启明一体化网关_解决方案

天清汉马USG一体化安全网关解决方案模版目录1概述12XXX系统安全风险分析421系统脆弱性分析422安全威胁分析4221被动攻击产生的威胁4222主动攻击产生的威胁43边界安全需求分析631边界访问控制需求分析632入侵防御需求分析633防病毒需求分析634用户身份认证和授权需求分析735网络传输安全需求分析836内容过滤安全需求分析837上网行为管理的需求838反垃圾邮件的需求939安全审计需求9310终端成为边界带来新的需求94信息安全体系建设1041建设原则1042安全建设的思路和方法1143安全域划分11431中心接入域的边界安全需求12432中心办公域的边界安全需求13433中心生产域的边界安全需求13434中心服务域的边界安全需求13435二级机构办公域的边界安全需求14436二级机构生产域的边界安全需求14437三级机构办公域的边界安全需求1444VPN网络建设1545UTM部署以及产品选择15451产品部署15452产品选择要求164521UTMA选择要求164522UTMB选择要求174523UTMC选择要求184524UTMD选择要求194525UTME选择要求2046产品选择建议215建议选择产品介绍2251产品综述2252特点说明2253产品系列简介2554体系架构说明25541产品构成25542硬件结构26543软件结构28544管理结构3055关键技术31551基于行为分析的合法性检查技术31552基于标签的融合式综合匹配技术32553事件关联分析技术与归并处理机制33554应用层协议类型识别技术35555高速深层检测技术37556智能内容过滤技术39557数据监控NETFLOW技术42558非法连接过滤技术43559多核SOC架构确保UTM性能445510完美融合终端安全451概述本部分主要对用户的网络建设情况，业务系统建设情况，原有的安全设备部署情况做简单的描述，可以在本部分提出用户网络中的关键安全问题，既引出本项目。随着XXXX（以下简称“XXXX”）信息化的发展，业务系统对信息系统的依赖程度也越来越高，信息安全的问题也越来越突出。为了有效防范和化解风险，保证XXXX信息系统平稳运行和业务持续开展，须建立XXXX的信息安全保障体系，以增强XXXX的信息安全风险防范能力。同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大。由于利益的驱使，针对信息系统的安全威胁越来越多，必需加强自身的信息安全保护工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升XXXX整体信息安全管理水平和抗风险能力，我们需要根据国内外先进信息安全管理机制结合XXXX自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。通过系统的信息安全体系规划和建设，将成为XXXX加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制的重要因素。XXXX信息系统网络结构分为三层，第一层为信息中心，第二层为二级机构，第三层为三级机构，分成两级广域网，一级广域网连接信息中心与二级机构，二级广域网连接二级机构与三级机构。网络拓扑结构如图一所示此处应插入用户实际网络拓扑图。（一）信息中心信息中心是全信息系统的核心，主要的应用系统及管理系统都部署在信息中心内部。信息中心负责与合作伙伴业务的连接。信息中心负责提供对外的网站和电子邮件服务。目前，信息中心生产网络和办公网络没有物理隔离，生产应用与办公应用同处一个网络中。操作系统主要有OS/400、AIX、UNIX、WINDOWS，以及其它设备的专用系统。数据库系统包括DB2、INFORMIX、SYBASE、ORACLE等。采用千兆网络，不同办公楼之间采用光纤线路，同办公楼内网络采用千兆以太网线路。全系统终端部署了终端防病毒产品。（二）二级机构二级机构网络是二级网络，通过专线（SDH或DDN）和备份线路（ISDN）与信息中心的网络互连。二级机构网络中包括了业务与办公的应用。生产网与办公网没有物理隔离。操作系统主要有UNIX、WINDOWS。采用百兆网络。部分终端部署了终端防病毒产品。（三）三级机构三级机构通过互联网与总部信息中心的网络连接。三级机构无独立的办公终端，无独立的互联网出口。操作系统主要有UNIX、WINDOWS。采用百兆网络。部分终端部署了终端防病毒产品。随着XXXX业务的不断发展，其网络系统也经历了多年的不断建设。在业务水平、网络规模不断提升的同时，网络也变得越来越复杂，而这种复杂也使其安全问题也越来越严峻。XXXX充分认识到了安全保证对于业务系统的重要性，采取了相应的安全措施，部署了一些安全设备发挥了积极的作用。但是安全的动态性、系统性的属性决定了安全是一个逐步完善、整体性的系统工程，需要管理、组织和技术各方面的合力。安全源于未雨绸缪，随着安全信息建设的逐步深入，XXXX立足于当前系统环境，考虑到未来业务发展趋势决定对系统进安全体系建设。目前XXXX网络所面临的主要问题，可以细化为网段之间边界不够清晰，控制力度弱，病毒、攻击等安全事件容易扩散；多数业务网段间仅采用VLAN隔离，存在较大风险；终端与重要服务器处于同一逻辑区域，重要信息服务器存在安全风险；边界复杂，缺乏对边界策略的统一控制；网络病毒，木马利用网络大肆传播；存在IM/P2P、网络游戏等滥用行为，影响工作效率和组织生产力；垃圾邮件防不胜防，成为病毒、木马传播的新载体。