協(xié)議類(lèi)型、標(biāo)志位確定是否允許分組包通過(guò)?！窀咝А⑼该?/p>

●不能防范部分的黑客IP欺騙類(lèi)攻擊●不能跟蹤TCP連接的狀態(tài)●不支持應(yīng)用層協(xié)議●對(duì)管理員要求高

●數(shù)據(jù)包協(xié)議類(lèi)型：TCP、UDP、ICMP、IGMP等●源、目的IP地址

18

網(wǎng)安設(shè)備選型規(guī)范

●源、目的端口：FTP、HTTP、DNS等●IP選項(xiàng)：源路由選項(xiàng)等

●TCP選項(xiàng)：SYN、ACK、FIN、RST等

●其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等●數(shù)據(jù)包流向：in或out

●數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1

圖2.8包過(guò)濾防火墻工作區(qū)域

包過(guò)濾防火墻應(yīng)用實(shí)例：

19

圖2.9包過(guò)濾防火墻應(yīng)用實(shí)例

網(wǎng)安設(shè)備選型規(guī)范

（2）應(yīng)用網(wǎng)關(guān)防火墻

也叫應(yīng)用代理防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序；對(duì)每個(gè)新的應(yīng)用必需添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)?！癜踩愿?/p>

●提供應(yīng)用層的安全

●可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)●性能差●伸縮性差

●只支持有限的應(yīng)用●不透明●難于配置●處理速度較慢

圖2.10應(yīng)用網(wǎng)關(guān)防火墻工作區(qū)域

20

網(wǎng)安設(shè)備選型規(guī)范

圖2.11應(yīng)用網(wǎng)關(guān)防火墻工作模型一個(gè)Telnet代理的例子：

圖2.12應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用實(shí)例

（3）狀態(tài)檢測(cè)防火墻

又稱(chēng)動(dòng)態(tài)包過(guò)濾防火墻。對(duì)于新建立的應(yīng)用連接，狀態(tài)檢測(cè)型防火墻先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)；記錄下該連接的相關(guān)信息，生成狀態(tài)表；對(duì)該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過(guò)。目前的狀態(tài)檢測(cè)技術(shù)僅可用于TCP/IP網(wǎng)絡(luò)。

21

網(wǎng)安設(shè)備選型規(guī)范

圖2.13狀態(tài)檢測(cè)防火墻工作區(qū)域

狀態(tài)檢測(cè)防火墻處理示意圖：

圖2.14狀態(tài)監(jiān)測(cè)防火墻工作流程

●連接狀態(tài)可以簡(jiǎn)化規(guī)則的設(shè)置●提供了完整的對(duì)傳輸層的控制能力

●使防火墻性能得到較大的提高，特別是大流量的處理能力

●根據(jù)從所有層中提取的與狀態(tài)相關(guān)信息來(lái)做出安全決策，使得安全性也得到

22

網(wǎng)安設(shè)備選型規(guī)范

進(jìn)一步的提高

●對(duì)應(yīng)用層檢測(cè)不夠深入

4、傳統(tǒng)火墻的弱點(diǎn)

圖2.15傳統(tǒng)包過(guò)濾防火墻過(guò)濾過(guò)程

傳統(tǒng)的包過(guò)濾和狀態(tài)檢測(cè)防火墻弱點(diǎn)如下：●沒(méi)有深度包檢測(cè)來(lái)發(fā)現(xiàn)惡意代碼●不進(jìn)行包重組

●惡意程序可以通過(guò)信任端口建立隧道穿過(guò)去

●傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防衛(wèi)內(nèi)部攻擊分組過(guò)

5、深度檢測(cè)防火墻

●深度檢測(cè)技術(shù)深入檢查通過(guò)防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷

●以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包

●可以更有效的辨識(shí)和防護(hù)緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、各種欺騙性技術(shù)以及蠕蟲(chóng)病毒

23

網(wǎng)安設(shè)備選型規(guī)范

6、復(fù)合型防火墻

圖2.16深度檢測(cè)防火墻工作過(guò)程

圖2.17復(fù)合型防火墻工作模型

2.3.3主要架構(gòu)

在未來(lái)的網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)的基于x86體系結(jié)構(gòu)的工控機(jī)防火墻已不能滿(mǎn)足寬帶網(wǎng)絡(luò)高吞吐量、低時(shí)延的要求，而網(wǎng)絡(luò)處理器（NetworkProcessor）和專(zhuān)用集成

