【51CTO.com綜合報道】

九宮八陣圖之云垂陣——UTM

云垂陣：云附於地，始則無形，變?yōu)橄桫B，其狀乃成，鳥能突出，云能晦異，千變萬化，金革之聲。

UTM身居云垂陣,進可攻退可守，變化中彼此聲息相通，心心相印，縱橫合擊，勢如破竹。

UTM產品基于統(tǒng)一威脅管理目標設計，用于全方位解決企業(yè)綜合網(wǎng)絡安全問題。產品提供全面的防火墻、病毒防護、入侵檢測、入侵防護、惡意攻擊防護，同時提供VPN和流量整形功能，在綜合安全防護基礎上，提供附加網(wǎng)絡增值功能。

“內力”提升，UTM不再是傳說

1面臨的挑戰(zhàn)

隨著網(wǎng)絡中應用的越發(fā)復雜，企業(yè)內部除病毒傳播、系統(tǒng)漏洞、黑客攻擊等傳統(tǒng)威脅外，木馬、拒絕服務攻擊、垃圾郵件、帶寬濫用等問題也日益嚴重，并且在攻擊方式、攻擊目標上亦呈多樣化發(fā)展趨勢，具備單一功能的安全技術已無法防御如此復雜的網(wǎng)絡威脅，可集成多種安全功能于一身的UTM產品，在快速發(fā)展并被越來越多用戶認可的同時，也面臨著重要挑戰(zhàn)。

1.1應用層深度檢測

應用層深層檢測的真正目的，不僅僅是對病毒的防御，還包括對溢出攻擊、惡意腳本、SQL注入攻擊、P2P應用、網(wǎng)絡游戲等惡意攻擊和網(wǎng)絡濫用行為的檢測及防御。同時，作為部署在網(wǎng)關位置的UTM產品，在進行深層檢測時必須確保不出現(xiàn)誤判，如果深層檢測出現(xiàn)了誤判，那么依據(jù)錯誤檢測所做的防御措施會給用戶的正常業(yè)務帶來嚴重影響。

1.2UTM性能的提高

對于市場上的UTM產品而言，集成的防火墻、VPN、防病毒、入侵防護等功能實際上只是在設備中做了簡單的疊加，一旦開啟多功能時，各種功能模塊對計算資源的搶奪就直接導致了整體性能的急劇下降。盡管很多廠商也采取了諸如提高硬件配置，甚至采用ASIC硬件加速某些功能的手段，但收效并不顯著。某些品牌的UTM產品，標稱防火墻性能上G，入侵防護、防病毒好幾百兆，雖然在測試中也能達到，但必需是開單項功能時的測試數(shù)據(jù)。一旦功能全開，性能可能會下降到幾十兆的地步，而原本標稱幾十萬的并發(fā)連接則直奔幾千而去。

1.3UTM的協(xié)同運作能力

我們需要具備云安全防御技術及構架更完整、可定制性更強的UTM產品。除整合更多功能外，各功能模塊之間的協(xié)同運作能力也將上升到新的高度。對于中小企業(yè)用戶來說，新型的安全產品無論是在功能方面還是在性能方面都將更加細化和靈活。并且由于標準的兼容，產品之間可以組合使用，發(fā)揮完全一體化的效應。

1.4UTM的易用性

網(wǎng)關的易用不只體現(xiàn)在管理、維護、配置上，還體現(xiàn)在設備的部署上，對網(wǎng)絡的兼容性上。UTM產品確實需要在產品開發(fā)過程中貫徹“易用”這一原則，使產品能夠具有長期的生命力。

2解決之道

2.1應用層深度檢測

2.1.1應用感控技術

應用感控技術不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過濾技術，這種技術能通過流量識別網(wǎng)絡上的應用程序，基于應用ID進行智能識別與控制，同時，可以辨別出來自同一網(wǎng)站的不同應用并且可以啟用服務質量選項為這些應用優(yōu)先分配帶寬。

2.1.2Web主動過濾技術

Web過濾是指上網(wǎng)監(jiān)控功能，具備內容過濾的安全網(wǎng)關通過多重過濾與保護，對內容和網(wǎng)址進行監(jiān)控，對內容不良的網(wǎng)站實行過濾，從而實現(xiàn)對網(wǎng)絡內部人員上網(wǎng)進行監(jiān)控URL的屏蔽列表。