需要对终端用户方便地进行管理和审计，对用户进行准入控制2XXX系统安全风险分析此处通过分析目标信息系统的脆弱性、面临的威胁导出信息系统的安全需求。21系统脆弱性分析人的脆弱性人的安全意识不足导致的各种被攻击可能，如接受未知数据，设置弱口令等。安全技术的脆弱性操作系统和数据库的安全脆弱性，系统配置的安全脆弱性，访问控制机制的安全脆弱性，测评和认证的脆弱性。运行的脆弱性监控系统的脆弱性，无入侵检测设备，响应和恢复机制的不完善。22安全威胁分析221被动攻击产生的威胁1、网络和基础设施的被动攻击威胁局域网/骨干网线路的窃听；监视没被保护的通信线路；破译弱保护的通信线路信息；信息流量分析；利用被动攻击为主动攻击创造条件以便对网络基础设施设备进行破坏，如截获用户的账号或密码以便对网络设备进行破坏；机房和处理信息终端的电磁泄露。2、区域边界/外部连接的被动攻击威胁截取末受保护的网络信息；流量分析攻击；远程接入连接。3、计算环境的被动攻击威胁获取鉴别信息和控制信息；获取明文或解密弱密文实施重放攻击。4、支持性基础设施的被动攻击威胁机房和处理信息终端的信息电磁泄露；获取鉴别信息和控制信息。222主动攻击产生的威胁1、对网络和基础设施的主动攻击威胁一是可用带宽的损失攻击，如网络阻塞攻击、扩散攻击等。二是网络管理通讯混乱使网络基础设施失去控制的攻击。最严重的网络攻击是使网络基础设施运行控制失灵。如对网络运行和设备之间通信的直接攻击，它企图切断网管人员与基础设施的设备之间的通信，比如切断网管人员与交换机、路由器之间的通信，使网管人员失去对它们的控制。三是网络管理通信的中断攻击，它是通过攻击网络底层设备的控制信号来干扰网络传输的用户信息；引入病毒攻击；引入恶意代码攻击。2、对信息系统及数据主动攻击威胁试图阻断或攻破保护机制内网或外网；偷窃或篡改信息；利用社会工程攻击欺骗合法用户如匿名询问合法用户账号；伪装成合法用户和服务器进行攻击；IP地址欺骗攻击；拒绝服务攻击；利用协议和基础设施的安全漏洞进行攻击；利用远程接入用户对内网进行攻击；建立非授权的网络连接；监测远程用户链路、修改传输数据；解读未加密或弱加密的传输信息；恶意代码和病毒攻击。3、计算环境的主动攻击威胁引入病毒攻击；引入恶意代码攻击；冒充超级用户或其他合法用户；拒绝服务和数据的篡改；伪装成合法用户和服务器进行攻击；利用配置漏洞进行攻击；利用系统脆弱性操作系统安全脆弱性、数据库安全脆弱性实施攻击；利用服务器的安全脆弱性进行攻击；利用应用系统安全脆弱性进行攻击。4、支持性基础设施的主动攻击威胁对未加密或弱加密的通信线路的搭线窃听；用获取包含错误信息的证书进行伪装攻击；拒绝服务攻击如攻击目录服务等；中间攻击；攻击PIN获取对用户私钥的访问、在支持性基础设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对PKI私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息；利用备份信息进行攻击。3边界安全需求分析根据XXX信息系统的现状以及风险分析，我们认为XXX信息系统应着重解决如下安全需求31边界访问控制需求分析XXX信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施，很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、SYNFLOOD攻击、IP欺骗攻击等等获取系统权限，进入系统内部。所以需要对边界部署访问控制系统，有效地监控内部网和公共网之间的活动，并对数据进行过滤与控制，保证内部网络的安全。32入侵防御需求分析访问控制系统可以静态的实施访问控制策略，防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段（比如，利用内部系统的漏洞等）对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制，实现对网络系统进行自动的入侵检测和分析，对非法信息予以过滤，提高系统整体安全性。33防病毒需求分析防病毒必须立足于系统全网的角度，除了在终端部署放病毒产品控制病毒对终端的破坏，更应该在网络中部署安全产品，控制病毒的传播。目前病毒的发展主要呈现以下几个趋势，通过了解这些背景情况，将有助于了解防病毒体系的技术要求。病毒与黑客程序相结合随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。蠕虫病毒更加泛滥其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。病毒破坏性更大计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者，或者采取DOS（拒绝服务）的攻击。一方面可能会导致本机机密资料的泄漏，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞。制作病毒的方法更简单由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。