24

網(wǎng)安設(shè)備選型規(guī)范

電路（ASIC）技術(shù)被以為是未來(lái)千兆防火墻的主要方向。

（1）X86架構(gòu)：最初的千兆防火墻是基于X86架構(gòu)。X86架構(gòu)采用通用CPU和PCI總線接口，具有很高的靈活性和可擴(kuò)展性，過(guò)去一直是防火墻開(kāi)發(fā)的主要平臺(tái)。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶(hù)的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。但其性能發(fā)展卻受到體系結(jié)構(gòu)的制約，作為通用的計(jì)算平臺(tái)，x86的結(jié)構(gòu)層次較多，不易優(yōu)化，且往往會(huì)受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。同時(shí)好多X86架構(gòu)的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會(huì)存在安全漏洞。

（2）ASIC架構(gòu)：相比之下，ASIC防火墻通過(guò)專(zhuān)門(mén)設(shè)計(jì)的ASIC芯片規(guī)律進(jìn)行硬件加速處理。ASIC通過(guò)把指令或計(jì)算規(guī)律固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過(guò)軟件改變應(yīng)用規(guī)律，具有更廣泛的適應(yīng)能力。但是，ASIC的缺點(diǎn)也同樣明顯，它的靈活性和擴(kuò)展性不夠，開(kāi)發(fā)費(fèi)用高，開(kāi)發(fā)周期太長(zhǎng)，一般耗時(shí)接近2年。雖然研發(fā)成本較高，靈活性受限制、無(wú)法支持太多的功能，但其性能具有先天的優(yōu)勢(shì)，十分適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。目前，NetScreen在ASIC防火墻領(lǐng)域占有優(yōu)勢(shì)地位，而我國(guó)的首信也推出了我國(guó)基于自主技術(shù)的ASIC千兆防火墻產(chǎn)品。

（3）NP架構(gòu)：NP可以說(shuō)是介于兩者之間的技術(shù)，NP是專(zhuān)門(mén)為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過(guò)濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專(zhuān)門(mén)的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。硬件結(jié)構(gòu)設(shè)計(jì)也大多采用高速的接口技術(shù)和總線規(guī)范，具有較高的I/O能力。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級(jí)，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計(jì)支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)品的生命周期更長(zhǎng)。由于防火墻處理的就是網(wǎng)絡(luò)數(shù)據(jù)包，所以基于NP架構(gòu)的防火墻與X86架構(gòu)的防火墻相比，性能得到了很大的提高。NP通過(guò)專(zhuān)門(mén)的指令集和配套的軟件開(kāi)發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開(kāi)發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。但是，相比于X86架構(gòu)，

25

網(wǎng)安設(shè)備選型規(guī)范

由于應(yīng)用開(kāi)發(fā)、功能擴(kuò)展受到NP的配套軟件的限制，基于NP技術(shù)的防火墻的靈活性要差一些。由于依靠軟件環(huán)境，所以在性能方面NP不如ASIC。NP開(kāi)發(fā)的難度和靈活性都介于ASIC和x86構(gòu)架之間，應(yīng)當(dāng)說(shuō)，NP是X86架構(gòu)和ASIC之間的一個(gè)折衷。目前NP的主要提供商是Intel和Motorola，國(guó)內(nèi)基于NP技術(shù)開(kāi)發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。

從上面可以看出，X86架構(gòu)、NP和ASIC各有優(yōu)缺點(diǎn)。X86架構(gòu)靈活性最高，新功能、新模塊擴(kuò)展簡(jiǎn)單，但性能確定滿(mǎn)足不了千兆需要。ASIC性能最高，千兆、萬(wàn)兆吞吐速率均可實(shí)現(xiàn)，但靈活性最低，定型后再擴(kuò)展十分困難。NP則介于兩者之間，性能可滿(mǎn)足千兆需要，同時(shí)也具有一定的靈活性。三種架構(gòu)綜合比較：

架構(gòu)類(lèi)型靈活性擴(kuò)展性開(kāi)放性穩(wěn)定性性能X86高高中低最高2GbpsNP中中高中千兆ASIC低低低高可達(dá)萬(wàn)兆防火墻常見(jiàn)架構(gòu)的比較.docx

