启明星辰天清汉马USG白皮书

启明星辰天清汉马启明星辰天清汉马 USGUSG 白皮书白皮书 2009 02 06 15 52 出处 出处 比特网作者 作者 于捷 我要评论 导读导读 天清汉马 USG 一体化安全网关是启明星辰研发的具有自主知识产权的统一威胁管理 UTM 产品 通过深层的数据包监测技术和智能过滤技术为企业提供多层次的立体化安全 防护 1 产品概述 比特网综合报道 天清汉马 USG 一体化安全网关是启明星辰研发的具有 自主知识产权的统一威胁管理 UTM 产品 通过深层的数据包监测技术和智能过 滤技术为企业提供多层次的立体化安全防护 天清汉马 USG 产品系列共计十余 款产品型号 丰富的产品型号和灵活的接口配置能够满足政府 教育 金融 企业 能源 运营商等用户对性能 可用性和可靠性的需求 天清汉马 USG 系列产品具备丰富的安全功能 如 防火墙 VPN 入侵防御 IPS 防病毒 上网行为管理 抗拒绝服务攻击 Anti DoS 内容过滤 反垃 圾邮件等 同时全面支持 QoS 高可用性 HA 日志审计等功能 为网络边界 提供了全面实时的安全防护 帮助用户抵御日益复杂的安全威胁 2 产品架构 天清汉马 USG 一体化安全网关采用 设计一体化 部署一体化 防御一体 化 管理一体化 的一体化设计思想 启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证 得 出网关类产品性能消耗 50 来自于模式匹配 25 来自于协议重组 25 来自于 报文重组的结论 USG 作为统一威胁管理类产品 功能涵盖了入侵防御 防病毒 防垃圾邮 件 内容过滤和流量管理等多项功能 那么必然包含多项的分析处理引擎 如 何融合分析处理引擎 合并性能消耗关键业务单元成为 UTM 产品软件结构设计 首要考虑的问题 基于以上研究数据 启明星辰在天清汉马 USG 一体化安全网关的软件结构 设计上引入了一体化的设计理念 即将入侵防御 防病毒 防垃圾邮件 内容 过滤和流量管理等各项功能的分析处理引擎进行一体化设计 以达到性能最优 的目的 模式匹配是分析处理引擎的关键性能消耗单元 因此 分析处理引擎的一 体化首先是模式匹配单元的融合 对于不同的功能模块 模式匹配是基于不同 特征库的 因此模式匹配的融合主要是特征库的统一 天清汉马 USG 一体化安全网关实现了特征库的统一 通过对病毒特征库 入侵特征库 内容过滤特征库 垃圾邮件特征库等统一进行格式化和归并处 理 并采用标签的方式转发到不同模块的处理引擎进行分项处理 完全实现了分析 处理引擎的一体化设计 极大的提高了多功能模块同时运行时的运行效率 天清汉马 USG 一体化安全网关本着安全高效的原则 采用 检测与控制相 分离 引擎特征相统一 的一体化设计思想 最终形成了以上的总体软件结 构 其中包括 人机界面 报文接收模块 报文处理模块 报文发送模块和支撑库 网络报文首先通过报文接收模块进行预处理后进入报文处理模块 在报文处理 模 块 防火墙进行 2 3 层过滤 VPN 负责接入控制 其次模块匹配引擎和行为 分析引擎分别根据统一特征库和行为知识库进行匹配查找 最后 对于合法报文 直接 交由报文发送模块进行报文转发 对于非法报文 送交响应的处理引擎进 行处理 整个过程的日志信息和数据流量信息送数据中心监控和备案 管理中 心负责整体的配置和调整 3 功能特性 完善的完善的防火墙防火墙特性特性 支持基于源 IP 目的 IP 源端口 目的端口 时间 服务 用户 文件 网址 关键字 邮件地址 脚本 MAC 地址等多种方式进行访问控制 支持流量管理 连接数控制 IP MAC 绑定 用户认证等 IPSIPS 坚固的防御体系坚固的防御体系 业界最完善的攻击特征库 包括 50 多类 超过 2000 项的入侵攻击特征 漏洞机理分析技术 精确抵御黑客攻击 蠕虫 木马 后门 应用还原重组技术 抑制间谍软件 灰色软件 网络钓鱼的泛滥 网络异常分析技术 全面防止拒绝服务攻击 业界领先的网络防业界领先的网络防病毒病毒技术技术 文件感染病毒 宏病毒 脚本病毒 蠕虫 木马 恶意软件 灰色软件 病毒库总计 150 