病毒传播速度更快，传播渠道更多目前上网用户已不再局限于收发邮件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足道。同时，其它的网络连接方式如ICQ、IRC也成为了传播病毒的途径。病毒的实时检测更困难众所周知，对待病毒应以预防为主，如果发生了病毒感染，往往就已经造成了不可挽回的损失，因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。因此部署网关防病毒产品，控制病毒的传播至关重要。34用户身份认证和授权需求分析信息中心与合作伙伴以及与下级单位互联过程中，要向特定的远程用户或主机提供访问许可，包括二级机构、三级机构以及合作伙伴。同时信息中心内部业务人员在作业现场或出差在外，需要通过目前已知的所有上网方式接入到企业内部网。也可在某些通过地址转换方式上网的局域网以私有IP地址通过安全IP通道接入企业内部网。这些数据传输中涉及到大量的身份认证，确保机密性和不可抵赖性。主要需要认证的用户包括应用系统用户、数据用户、操作系统用户等。要求对关键业务、关键系统、关键数据的访问采用认证鉴别技术，保证合法用户访问合法数据。35网络传输安全需求分析信息中心与各级机构之间以及移动用户与信息中心进行业务操作过程中，通过租用电信运营商线路或者通过INTERNET进行数据业务的传输，在传输过程中，信息将面临搭线窃听、电磁信号分析都攻击手段，通过这些攻击手段，具有恶意行为的攻击者可以窃取信息的内容。对于XXX业务、办公信息等敏感内容，将带来较大的危害性。因此需要在信息传输两端部署具有VPN能力的设备或者软件保证传输安全。36内容过滤安全需求分析互联网虽然给用户带来巨大的价值，但它也是非法信息传播的温床，反动、色情、暴力等信息在互联网上随处可见，垃圾邮件占据了大量的合法带宽和用户存储资源。虽然国家有相关法律条例禁止这些不良信息，但仅仅依靠行政手段是无法达到彻底清除的目的。相比而言，技术手段则更加有效，需要安装内容过滤产品防止非法信息的传播。37上网行为管理的需求随着互联网的快速发展，即时通讯、P2P下载、网上炒股、在线视频播放等应用也变得日益广泛。对于组织来说，这些应用本身不属于威胁的范畴，但会影响组织的工作效率，降低组织的生产力，因此需要进行合理的控制。譬如，需要对P2P下载进行速度限制，禁止网上炒股，等等。38反垃圾邮件的需求邮件应用是互联网上最基本的网络应用，但由于互联网的开放性，垃圾邮件的问题也同样突出，并日渐成为用户的梦魇。垃圾邮件的危害不仅在于要占用用户大量的时间去对邮件进行筛选、处理，还因为垃圾邮件本身还是病毒、木马等威胁传播的重要途径，会对用户的终端和业务网络造成危害。为了净化网络流量，减少垃圾邮件的危害，在办公网络的边界处需要部署反垃圾邮件设备。39安全审计需求日志审计是信息安全的重要方面，它是实现安全事件的可追查性、不可否认性的重要数据环节。对于XXX信息系统由于数据来源多、数据量大、数据类型复杂，将面临大量的攻击事件。良好的安全审计能力是分析XXX信息系统安全状况的必要条件。310终端成为边界带来新的需求随着信息网络技术的发展，网络安全的势态发现了变化，终端正在成为新的网络边界。首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡，WIFI，CDMA/GPRS上网卡，MODEM拨号，红外，蓝牙，这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部内部网络的安全性无法保障。其次，在传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及（便携机销售超过台式机），产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络；另一方面，各种非公终端也可能接入内网（包括员工个人PC，以及合作伙伴，客户的PC）。随着用户PC的不断接入，内部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的PC这一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。目前大多数的终端安全解决方案中，网关安全和终端安全是孤立起来考虑的，不能做到有效的协同。但随着终端的边界化，只有站在网关的视点来看待终端安全，才能确保内网的真正安全。要使得网关和终端能够完美融合，真正的起到纵深防御，遥相呼应，需要在网关产品上整合终端安全策略，在网关产品上对内网终端进行统一的安全管理。4信息安全体系建设本处的总体思路是导出安全域划分是网络安全建设的基础，而UTM产品是进行安全域隔离的最佳手段，根据用户信息系统的特点以及业务特点进行针对性的安全域划分，并明确描述出隔离各个安全域所使用的USG设备，以及每USG设备所提供的安全保障能力。41建设原则在设计技术方案时要遵从以下原则实用性原则XXX的安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合XXX现有网络和应用情况，充分保证原有系统和结构的可用性。完整性原则XXX网络安全建设必需保证整个防御体系的完整性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障XXX的网络系统安全运行。