2.3.4接口類(lèi)型

網(wǎng)絡(luò)防火墻至少應(yīng)當(dāng)提供3個(gè)網(wǎng)絡(luò)接口，分別用于連接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)域。假使能夠提供更多數(shù)量的端口，則還可以借助虛擬防火墻實(shí)現(xiàn)多路網(wǎng)絡(luò)連接。而接口速率則關(guān)系到網(wǎng)絡(luò)防火墻所能提供的最高傳輸速率，為了避免可能的網(wǎng)絡(luò)瓶頸，防火墻的接口速率應(yīng)當(dāng)為百兆、千兆或萬(wàn)兆。

網(wǎng)絡(luò)端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口

26

網(wǎng)安設(shè)備選型規(guī)范

2.3.5主要功能

（1）防火墻的基本功能：防火墻系統(tǒng)可以說(shuō)是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶(hù)選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成熟的硬件防火墻產(chǎn)品應(yīng)具有以下功能：

防火墻的設(shè)策略略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就阻止〞；防火墻本身支持安全策略，而不是添加上去的；假使組織機(jī)構(gòu)的安全策略發(fā)生改變，可以參與新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；假使需要，可以運(yùn)用過(guò)濾技術(shù)允許和阻止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過(guò)濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類(lèi)型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。

假使用戶(hù)需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)當(dāng)包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問(wèn)，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開(kāi)。防火墻應(yīng)當(dāng)能夠集中和過(guò)濾撥入訪問(wèn)，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。雖然沒(méi)有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。防火墻的強(qiáng)度和正確性應(yīng)當(dāng)可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)當(dāng)用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必需定期進(jìn)行。

正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。

（2）企業(yè)的特別要求：企業(yè)安全政策中往往有些特別需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一。常見(jiàn)的需求有網(wǎng)絡(luò)地址

27

網(wǎng)安設(shè)備選型規(guī)范

轉(zhuǎn)換功能(NAT)，雙重DNS、虛擬專(zhuān)用網(wǎng)絡(luò)、掃毒功能、特別控制需求等。（3）與用戶(hù)網(wǎng)絡(luò)結(jié)合：包括管理的難易度、自身的安全性、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶(hù)狀況等。

2.3.6安裝位置

防火墻拓?fù)湮恢?/p>

●專(zhuān)用（內(nèi)部）和公共（外部）網(wǎng)絡(luò)之間●網(wǎng)絡(luò)的出口和入口處

●專(zhuān)用網(wǎng)絡(luò)內(nèi)部：關(guān)鍵的網(wǎng)段，如數(shù)據(jù)中心

防火墻區(qū)域●Trust（內(nèi)部）

●Untrust（外部，Internet）

●DMZ（DemilitarizedZone，非武裝軍事區(qū)）

3、入侵檢測(cè)IDS

入侵檢測(cè)系統(tǒng)(IDS)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶(hù)的非授權(quán)行為,是為保

28

網(wǎng)安設(shè)備選型規(guī)范

證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，簡(jiǎn)稱(chēng)IDS)

圖3.1入侵檢測(cè)系統(tǒng)

圖3.2入侵檢測(cè)系統(tǒng)架構(gòu)

29

網(wǎng)安設(shè)備選型規(guī)范

3.1性能評(píng)價(jià)標(biāo)準(zhǔn)

1、評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)

（1）確鑿性(Accuracy)：指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)，否則會(huì)造成虛警現(xiàn)象。

（2）處理性能（Performance）：指一個(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。（3）完備性(Compliteness)：指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。（相對(duì)困難）

（4）容錯(cuò)性（FaultTolerance）：入侵檢測(cè)系統(tǒng)自身必需能夠抵御對(duì)它自身的攻擊，特別是拒絕服務(wù)攻擊（Denial-Of-Service）。

（5）及時(shí)性(Timeliness)：及時(shí)性要求入侵檢測(cè)系統(tǒng)必需盡快地分析數(shù)據(jù)并把分析結(jié)果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應(yīng)，阻止攻擊者顛覆審計(jì)系統(tǒng)甚至入侵檢測(cè)系統(tǒng)的企圖。它不僅要求處理速度快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。2、或者用另一種評(píng)價(jià)方法評(píng)價(jià)：

（1）有效性：指研究檢測(cè)機(jī)制的檢測(cè)確切度和系統(tǒng)報(bào)警的可信度。

（2）效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來(lái)考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。