000 病毒类型根据危害程度划分为 流行库 高危库 普通库 实用的流量监控系统实用的流量监控系统 NetFlowNetFlow 历史带宽使用趋势分析 带宽应用分布 带宽使用实时统计 IP 流量排 名等 多种手段全面清除垃圾邮件多种手段全面清除垃圾邮件 黑名单 白名单 可追查性检查 病毒扫描 附件类型和附件大小过滤 关键字过滤等 安全丰富的安全丰富的 VPNVPN 使组网变得简单使组网变得简单 丰富的手段 GRE IPSec L2TP SSL VPN 高效的性能 VPN 硬件加速卡 灵活的部署 Hub Spoken Full Mesh DVPN 完善的完善的 P2PP2P IMIM 流媒体 网络游戏和股票软件控制能力 流媒体 网络游戏和股票软件控制能力 P2P 控制 对 Emule BitTorrent Maze Kazaa 等进行阻断 限速 IM 控制 基于黑白名单的 IM 登录控制 文件传输阻止 查毒 支持主流 IM 软件如 QQ MSN 雅虎通 Gtalk Skype 流媒体控制 对流媒体应用进行阻断或限速 支持 Kamun ppfilm PPLive PPStream QQ 直播 TVAnts 沸点网络电视 猫扑播霸等 网络游戏控制 对常见网络游戏如魔兽世界 征途 QQ 游戏大厅 联众 游戏大厅等的阻断 股票软件控制 对常用股票软件如同花顺 大参考 大智慧等的阻断 网络接入控制网络接入控制 NAC NAC 终端安全审查 对终端的运行进程 系统补丁 病毒特征库更新等安全 信息实时检查 禁止不符合安全要求的用户接入网络 同时可对终端进行加固 策略实施和注册表保护等功能 网络行为管理 根据主机源地址 目标地址 目标服务 安全状态 控 制策略 访问进程限制 共同决定主机的访问策略 终端共计防护 通过自带的安全终端实现网关与终端的配合 增强防范 ARP 欺骗 TCP flood UDP flood 等多种类型的攻击 终端实时操控 实时对网络的终端在线信息 服务运行情况 主机进程 管理 网络连接信息和电脑补丁信息等进行监控和安全控制 强大的日志报表功能强大的日志报表功能 记录内容丰富 可对防火墙日志 攻击日志 病毒日志 带宽使用日志 Web 访问日志 Mail 发送日志 关键资产访问日志 用户登录日志等进行记录 日志快速查询 可对 IP 地址 端口 时间 危急程度 日志内容关键字 等进行查询 报表贴近需求 根据用户具体需求 定制报表内容 定制报名名称 定 制企业 LOGO 并可形成多种格式的报表文件 方便的集中管理功能方便的集中管理功能 通过集中管理中心实现对多台设备的统一管理 实时监控 集中升级和 拓扑展示 4 产品系列 5 典型应用 中小企业中小企业 对于拥有企业一级网络和下属二级网络的中小企业网络 大都通过互联网 来实现总部与二级网络的互联互通 部署 USG 网关让中小企业用户可以在一个统一的架构上建立自己的安全基 础设施 而以往困扰用户的安全产品协调性 资金和技术匮乏和缺乏中小企业 级安全解决方案等问题也能够得到完全解决 USG 网关产品部署在总部一级网络和分支二级网络 Internet 出口 同时开 启 FW AV 和 IPS 功能 全面抵御来自互联网的病毒和攻击威胁 同时可作为 VPN 网关 各二级网络与总部之间开启 VPN 隧道 保证相互间通信的保密性 在外出差的员工可以在任何时候通过 VPN 客户端与总部的天清汉马 USG 一体化 安全网关建立 VPN 隧道 访问公司内部的资源 实现高效安全的网络应用 大型企业大型企业 对于跨国大型企业 网络规模较大 用户数量多 业务系统较多 网络建 设类似于城域网 在安全建设方面也存在多点建设 除去在集团总部的互联网 出口需要安全防控外 各下属单位也有安全防护需求 图 1 大型企业网络结构示意图 在总部互联网出口部署的天清汉马 USG 一体化安全网关能够抵御来自互联 网的入侵攻击 同时为出差员工提供 VPN 接入 确保通信的保密性 在各分支机构出口部署 USG 网关 不但可以保证各分支机构与总部之间业 务通信的完整性和保密性同时可以有效控制不同机构之间的越权访问 并且防 止病毒在内网的大规模