2.2UTM性能的提高

2.2.1PSE預檢技術和優(yōu)化匹配技術

數(shù)據(jù)在進入設備后，除協(xié)議異常的流量流向異常檢測模塊外。主要的流量都交給PSE預檢引擎。PSE預檢引擎能夠極高速的分離出清白流量和可疑流量，再將可疑流量交由特征優(yōu)化匹配引擎進行進一步處理。融合引擎的技術原理如下圖

PSE預檢技術時一種將現(xiàn)有特征庫進行數(shù)據(jù)抽象，形成體積遠小于原特征的PSE庫，然后利用這個PSE庫的預檢來加速網(wǎng)絡處理的技術。實際上，類似的處理方法，我們在日常生活中經(jīng)常會用到。就好像平常我們去門口接幾個人，實際上我們對要接的人的身高、相貌、衣著等等都有個心理準備。那么，貓貓狗狗，這個不是人，不用看了；前面來了個外國人，這個也不用看了；又過來個2米多高的，這個也不用看了；我們要接的都是男的，女的也不用看了。我們會自覺不自覺的直接采用少量特征對大多數(shù)目標進行排除，只有少數(shù)差不多的目標才會詳細的加以驗證。 PSE預檢技術也是如此，經(jīng)過抽象處理的PSE庫，所需檢測時間不到常規(guī)的10%。那么，做個簡單計算，當網(wǎng)絡中可疑流量只占到20%時（這在實際中已經(jīng)很高了），采用PSE預檢處理可以將性能提升高達70%。當然，在同等網(wǎng)絡情況下，PSE庫構建得越小，往往可疑流量就越高，這之間的平衡是需要仔細斟酌的。

在PSE預檢完成后，對于可疑流量再進一步的交給特征優(yōu)化匹配引擎進行處理。為什么叫特征優(yōu)化匹配引擎？我們首先需要知道，在網(wǎng)絡上處理惡意流量，盡量跟傳統(tǒng)的殺毒軟件一樣要用到特征匹配技術，但是對工作流程的需求有極大的不同。傳統(tǒng)殺毒軟件面對的是完整的文件，而諸如UTM這樣的網(wǎng)絡設備面對的是數(shù)據(jù)流，更準確一點說，是多個數(shù)據(jù)包，形成威脅的特征值可能分散在多個數(shù)據(jù)包中。作為一個網(wǎng)關設備，我們不能將所有數(shù)據(jù)包都先緩存下來，檢測完畢再進行轉發(fā)。否則必然造成網(wǎng)絡的擁塞。這就要求在做特征匹配時，必須根據(jù)網(wǎng)絡流的這種需求對匹配進行優(yōu)化。相關優(yōu)化方法有很多，其中相對高效的一種是基于自動機原理的優(yōu)化匹配方法。

2.2.2內容檢測技術

貫穿于UTM整體的一條主線實際是高級檢測技術。先進的完全性內容保護采用了完全內容檢測技術，即對0SI網(wǎng)絡模型所有層次上的網(wǎng)絡威脅的進行實時保護。與其他單純檢查包頭或“深度包檢測”的安全技術不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎上提供額外檢查）等技術先進。

2.3UTM的協(xié)同運作能力

2.3.1主動云防御

云安全防御技術融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。實現(xiàn)立體全面的防護。

2.3.2產品間的協(xié)同防護

UTM產品的協(xié)同防護要以安全策略為中心，綜合運用檢測、防護、報警、響應等工具，對可能發(fā)生的威脅進行立體防御。如：防火墻模塊和終端產品聯(lián)動可進行終端的準入控制、IPS模塊與終端產品聯(lián)動可進行內網(wǎng)終端入侵行為的及時阻斷、VPN模塊與終端產品聯(lián)動可進行遠程終端的接入認證等。

2.4UTM的易用性

2.4.1一鍵配置

一鍵配置功能讓管理人員可以通過WEB界面，對每個按鍵對應的工作模式進行重新定義。例如，在實際的一個案例中，用戶將‘低’定義為調試模式，不做任何攔截策略，用于在網(wǎng)絡出現(xiàn)聯(lián)通性故障時調試使用。“中”定義為常規(guī)運營模式，根據(jù)事先定義的策略對惡意流量進行攔截，同時進行上網(wǎng)行為管理。而“高”則根據(jù)用戶的《信息系統(tǒng)應急預案》，定義成除了ERP、Web、郵件和財務應用外的完全阻斷模式。當發(fā)生安全事件，需要啟動信息系統(tǒng)應急預案時，不必再單獨配置UTM設備，只需簡單的按下“高“鍵即可。而應急狀態(tài)解除后，也僅需按下“中”鍵即可恢復常規(guī)運營。為了防止按鍵被誤按，三色按鍵右方設計了安全開關，平常將旋轉開關置于“鎖“的位置即可。三個按鈕雖然是固定死的，但是它代表的策略是動態(tài)變化的，是能夠定制的。