整体均衡原则要对信息系统进行全面均衡的保护，要提高整个信息系统的“安全最低点“的安全性能，保证各个层面防护的均衡。安全目标与效率、投入之间的平衡原则要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。动态发展原则安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。节省投资原则在满足上述原则的基础上，应尽量作到节省设备采购投资，不要形成一种“用价值10元的设备来保护价值5元的资产”的局面。42安全建设的思路和方法鉴于XXX信息系统的主要问题是边界不清晰，且没有实施各个子网之间的信息隔离与过滤。因此建议首先采用安全域划分方法将整个信息系统分成多个安全等级不同的相对独立的子系统，既按照业务流程的不同层面划分为不同的安全域针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施。由于不同的安全之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证、信息过滤、防病毒、入侵防御和审计等安全策略的实施。根据对市场以有的安全产品分析，功能全面、维护简单且性价比较高的UTM类产品是比较好的选择。UTM产品提供了完整的边界安全保护能力，可以有效的实施访问控制、入侵检测与防护、防病毒、应用层信息过滤、流量管理、带宽管理等能力。同时由于仅使用一台设备即可实现完整的边界安全解决方案，将大大降低用户采购成本和维护成本。43安全域划分网络的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，有些系统是独立的网络，有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前XXX网络系统是一个庞大复杂的系统，在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是有保证系统和信息安全的有效手段。按数据分类分区域分等级保护，就是按数据分类进行分级，按数据分布进行区域划分，根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题，分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。根据XXX信息系统的特点将整个XXX信息系统分为如下安全域中心接入域包括外联区（与合作伙伴相连）、内联区（与二级机构相连）、DMZ区（对外公开服务器）以及内部网中的总部大楼和信息中心的接入部分。中心办公域总部工作人员办公用网络。中心生产域生产终端所在网络。中心服务域所有的业务生产系统的服务器都放置在这个区域。二级机构办公域二级单位的办公网络，每个具体的二级单位办公域形成一个独立子安全域。二级机构生产域二级单位的生产网络，每个具体的二级单位生产域形成一个独立子安全域。三级机构办公域三级单位的办公网络，每个具体的三级单位形成一个独立子安全域。431中心接入域的边界安全需求合法接入控制接入域内各子域边界的访问控制以及对应用数据进行安全过滤，对接入的数据或者用户进行身份认证与授权。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的病毒传播。抗拒绝服务攻击根据网络异常行为判断出拒绝服务攻击并予以阻断。传输安全接入域和其他安全域的互联方式可能需要加密传输，因此需要对敏感数据采用VPN技术进行加密。432中心办公域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击根据网络异常行为判断出拒绝服务攻击并予以阻断。防泄密监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。内容过滤对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。上网行为管理对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。防垃圾邮件防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。433中心生产域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。安全审计对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。434中心服务域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击根据网络异常行为判断出拒绝服务攻击并予以阻断。435二级机构办公域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。抗拒绝服务攻击根据网络异常行为判断出拒绝服务攻击并予以阻断。防泄密监控接入域客户的非业务流量，特别是进行文件和信息交换的协议，比如电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。内容过滤对基于标准协议的内容进行过滤，防止色情、非法信息的下载与传播。