（3）虛警（falsepositive）：把系統(tǒng)的“正常行為〞作為“異常行為〞進(jìn)行報(bào)警（4）漏警(falsenegative)：假使檢測(cè)系統(tǒng)對(duì)部分針對(duì)系統(tǒng)的入侵活動(dòng)不能識(shí)別、報(bào)警，稱(chēng)為系統(tǒng)漏警。

（5）檢測(cè)率：指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。（6）虛警率：指檢測(cè)系統(tǒng)在檢測(cè)時(shí)出現(xiàn)虛警的概率。

3.2主流設(shè)備廠家

（1）國(guó)內(nèi)廠家：華為、啟明星辰、網(wǎng)御星云、天融信下圖為華為某IDS設(shè)備圖

30

網(wǎng)安設(shè)備選型規(guī)范

圖3.3華為NIP2100D

其具體參數(shù)如下：

圖3.4華為NIP2100D信息

圖3.5啟明星辰NS100信息

31

網(wǎng)安設(shè)備選型規(guī)范

（2）國(guó)外廠家：Cisco、Juniper、Checkpoint

Cisco入侵檢測(cè)系統(tǒng)4200系列設(shè)備檢測(cè)器，CiscoIDS4200系列設(shè)備檢測(cè)器包括三型產(chǎn)品：CiscoIDS4210、CiscoIDS4235和CiscoIDS4250。整個(gè)CiscoIDS設(shè)備系列提供多種解決方案，這些解決方案可以集成到多種不同的環(huán)境中，包括企業(yè)和電信運(yùn)營(yíng)商環(huán)境。每個(gè)設(shè)備檢測(cè)器都能提供多檔性能，滿(mǎn)足從45Mbps到千兆位的帶寬要求。

3.3設(shè)備詳細(xì)信息3.3.1重要選擇參數(shù)

具體參數(shù)指標(biāo)（暫無(wú)），以下指標(biāo)為根據(jù)部分產(chǎn)品信息得來(lái)的一些選擇參數(shù)（1）最大檢測(cè)率（2）最大并發(fā)連接數(shù)（3）每秒新建連接數(shù)

（4）處理能力（默認(rèn)漏報(bào)率為0時(shí)）（5）漏報(bào)率和誤報(bào)率（6）延遲（7）吞吐量

（8）特征數(shù)：去除冗余參數(shù)，保存能夠反映系統(tǒng)狀態(tài)的重要參數(shù)的一個(gè)算法

3.3.2主要技術(shù)類(lèi)型

（1）基于主機(jī):系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是由代理(agent)來(lái)實(shí)現(xiàn)的，代理是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序，它們與命令控制臺(tái)(console)通信。

（2）基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由廣泛網(wǎng)絡(luò)的傳感器(sensor)組成，傳感器是一臺(tái)將以太網(wǎng)卡置于混雜模式的計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包。

32

網(wǎng)安設(shè)備選型規(guī)范

（3）混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，會(huì)造成防衛(wèi)體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常狀況。

圖3.6混合型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

3.3.3主要構(gòu)成

IETF（Internet工程任務(wù)組）將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫(kù)（Eventdatabases）。

事件產(chǎn)生器的功能是從整個(gè)計(jì)算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。事件分析器分析得到的事件數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，用于指導(dǎo)事件的分析及反應(yīng)，它可以是繁雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。下圖為IDS入侵檢測(cè)系統(tǒng)報(bào)警過(guò)程，

33

網(wǎng)安設(shè)備選型規(guī)范

圖3.7入侵檢測(cè)報(bào)警

3.3.4接口類(lèi)型

網(wǎng)絡(luò)端口（光、電口），控制端口

3.3.5主要功能

基本功能：

（1）監(jiān)視并分析用戶(hù)和系統(tǒng)的活動(dòng)（2）檢查系統(tǒng)配置和漏洞

（3）檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識(shí)別代表已知攻擊的活動(dòng)模式（5）對(duì)反常行為模式的統(tǒng)計(jì)分析

（6）對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶(hù)活動(dòng)。

其他功能：攻擊檢測(cè)能力；響應(yīng)方式；日志與報(bào)表；策略功能；管理功能；用戶(hù)管理；升級(jí)管理；產(chǎn)品安全性

34

網(wǎng)安設(shè)備選型規(guī)范

3.3.6安裝位置

IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護(hù)資源這些位置尋常是：

（1）服務(wù)器區(qū)域的交換機(jī)上

（2）Internet接入路由器之后的第一臺(tái)交換機(jī)上（3）重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