“一鍵配置”功能，在多功能安全集成產品的易用性方向上可謂是革命性的一步，是中小企業(yè)用戶，以及大型企事業(yè)用戶分支機構的上佳選擇。

2.4.2集中管理

UTM的價值在于簡化管理，即以最精簡的單一設備來達到所需要的網(wǎng)絡管理水平，并具有快速遷移、集中管理、節(jié)省成本的優(yōu)勢。通過部署安全管理系統(tǒng)軟件，可實現(xiàn)對安全網(wǎng)關的集中管理，有利于快速完成多臺安全網(wǎng)關設備的部署實施工作，并方便管理員對多臺安全網(wǎng)關進行管理維護。如：根據(jù)設備心跳信息，自動發(fā)現(xiàn)在線安全設備；支持以拓撲地圖形式呈現(xiàn)用戶網(wǎng)絡部署情況，并可以進行自動拓撲布局調整，呈現(xiàn)設備運行狀況；可通過瀏覽器遠程登錄安全設備的管理界面，進行配置和管理；集中監(jiān)視設備運行狀態(tài)、資源占用情況、設備告警情況、設備在線用戶信息、網(wǎng)絡連接狀態(tài)等；支持監(jiān)控任務訂制，監(jiān)控任務后臺自動運行，設備歷史運行狀態(tài)呈現(xiàn)與分析；實時監(jiān)控設備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進行響應；支持集中的日志采集、存儲、查詢、統(tǒng)計、在線分析等審計功能。

2.5產品現(xiàn)狀及發(fā)展

面對UTM設備不可避免的性能損失，以及不同規(guī)模、不同需求的用戶，哪些UTM才是適合的？哪些方案才是可行的？UTM產品相對于單獨購置各種功能設備，可以有效的降低成本投入，這無疑為中小企業(yè)實施信息安全提供了一個非常具有吸引力的選擇。由于UTM的管理比較統(tǒng)一，能夠大大降低在技術管理方面的要求，彌補中小企業(yè)在技術力量上的不足。這使得中小企業(yè)可以最大限度的降低對安全供應商的技術服務，有利于中小企業(yè)用戶建立更加合理和真實的解決方案。

在未來，我們將看到構架更完整、可定制性更強的UTM產品。除整合更多功能外，各功能模塊之間的協(xié)同運作能力也將上升到新的高度。對于中小企業(yè)用戶來說，新型的安全產品無論是在功能方面還是在性能方面都將更加細化和靈活。中小企業(yè)用戶可以購買到最大限度貼近自身需求的產品，從而使資金得到充分利用。而且在適合需要的情況下，用戶也可以選擇租用安全產品。并且由于標準的兼容，租用的產品也可以和企業(yè)已有的產品及將來購買的產品組合使用，發(fā)揮完全一體化的效應。#p#

3如何選擇好的UTM產品

3.1網(wǎng)絡訪問控制

深度防護策略可很好的實現(xiàn)網(wǎng)絡訪問控制。深度防護策略包含源地址、目的地址、源端口、源MAC、流入網(wǎng)口、流出網(wǎng)口、訪問控制、時間調度、服務、是否為長連接等，對于不符合規(guī)則的訪問，系統(tǒng)可以攔截并日志告警。

3.2應用的內容識別控制

UTM需擁有完善的應用識別特征庫，通過智能分析技術，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應用行為、加密方式、處理動作等特點整理成庫。當流量經(jīng)過UTM時，UTM啟動過濾引擎，對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時，UTM即可應用智能識別技術進行細粒度控制或一鍵封鎖。

內容過濾庫的處理上力求收集齊全、分類準確、更新及時。通過采用網(wǎng)站全智能搜索引擎技術收集互聯(lián)網(wǎng)站點，并進行智能分類、人工核驗的處理手段對網(wǎng)站進行分類。應最少支持50多種的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經(jīng)、娛樂等網(wǎng)站分類，另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，UTM可通過在線升級的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。