上网行为管理对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。防垃圾邮件防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。436二级机构生产域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。安全审计对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。437三级机构办公域的边界安全需求合法接入控制仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。防入侵检测来自外部的入侵行为并予以阻断。病毒过滤发现并阻断可能出现的蠕虫传播。安全审计对所有与业务相关的通讯进行纪录，保证可进行事后分析和可追查性检查。传输安全接入域和其他安全域的互联方式可能需要加密传输，因此需要对敏感数据采用VPN技术进行加密。上网行为管理对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。防垃圾邮件防止邮件炸弹攻击，对垃圾邮件进行过滤，提升工作效率。44VPN网络建设总部与三级机构进行业务数据传输是通过不安全的互联网进行的，因此需要采用安全等级较强的VPN技术实现传输安全。建议采用IPSEC协议建立VPN网络，对经过互联网的数据传输进行加密，具体的VPN网络示意图如下信息中心XX三级机构YY三级机构ZZ三级机构互联网45UTM部署以及产品选择451产品部署根据以上章节分析，XXX信息系统边界安全建设网络示意图如下建议专线互联网信息中心二级机构三级机构互联网域中心办公域中心生产域中心服务域接入域二级机构办公域二级机构生产域三级机构生产办公域专线网络域UTMAUTMEUTMDUTMCUTMB452产品选择要求4521UTMA选择要求项目要求网络接口不少于2个万兆XFP接口和10个千兆电口性能指标防火墙吞吐率20GBPSUTM综合性能4G并发连接500万功能应具有支持多种接入方式（透明接入、路由接入、混合接入）；防火墙功能；MAC地址绑定功能；地址转换功能；IPS功能；防病毒功能；内容过滤功能；身份认证功能；抗拒绝服务功能；NETFLOW流量分析功能；上网行为管理功能；防垃圾邮件功能；管理支持命令行和图形管理方式；支持实时状态监控能力；支持管理员分级。审计能力支持本地日志；支持远程日志；支持自动报警；支持自动报表。4522UTMB选择要求项目要求网络接口不少于8个千兆电口和4个千兆SFP接口性能指标吞吐率6GUTM综合性能500M并发连接200万功能应具有支持多种接入方式（透明接入、路由接入、混合接入）；防火墙功能；地址转换功能；IPS功能；防病毒功能；内容过滤功能；身份认证功能；VPN功能；抗拒绝服务功能；NETFLOW流量分析功能；上网行为管理功能；管理支持命令行和图形管理方式；支持实时状态监控能力；支持管理员分级。审计能力支持本地日志；支持远程日志；支持自动报警；支持自动报表。4523UTMC选择要求项目要求网络接口不少于4个千兆电口和4个千兆SFP接口性能指标吞吐率2GUTM综合性能300M并发连接150万功能应具有支持多种接入方式（透明接入、路由接入、混合接入）；防火墙功能；地址转换功能；IPS功能；防病毒功能；内容过滤功能；身份认证功能；VPN功能；抗拒绝服务功能；NETFLOW流量分析功能；上网行为管理功能；管理支持命令行和图形管理方式；支持实时状态监控能力；支持管理员分级。审计能力支持本地日志；支持远程日志；支持自动报警；支持自动报表。4524UTMD选择要求项目要求网络接口不少于4个百兆电口性能指标吞吐率12GUTM综合性能200M并发连接120万功能应具有支持多种接入方式（透明接入、路由接入、混合接入）；防火墙功能；地址转换功能；IPS功能；防病毒功能；内容过滤功能；身份认证功能；VPN功能；抗拒绝服务功能；NETFLOW流量分析功能；上网行为管理功能；具有终端安全功能，能够分发终端安全客户端并根据安全客户端的检查结果对终端进行准入控制。管理支持命令行和图形管理方式；支持实时状态监控能力；支持管理员分级。审计能力支持本地日志；支持远程日志；支持自动报警；支持自动报表。4525UTME选择要求项目要求网络接口不少于4个百兆电口性能指标吞吐率800MBPSUTM综合性能120M并发连接数100万功能应具有支持多种接入方式（透明接入、路由接入、混合接入）；防火墙功能；地址转换功能；IPS功能；防病毒功能；内容过滤功能；身份认证功能；VPN功能；抗拒绝服务功能；NETFLOW流量分析功能；上网行为管理功能；具有终端安全功能，能够分发终端安全客户端并根据安全客户端的检查结果对终端进行准入控制。管理支持命令行和图形管理方式；支持实时状态监控能力；支持管理员分级。审计能力支持本地日志；支持远程日志；支持自动报警；支持自动报表。46产品选择建议根据网络实际情况以及安全需求，推荐使用如下产品产品用途推荐型号产品描述UTMA天清汉马USG10000E2U上架设备，支持双电源，具有1个10/100/1000BASET管理口，1个10/100/1000BASETHA接口，2个10/100/1000BASET千兆电接口，10个千兆COMBO接口（每个COMBO口为两个互斥的千兆口千兆SFP插槽或千兆电口），双电源。