防火墻和IDS可以分開(kāi)操作，IDS是個(gè)監(jiān)控系統(tǒng)，可以自行選擇適合的，或是符合需求的，譬如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！

圖3.8某網(wǎng)絡(luò)中入侵檢測(cè)設(shè)備位置

35

網(wǎng)安設(shè)備選型規(guī)范

4．入侵防衛(wèi)IPS

入侵防衛(wèi)系統(tǒng)(IPS:IntrusionPreventionSystem)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件（AntivirusPrograms）和防火墻(PacketFilter,ApplicationGateway)的補(bǔ)充。入侵防衛(wèi)系統(tǒng)(Intrusion-preventionsystem)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

36

網(wǎng)安設(shè)備選型規(guī)范

圖4.1某IPS系統(tǒng)工作模型

詳細(xì)信息見(jiàn)附件：

山石網(wǎng)科發(fā)布網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)解決方案

4.1具體性能要求

針對(duì)越來(lái)越多的蠕蟲(chóng)、病毒、間諜軟件、垃圾郵件、DDoS等混合要挾及黑客攻擊，不僅需要有效檢測(cè)到各種類(lèi)型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。

一款優(yōu)秀的網(wǎng)絡(luò)入侵防衛(wèi)系統(tǒng)應(yīng)當(dāng)具備以下特征：

（1）滿(mǎn)足高性能的要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；

（2）提供針對(duì)各類(lèi)攻擊的實(shí)時(shí)檢測(cè)和防衛(wèi)功能，同時(shí)具備豐富的訪問(wèn)控制能力，在任何未授權(quán)活動(dòng)開(kāi)始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來(lái)的損失；（3）確鑿識(shí)別各種網(wǎng)絡(luò)流量，降低漏報(bào)和誤報(bào)率，避免影響正常的業(yè)務(wù)通訊；（4）全面、精細(xì)的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)；

37

網(wǎng)安設(shè)備選型規(guī)范

（5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；

（6）可擴(kuò)展的多鏈路IPS防護(hù)能力，避免不必要的重復(fù)安全投資；

（7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時(shí)間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時(shí)也支持旁路模式部署，用于攻擊檢測(cè)，適合不同客戶(hù)需要；

（8）支持分級(jí)部署、集中管理，滿(mǎn)足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。

4.2主流設(shè)備廠家

（1）國(guó)內(nèi)廠家：華為、H3C、天融信、啟明星辰、DCN華為入侵防衛(wèi)系統(tǒng)：

圖4.2華為入侵防衛(wèi)系統(tǒng)

關(guān)于華為設(shè)備詳細(xì)信息見(jiàn)附件：

華為NIP2100系列入侵防衛(wèi)系統(tǒng)

目前大量廠家產(chǎn)品中將入侵檢測(cè)和入侵防衛(wèi)融合到一起，同時(shí)對(duì)系統(tǒng)中流量進(jìn)行監(jiān)管和防護(hù)，如以下這件產(chǎn)品中其功能包含：入侵檢測(cè)和防衛(wèi)功能，稱(chēng)之為IDP系統(tǒng)。

38

網(wǎng)安設(shè)備選型規(guī)范

圖4.3某產(chǎn)品信息

（2）國(guó)外廠家：思科、Juniper

圖4.4CiscoFirePOWER8000系列設(shè)備

Cisco入侵防衛(wèi)系統(tǒng)產(chǎn)品手冊(cè)：

4.3設(shè)備詳細(xì)信息4.3.1重要選擇參數(shù)

（1）吞吐量：作為用戶(hù)選擇和衡量NIPS性能最重要的指標(biāo)之一，吞吐量是指NIPS在不丟包的狀況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說(shuō)明NIPS數(shù)據(jù)處理能力越強(qiáng)。

（2）延遲：現(xiàn)在網(wǎng)絡(luò)的應(yīng)用種類(lèi)十分繁雜，大量應(yīng)用對(duì)延遲十分敏感(例如音頻、視頻等)而網(wǎng)絡(luò)中參與NIPS必然會(huì)增加傳輸延遲，所以較低的延遲對(duì)NIPS來(lái)說(shuō)也是不可或缺的。