3.3病毒防御

UTM設備采用自有知識產權的病毒防御引擎和國內知名病毒廠商特征庫，可整體提升設備本身安全性、可擴展性。UTM設備主要針對HTTP,SMTP,FTP,POP3,IMAP等多種協(xié)議的病毒防御，并可自定義非標準端口的HTTP,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測。對當前流行的過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒進行檢測與阻斷。

3.4入侵防御

UTM入侵防御功能在蠕蟲、后門、木馬、間諜軟件、Web攻擊、拒絕服務等攻擊的防御方面應具備完善的檢測、阻斷、限流、審計報警等多種防御手段，來滿足用戶的各種應用需要。可檢測和阻斷RedCode、Slammer、sober，Zotob、nimda等多種國內外流行的蠕蟲病毒，并可通過會話數(shù)管理防御未知蠕蟲病毒的攻擊；可檢測和阻斷Sub7、netbus、bandook、Doly、GateCrasher等上百種國內外主流的后門程序；可檢測和阻斷ARP攻擊、UDPFlooding、SynFlooding 等網(wǎng)絡層拒絕服務攻擊，而且還可以處理CC，DNS Query Flooding等多種應用拒絕服務攻擊。對所有的攻擊行為不但可以檢測和阻斷，同時需要審計、報警、限值帶寬等防御手段。

3.5異常流量管理

網(wǎng)絡中經(jīng)過改造的惡意數(shù)據(jù)包可能會造成企業(yè)內部網(wǎng)絡系統(tǒng)死機無法對外提供正常的服務；IP/Port掃瞄的行為將讓企業(yè)內部的網(wǎng)絡架構輕易被黑客得知；大量的異常流量數(shù)據(jù)包也可能造成企業(yè)核心路由器、交換機等因承載過重而死機。UTM設備內建的異常檢測模塊，可以檢測各項偏離預期的網(wǎng)絡行為。對網(wǎng)絡流量異常檢測，不單只使用計數(shù)的方式，還使用專門的統(tǒng)計算法，可以準確地檢測網(wǎng)絡流量的異常情形。自定義網(wǎng)絡流量異常的觸發(fā)參數(shù)，除了內建網(wǎng)絡流量標準模式供比對以外，還另提供微調機制，供網(wǎng)絡管理人員針對所管理的網(wǎng)絡環(huán)境流量作進一步的細微調校。

3.6應用監(jiān)控管理

應用監(jiān)控管理功能可以根據(jù)不同的時間、群組，對即時聊天軟件、網(wǎng)游、P2P軟件等下達嚴格的管理策略，應用的識別應基于應用行為和數(shù)據(jù)特征，而不是基于端口號。對P2P應用中的加密傳輸，要采用應用行為識別與主動探測相結合的方式，來有效地克服了加密后無法識別的業(yè)內難題。通過精確的識別，對IM軟件實現(xiàn)了細粒度的控制，不但可以控制登陸，而且對文字聊天，文件傳輸，音頻、視頻都可以實現(xiàn)分類控制。

3.7VPN功能

UTM設備需要支持標準IPSec、SSL、GRE、PPTP 、L2TP等VPN。加密強度可分等級，加密算法應包括DES、3DES、AES、IDEA、RC4?；谶h程用戶接入的安全考慮，需采用USBKey方式的證書認證，實現(xiàn)接入用戶的身份鑒別，實現(xiàn)基于角色（賬號）的權限管理和訪問控制。

3.8統(tǒng)一的集中管控

UTM設備應具備專用的集中管理系統(tǒng)，有利于快速完成多臺UTM設備的部署實施工作，并方便管理員對多臺UTM設備進行管理維護。在集中管理系統(tǒng)中用戶網(wǎng)絡部署情況以拓撲地圖形式呈現(xiàn)，并可以進行自動拓撲布局調整。通過瀏覽器遠程登錄UTM設備的管理界面，進行配置和管理。實時監(jiān)控設備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進行響應。

4網(wǎng)御星云的解決方案

網(wǎng)御是國內最早自主研發(fā)安全網(wǎng)關產品的廠商之一，早在1999年，先后取得了“防火墻入侵檢測與響應的方法（專利號021008515）”、“網(wǎng)關級計算機病毒防范的方法（專利號011091789）”等一系列發(fā)明專利成果。