支持1个扩展插槽，可扩展支持2个万兆XFP接口板卡/12个10/100/1000BASET接口板卡/12个SFP千兆SFP接口板卡。用于大型企事业单位的信息中心、骨干网络。UTMB天清汉马USG4000D2U上架设备，支持双电源，具有8个10/100/1000M电口，4个千兆SFP接口，用于大型企事业单位骨干网络。UTMC天清汉马USG2000C1U上架设备，4个10/100/1000M电口，4个SFP千兆光口，用于大型企事业单位网络边界。UTMD天清汉马USG800A1U上架设备，4个10/100/1000M电口，用于中型企事业单位网络边界。UTME天清汉马USG610A1U上架设备，4个10/100电口，用于小型企事业单位，或企业分支机构。5建议选择产品介绍51产品综述北京启明星辰信息技术有限公司凭借在网络安全市场多年的经验积累，总结分析用户的切身需求，于2007年推出新一代的UTM产品天清汉马USG一体化安全网关。天清汉马USG一体化安全网关采用高性能的硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御（IPS）、防病毒、外联控制、抗拒绝服务攻击（ANTIDOS）、内容过滤、反垃圾邮件、NETFLOW等多种安全技术于一身，同时全面支持QOS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。除此之外，天清汉马USG一体化安全网关还融合了内网安全特性，能够为终端PC下发安全客户端，同步内网安全策略，并根据安全客户端的检查结果对终端PC进行准入控制。天清汉马USG一体化安全网关采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面，采用天清汉马USG一体化安全网关，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马USG一体化安全网关是低成本、高效率、易管理的理想解决方案。天清汉马USG一体化安全网关产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马USG一体化安全网关推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。52特点说明天清汉马USG一体化安全网关具有如下特点完善的防火墙特性支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制支持流量管理、连接数控制、IPMAC绑定、用户认证等IPS坚固的防御体系业界最完善的攻击特征库，包括50多类，超过2000项的入侵攻击特征漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥网络异常分析技术，全面防止拒绝服务攻击业界领先的网络防病毒技术文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件，病毒库总计150,000病毒类型根据危害程度划分为流行库、高危库、普通库简单高效的内网安全统一的安全防护体系安全边界延伸至终端，实现基于“网关”的网络防火墙和基于“终端”的主机防火墙双重融合。增强的上网行为管理将上网行为的控制与流量管理细化至主机进程级，控制精度进一步提升。可靠的网络准入控制（NAC）实现基于主机进程、防病毒软件病毒库版本、操作系统补丁等多个安全环节相结合的准入控制。全面的内网合规管理提供终端安全加固、外设接入控制、补丁分发管理、终端远程监控等多项终端合规管理。智能的内网攻击防护网关与终端相配合提供高效的ARP攻击防范、DOS攻击防范和病毒防范。简单的终端部署管理，客户端统一分发，安全策略统一配置，客户端集中自动升级。多种手段全面清除垃圾邮件自学习的贝叶斯算法智能区分垃圾邮件防邮件炸弹，提供单一邮件服务器发起的邮件连接数限制发送者认证、接收者认证及关键字检查黑名单、白名单、可追查性检查病毒扫描、附件类型和附件大小过滤、关键字过滤等安全丰富的VPN使组网变得简单多VPN支持GRE、IPSEC、L2TP、SSLVPN丰富的应用专用的VPN客户端、USBKEY、动态口令卡、图形认证码灵活的部署HUBSPOKEN、FULLMESH、DVPN、网关网关的SSLVPN完善的P2P、IM、流媒体、网络游戏和股票软件控制能力P2P控制对EMULE、BITTORRENT、MAZE、KAZAA等进行阻断、限速IM控制基于黑白名单的IM登录控制、文件传输阻止、查毒；支持主流IM软件如QQ、MSN、雅虎通、GTALK、SKYPE流媒体控制对流媒体应用进行阻断或限速，支持KAMUNPPFILM、PPLIVE、PPSTREAM、QQ直播、TVANTS、沸点网络电视、猫扑播霸等网络游戏控制对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断股票软件控制对常用股票软件如同花顺、大参考、大智慧等的阻断强大的日志报表功能记录内容丰富可对防火墙日志、攻击日志、病毒日志、带宽使用日志、WEB访问日志、MAIL发送日志、关键资产访问日志、用户登录日志等进行记录日志快速查询可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询报表贴近需求根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。