（3）最大并發(fā)連接數(shù)：最大并發(fā)連接數(shù)決定了NIPS能夠同時(shí)支持的并發(fā)用戶(hù)數(shù)，它反映出NIPS對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力，這對(duì)于NIPS來(lái)說(shuō)也是一個(gè)十分重要的性能指標(biāo)，特別是在受NIPS保護(hù)的網(wǎng)絡(luò)向外部網(wǎng)絡(luò)提供

39

網(wǎng)安設(shè)備選型規(guī)范

公眾服務(wù)的狀況下，一般來(lái)說(shuō)，該指標(biāo)越大越好。

4.3.2主要技術(shù)類(lèi)型

（1）基于主機(jī)的入侵防衛(wèi)(HIPS)：HIPS通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。基于主機(jī)的入侵防衛(wèi)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器、主機(jī)發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫(xiě)動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。

（2）基于網(wǎng)絡(luò)的入侵防衛(wèi)(NIPS)：NIPS通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS尋常被設(shè)計(jì)成類(lèi)似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。

（3）應(yīng)用入侵防衛(wèi)(AIP)：IPS產(chǎn)品有一個(gè)特例，即應(yīng)用入侵防衛(wèi)（ApplicationIntrusionPrevention，AIP），它把基于主機(jī)的入侵防衛(wèi)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。AIP被設(shè)計(jì)成一種高性能的設(shè)備，配置在應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)鏈路上，以確保用戶(hù)遵守設(shè)定好的安全策略，保護(hù)服務(wù)器的安全。NIPS工作在網(wǎng)絡(luò)上，直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)。

4.3.3接口類(lèi)型

（1）若干自適應(yīng)10/100/1000光/電口，作為監(jiān)控端口，區(qū)分旁路和非旁路監(jiān)控端口

（2）模塊化端口（3）管理端口等

4.3.4主要功能

（1）異常偵查。正如入侵偵查系統(tǒng),入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的尋常的樣子，可以對(duì)照識(shí)別異常。

40

網(wǎng)安設(shè)備選型規(guī)范

（2）在遇到動(dòng)態(tài)代碼(ActiveX,JavaApplet,各種指令語(yǔ)言scriptlanguages等等)時(shí)，先把它們放在沙盤(pán)內(nèi)，觀測(cè)其行為動(dòng)向，假使發(fā)現(xiàn)有可疑狀況，則中止傳輸，阻止執(zhí)行。

（3）有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對(duì)通過(guò)網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)路內(nèi)部的有害代碼實(shí)行有效阻止。

（4）核心基礎(chǔ)上的防護(hù)機(jī)制。用戶(hù)程序通過(guò)系統(tǒng)指令享用資源(如存儲(chǔ)區(qū)、輸入輸出設(shè)備、中央處理器等)。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請(qǐng)求。（5）對(duì)Library、Registry、重要文件和重要的文件夾進(jìn)行防守和保護(hù)。

4.3.5部署位置

隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)，已經(jīng)無(wú)法應(yīng)對(duì)一些安全要挾。在這種狀況下，IPS技術(shù)應(yīng)運(yùn)而生，IPS技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。

對(duì)于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），假使一旦發(fā)現(xiàn)隱蔽于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的要挾級(jí)別馬上采取抵御措施，這些措施包括（依照處理力度）：向管理中心告警；丟棄該報(bào)文；切斷此次應(yīng)用會(huì)話；切斷此次TCP連接。

進(jìn)行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實(shí)際狀況與重要程度，酌情部署。

下圖為華三SecPATHIPS設(shè)備部署方式，（1）IPS在線部署方式

部署于網(wǎng)絡(luò)的關(guān)鍵路徑上，對(duì)流經(jīng)的數(shù)據(jù)流進(jìn)行2-7層深度分析，實(shí)時(shí)防衛(wèi)外部和內(nèi)部攻擊。

41

網(wǎng)安設(shè)備選型規(guī)范

圖4.4IPS在線部署方式

（2）IDS旁路部署方式

對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)與分析，記錄攻擊事件并告警。

圖4.5IDS旁路部署方式

4.4IDS和IPS的區(qū)別和選擇

IPS對(duì)于初始者來(lái)說(shuō)，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，假使檢測(cè)到攻擊，IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報(bào)警的作用，而不是在你的網(wǎng)絡(luò)前面起到防衛(wèi)的作用。

IPS檢測(cè)攻擊的方法也與IDS不同。一般來(lái)說(shuō)，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。

目前無(wú)論是從業(yè)于信息安全行業(yè)的專(zhuān)業(yè)人士還是普通用戶(hù)，都認(rèn)為入侵檢測(cè)系統(tǒng)和入侵防衛(wèi)系統(tǒng)是兩類(lèi)產(chǎn)品，并不存在入侵防衛(wèi)系統(tǒng)要替代入侵檢測(cè)系統(tǒng)的可能。但由于入侵防衛(wèi)產(chǎn)品的出現(xiàn)，給用戶(hù)帶來(lái)新的困惑：終究什么狀況下該選

42

網(wǎng)安設(shè)備選型規(guī)范

擇入侵檢測(cè)產(chǎn)品，什么時(shí)候該選擇入侵防衛(wèi)產(chǎn)品呢?