網(wǎng)御根據(jù)多年信息安全實踐經(jīng)驗以及對用戶未來需求的把握，建立了“下一代安全架構（NSA：Next-generation Security Architecture）”的技術理念，在產品開發(fā)中以“彈性架構的安全平臺”作為安全設備的技術框架和基礎設施，該平臺規(guī)范了底層硬件、平臺軟件、安全應用和高可靠的標準接口，為包括安全網(wǎng)關在內的各類安全網(wǎng)關提供了基礎的操作系統(tǒng)和二次開發(fā)平臺。網(wǎng)御針對“彈性架構的安全平臺”，專門成立了新技術研究所，并巨資引入業(yè)內領先的技術和人才，進行持續(xù)數(shù)年的研發(fā)，才取得了技術上的突破。該平臺目前已成為網(wǎng)御防火墻、VPN、安全網(wǎng)關、IPS、UTM等系列安全網(wǎng)關產品的基礎平臺。徹底解決了傳統(tǒng)安全產品開發(fā)周期長、可靠性低、適應范圍窄等關鍵問題，體現(xiàn)了產品技術平臺化、模塊化的發(fā)展趨勢，為網(wǎng)御安全網(wǎng)關的快速開發(fā)和發(fā)展打下了堅實的技術基礎。

網(wǎng)御安全網(wǎng)關基于經(jīng)過防火墻、IPS等產品長期考驗的“彈性架構的安全平臺”，在穩(wěn)定性、成熟度上具有先天的優(yōu)勢。網(wǎng)御安全網(wǎng)關將協(xié)議狀態(tài)分析、非緩存病毒檢測技術、基于狀態(tài)的流模式快速匹配、智能協(xié)議異常檢測、應用軟件監(jiān)控等技術完美地結合在一起，配合實時更新的病毒特征庫和入侵攻擊特征庫，可有效防御基于網(wǎng)絡入侵行為，阻斷網(wǎng)絡病毒的傳播，并具有豐富的上網(wǎng)行為管理。在眾多國內乃至全球安全廠商中，網(wǎng)御已經(jīng)成為安全網(wǎng)關產品市場和技術的領跑者。

4.12009年IDC市場排名報告中:網(wǎng)御UTM產品排名第一

在中國UTM產品市場中，網(wǎng)御在所有廠商中排名第一，市場占有率達到20.8%。

4.2通用安全平臺VSP

網(wǎng)御專用安全操作系統(tǒng)VSP面向網(wǎng)絡吞吐和安全處理，采用基于組件的多平面架構，整個系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務平面和硬件抽象平面。通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調用接口，對下層硬件統(tǒng)一定義驅動標準，適應多種不同規(guī)格的硬件架構，實現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優(yōu)勢，使網(wǎng)御UTM產品在性能方面進一步提高。

4.3統(tǒng)一安全引擎USE

網(wǎng)御安全網(wǎng)關采用高效的統(tǒng)一防御引擎USE。它將應用協(xié)議分析、異常行為管理、入侵防御等多個子系統(tǒng)集成于單一平臺，構造統(tǒng)一架構，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實現(xiàn)統(tǒng)一的安全引擎處理機制。

統(tǒng)一安全引擎示意圖

USE克服了傳統(tǒng)上各個安全引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術，將各個安全功能有機地整合為一體，協(xié)議分析機、應用識別、內容檢測、異常分析等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，同時采用聯(lián)想的專利技術——基于摘要索引的內容處理加速算法，有效地提高了引擎的處理效率。

統(tǒng)一安全引擎通過多協(xié)議融合分析技術和事件關聯(lián)再分析技術，綜合內容實體，時間因素，提高了安全事件的檢測率。USE采用標準化的技術，對內提供統(tǒng)一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。

4.4可信架構主動云防御技術

網(wǎng)御UTM產品通過與已部署的防病毒網(wǎng)關、IPS、防火墻等設備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征，匯集至云防御服務器定時收納合并，云防御服務器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網(wǎng)御安全網(wǎng)關設備中，使其他設備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構云防御體系。

5總結

對于UTM產品的應用，我們提倡根據(jù)用戶需求及網(wǎng)絡狀況進行合理選型，在完善功能及性能的基礎上，大力發(fā)展各模塊協(xié)同運作能力。針對單點威脅，觸發(fā)多模塊協(xié)同防護將是我們發(fā)展的重點。