方便的集中管理功能通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。53产品系列简介天清汉马USG一体化安全网关具有丰富的产品型号，覆盖了绝大多数用户的需求，产品线型号分布如下图1USG产品线型号分布54体系架构说明541产品构成天清汉马USG一体化安全网关主要由两部分组成USG网关和天清集中管理与数据分析中心。USG网关即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动和网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。天清集中管理与数据分析中心主要功能分为集中管理功能与数据分析功能，集中管理是对网关类产品的集中管理、统一监控和升级中心，通过它可以集中配置、监控和管理所管辖的多台USG网关，并按照一定的规则组织成层次结构，方便管理员对于整网USG网关的监控维护工作；数据分析是USG网关海量信息的后台处理中心。主要完成USG网关日志和流量信息的存储、分析、审计和处理功能。天清集中管理与数据分析中心不但能完成对全系列USG产品的同台管理，而且可实现启明星辰USG系列、USGFW系列和NIPS系列产品的同台管理。542硬件结构随着INTERNET的迅速普及，一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷，且变化越来越快，危害越来越大；另一方面，随着网络应用的增加，对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线，究竟该采用何种产品架构业界也发生过多种讨论与变革，其中最常见的几种莫过于X86架构、ASIC架构和NP架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性。在百兆网络环境下，X86架构以其灵活的软件开发能力得到普遍的应用，其产品功能主要由软件实现，可以根据用户的实际需要以及日益变化的威胁趋势而做相应调整，产品比较灵活，功能十分丰富，对于百兆网络这类架构的产品无疑是最成功的。X86平台的缺点是其总体性能受到PCI总线通信能力和中断处理方式的限制，对小包的转发效率较低，无法实现千兆小包线速。ASIC架构相比之下，通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了安全网关的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一旦定型系统很难进行功能性的升级。因此ASIC构架仅仅适合于防范特征明显的网络层攻击，不适合灵活多变的应用层攻击。而近年来入侵者更加倾向于将攻击隐藏在应用数据中，采用ASIC构架的安全产品则无法做到快速更新或者对复杂的应用层数据进行完整的分析与检测，对新型攻击的防御能力不足。尤其是作为多功能集成的UTM网关来说，无法在芯片一级完成杀毒、垃圾邮件过滤、网络监控等比较复杂的功能。因此基于ASIC架构的UTM设计，基本上还是使用CPU来进行高层威胁的处理，使用ASIC芯片来对网络层转发和网络层威胁的处理进行加速。总体来说，这样的架构能够获得较高的防火墙性能，而UTM性能较X86架构来说并无明显提升。NP可以说是介于X86和ASIC两者之间的技术，其实现原理和ASIC类似，但升级、维护要好于ASIC架构。NP架构在的每一个网口上都有一个网络处理器，即NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比X86长。作为UTM，由于NP架构每个网口上的网络处理器性能不高，所以同样无法完成像网关杀毒、垃圾邮件、过滤、访问监控等复杂功能。综上，在目前最常见的三种架构中，X86硬件架构由于具有高度的灵活性和可扩展性，而且对于百兆应用来说，能够提供的性能也是足够的，因此是低端UTM产品最适合的硬件平台。除了上述三种主要架构，目前基于多核SOC（多核系统级芯片）架构的网络安全方案也正在浮出水面。多核SOC架构是在一颗芯片上同时集成了多颗网络处理器，不同的处理器之间可以组合协同工作，也可以分别处理不同的事务。另外，多核处理器在开发时即考虑到了用户的应用要求，主流多核处理器均集成了硬件加密、正则匹配等硬件协处理器和网络应用加速器，可以大幅提升防病毒和入侵防御的性能，在高端UTM解决方案上具备很大的优势。为了满足不同用户的需求，天清汉马USG一体化安全网关采用了多种安全架构在低端UTM上，使用高倍PCI总线的X86硬件平台，配合硬件结构的优化，在软件上对关键处理单元进行结构优化，通过特征库合并和算法优化等措施为性能加速，可以充分保障UTM的整体性能，完全满足低端用户的需求。在高端UTM上，选择了基于CAVIUM多核SOC架构的硬件平台。启明星辰自2006年10月就开始投入到多核平台的预研，连续攻克操作系统重构、业务并行调度、单核故障自动恢复等诸多难题，开发出国内最早的万兆UTM产品，能够满足高端UTM的应用。对于需要高性能防火墙，而对UTM性能要求不高的用户，采用了双核心CPU结合高性能ASIC的架构。