從產(chǎn)品價(jià)值角度講：入侵檢測(cè)系統(tǒng)重視的是網(wǎng)絡(luò)安全狀況的監(jiān)管。入侵防衛(wèi)系統(tǒng)關(guān)注的是對(duì)入侵行為的控制。與防火墻類(lèi)產(chǎn)品、入侵檢測(cè)產(chǎn)品可以實(shí)施的安全策略不同，入侵防衛(wèi)系統(tǒng)可以實(shí)施深層防衛(wèi)安全策略，即可以在應(yīng)用層檢測(cè)出攻擊并予以阻斷，這是防火墻所做不到的，當(dāng)然也是入侵檢測(cè)產(chǎn)品所做不到的。從產(chǎn)品應(yīng)用角度來(lái)講：為了達(dá)到可以全面檢測(cè)網(wǎng)絡(luò)安全狀況的目的，入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀測(cè)到所有網(wǎng)絡(luò)數(shù)據(jù)。假使信息系統(tǒng)中包含了多個(gè)規(guī)律隔離的子網(wǎng)，則需要在整個(gè)信息系統(tǒng)中實(shí)施分布部署，即每子網(wǎng)部署一個(gè)入侵檢測(cè)分析引擎，并統(tǒng)一進(jìn)行引擎的策略管理以及事件分析，以達(dá)到掌控整個(gè)信息系統(tǒng)安全狀況的目的。

而為了實(shí)現(xiàn)對(duì)外部攻擊的防衛(wèi)，入侵防衛(wèi)系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界。這樣所有來(lái)自外部的數(shù)據(jù)必需串行通過(guò)入侵防衛(wèi)系統(tǒng)，入侵防衛(wèi)系統(tǒng)即可實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，發(fā)現(xiàn)攻擊行為馬上予以阻斷，保證來(lái)自外部的攻擊數(shù)據(jù)不能通過(guò)網(wǎng)絡(luò)邊界進(jìn)入網(wǎng)絡(luò)。

入侵檢測(cè)系統(tǒng)IDS的核心價(jià)值在于通過(guò)對(duì)全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防衛(wèi)系統(tǒng)IPS的核心價(jià)值在于對(duì)數(shù)據(jù)的深度分析及安全策略的實(shí)施—對(duì)黑客行為的阻擊；入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來(lái)自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防衛(wèi)系統(tǒng)則必需部署在網(wǎng)絡(luò)邊界，抵御來(lái)自外部的入侵，對(duì)內(nèi)部攻擊行為無(wú)能為力。

IPS可以理解為深度f(wàn)ilewall。

43

網(wǎng)安設(shè)備選型規(guī)范

5、統(tǒng)一要挾管理設(shè)備UTM

統(tǒng)一要挾管理(UnifiedThreatManagement)，2023年9月，IDC首度提出“統(tǒng)一要挾管理〞的概念，即將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一要挾管理(UnifiedThreatManagement，簡(jiǎn)稱(chēng)UTM)新類(lèi)別。IDC將防病毒、防火墻和入侵檢測(cè)等概念融合到被稱(chēng)為統(tǒng)一要挾管理的新類(lèi)別中，該概念引起了業(yè)界的廣泛重視，并推動(dòng)了以整合式安全設(shè)備為代表的市場(chǎng)細(xì)分的誕生。本設(shè)備主要適用于中小型企業(yè)、中小辦公機(jī)構(gòu)及多分支機(jī)構(gòu)，另外對(duì)于大型企業(yè)、電信企業(yè)骨干網(wǎng)等可以作為防火墻等網(wǎng)絡(luò)安全設(shè)備的有效補(bǔ)充。