由硬件进行防火墙的数据处理工作，而由双核心CPU进行深层的匹配计算和应用过滤，这样既保证了防火墙的高性能，同时还能提供较高的UTM处理能力。543软件结构UTM作为网关类产品，究竟什么样的软件结构更有利于提升整体性能那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗50来自于模式匹配，25来自于协议重组、25来自于报文重组的结论。图2网关分析处理引擎性能消耗分析UTM作为统一威胁管理类产品，功能涵盖了入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等多项功能，那么必然包含多项的分析处理引擎，如何融合分析处理引擎，合并性能消耗关键业务单元成为UTM产品软件结构设计首要考虑的问题。基于以上研究数据，启明星辰在天清汉马USG一体化安全网关的软件结构设计上引入了一体化的设计理念。即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。图3普通叠加式UTM采用叠加式分析处理引擎因为模式匹配是分析处理引擎的关键性能消耗单元，因此，分析处理引擎的的一体化首先是模式匹配单元的融合。对于不同的功能模块，模式匹配是基于不同特征库的，因此模式匹配的融合主要是特征库的统一。图4天清汉马USG一体化分析处理引擎天清汉马USG一体化安全网关实现了特征库的统一，通过对病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库等统一进行格式化和归并处理，并采用标签的方式转发到不同模块的处理引擎进行分项处理。完全实现了分析处理引擎的一体化设计，极大的提高了多功能模块同时运行时的运行效率。图5天清汉马USG总体软件结构天清汉马USG一体化安全网关本着安全高效原则，采用“检测与控制相分离，引擎特征相统一”的一体化设计思想，最终形成了以上的总体软件结构。其中包括，人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库，网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行23层过滤，VPN负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案，管理中心负责整体的配置和调整。544管理结构优秀的管理系统是产品能否有效利用的关键，天清汉马USG一体化安全网关提供了灵活且丰富的管理系统。包括简洁的单机管理器，也包括适合网关批量部署的分布式的集中统一管理中心；既提供了设备配置管理能力，又提供了强大的数据分析能力。产品的管理结构具体如下图图6天清汉马USG管理结构示意图天清汉马USG一体化安全网关提供集中管理和单机管理相结合的双重管理机制。在USG网关软件中集成了WEBSERVER和MANAGEAGENT功能，WEBSERVER提供本地单机方式的WEB管理；MANAGEAGENT提供集中管理和数据分析中心的信息采集和发送任务。整个传输过程采用SSL加密机制。天清汉马USG一体化安全网关的双重管理结构实现了“管理分层，功能分级”的管理思想，一方面USG网关自身的WEBSERVER提供了单机的WEB管理机制，用于进行详细的功能设置；集中管理功能通过内置在USG网关中的MANAGEAGENT获取系统状态信息、流量信息和版本信息，用于进行整体的设备状态显示。同时以分组的方式管理设备，以组为单位进行远程统一配置、升级等操作，并可以将管理的USG网关按照一定的规则进行组织成层次结构，便于用户逻辑的标识所管理的设备。55关键技术天清汉马USG一体化安全网关采用了多种专利技术和创新技术，为确保多种安全能力的融合，性能的持续恒定起到了重要作用。551基于行为分析的合法性检查技术除去固有的特征字或关键字，每一个攻击或威胁都会有一系列的动作，例如修改系统注册表、终止进程、修改图标等，对于每一种操作系统，都会存在成千上万类似的动作。通过对这些行为特征跟踪、分析、提炼，能够寻找出一定的规律，用于对未知病毒或威胁的检测，根据这个原理，启明星辰创新了基于行为分析的合法性检查技术，用于对未知威胁的检测和判断，其基本原理如上图所示。具体可以从如下四个方面理解从异常的行为入手。对操作系统的主要行为进行统计，并对主要行为进行相应的监控和报警。例如修改BROWSER特性的必定要改注册表或者相关文件，所以我们可以通过对注册表进行监视和报警；对于很多网页木马之类的病毒必定有一个下载文件的过程，同时简单的会有一个相应处理的方式，可以对此类行为进行监视和报警；对于键盘操作进行记录的病毒必定会有一个对键盘进行消息处理进行监视的行为，我们也可以据此进行监视，看哪些软件进行此类处理，进而分析报警。采用行为统计阈值技术。对于现在已知的各位入侵威胁和病毒等，把他们的各种行为进行分析、统计，给每种行为一种权值。通过人工智能的方法进行训练。对于我们所给的权值有可能不太准确，可以利用人工神经网络中的学习算法让它调整权值等，从而达到一个准确的权值，进而正确的识别一个病毒。如图所示，每一种威胁进行都可以分解出若干有威胁的动作，在确定其是一种威胁的前提下将这些动作对应的阙值进行调整。在通过数万次的训练后，这些行为动作的阙值达到了一种相对准确的状态。对未知威胁进行判断。当一个软体进入时，可以对其行为进行跟踪分解，并将其动作行