由IDC提出的UTM是指由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專(zhuān)門(mén)用途的設(shè)備，它主要提供一項(xiàng)或多項(xiàng)安全功能，將多種安全特性集成于一個(gè)硬設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一管理平臺(tái)。

44

網(wǎng)安設(shè)備選型規(guī)范

圖5.1天清漢馬UTM設(shè)備圖

5.1具體選型原則

從定義上來(lái)講，UTM設(shè)備應(yīng)當(dāng)具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防衛(wèi)和網(wǎng)關(guān)防病毒功能。

雖然UTM集成了多種功能，但卻不一定要同時(shí)開(kāi)啟。根據(jù)不同用戶(hù)的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級(jí)別。也就是說(shuō)，假使用戶(hù)需要同時(shí)開(kāi)啟多項(xiàng)功能，則需要配置性能比較高、功能比較豐富的產(chǎn)品。（1）易用性：由于UTM包含了眾多的安全特性，因此能否便利快捷地部署，成為了用戶(hù)的首要訴求。曾有用戶(hù)調(diào)查顯示，用戶(hù)對(duì)UTM易用性的關(guān)注超越了入侵防衛(wèi)和防病毒，成為用戶(hù)在選購(gòu)UTM時(shí)最關(guān)注的問(wèn)題。

（2）集中管理能力：UTM應(yīng)當(dāng)具有基于組的集群管理功能，當(dāng)在一個(gè)網(wǎng)絡(luò)中部署多臺(tái)UTM設(shè)備時(shí)，可以通過(guò)集中管理中心來(lái)對(duì)設(shè)備組進(jìn)行配置，這樣經(jīng)過(guò)一次配置，組內(nèi)所有的UTM設(shè)備可以整體生效。另外通過(guò)集群管理，可以把分散在不同地方的UTM設(shè)備的日志進(jìn)行統(tǒng)一分析處理，形成全網(wǎng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告。

（3）病毒庫(kù)和入侵防衛(wèi)特征庫(kù)的在線升級(jí)：跟防火墻不同，UTM的病毒庫(kù)、入侵特征庫(kù)、反垃圾郵件庫(kù)必需及時(shí)進(jìn)行更新，這樣才能具有最新的安全防護(hù)能力，因此需要對(duì)UTM定期進(jìn)行升級(jí)。特別是通過(guò)在線升級(jí)的方式，能夠保證設(shè)備在最短的時(shí)間內(nèi)獲得更新。能否供給在線升級(jí)，以及在線升級(jí)的頻度，是考慮廠家實(shí)力和技巧水平的重要指標(biāo)。

（4）日志和流量處理能力：UTM應(yīng)能夠?qū)Σ《?、入侵等高要挾性事件進(jìn)行日志記載，并通過(guò)郵件等方式進(jìn)行告警;應(yīng)能通過(guò)NetFlow等技巧對(duì)網(wǎng)絡(luò)流量進(jìn)行分析，可以查詢(xún)實(shí)時(shí)流量和歷史流量，這不僅可以幫助管理者更好地評(píng)估網(wǎng)絡(luò)狀況，還能夠通過(guò)異常流量分析，發(fā)現(xiàn)潛伏的網(wǎng)絡(luò)要挾。產(chǎn)品規(guī)格及功能要求產(chǎn)品型號(hào)硬件規(guī)格提供小型、中型、大型多種設(shè)備型號(hào)1U~4U上架設(shè)備，具體規(guī)格見(jiàn)實(shí)際硬件型號(hào)說(shuō)明45

網(wǎng)安設(shè)備選型規(guī)范

訪問(wèn)控制防病毒VPN實(shí)現(xiàn)基于域名、IP地址、服務(wù)端口、IP協(xié)議、時(shí)間等元素的訪問(wèn)控制支持HTTP、FTP、POP3、SMTP協(xié)議的病毒防護(hù)，病毒庫(kù)自動(dòng)升級(jí)支持SSL-VPN、IPSEC-VPN，能夠與CISCO等廠商VPN設(shè)備互聯(lián)互通提供基于行為、內(nèi)容的垃圾郵件防護(hù)功能，支持郵件的延遲審核發(fā)送集成基于統(tǒng)一安全引擎的安全防護(hù)功能，提供全面的防火墻功能提供全面的入侵檢測(cè)與入侵防衛(wèi)功能支持典型P2P和IM軟件的過(guò)濾和帶寬限制支持QoS帶寬管理，基于IP、協(xié)議、服務(wù)、接口、時(shí)間等元