H3C UTM統(tǒng)一威脅防護(hù)平臺(tái)介紹

1、H3C UTM統(tǒng)一威脅防護(hù)平臺(tái)介紹引入H3C UTM（Unified Threat Management）系列設(shè) 備采用H3C先進(jìn)的軟硬件平臺(tái)和體系架構(gòu)，集成防火 墻、VPN、入侵檢測(cè)防御、病毒防護(hù)和應(yīng)用控制等 功能，有效地為用戶提供2到7層的安全防護(hù)和業(yè)務(wù) 優(yōu)化。目錄H3C UTM產(chǎn)品概述H3C UTM安全特性H3C UTM 典型應(yīng)用眾多安全威脅的困擾網(wǎng)絡(luò)攻擊垃圾郵件非法訪問(wèn)地址匱乏蠕蟲病毒后門木馬黑客產(chǎn)業(yè)鏈的形成和網(wǎng)絡(luò)攻擊威脅到企業(yè)網(wǎng)信息安全蠕蟲、木馬、間諜軟件等泛濫造成信息系統(tǒng)業(yè)務(wù)中斷缺乏有效的審計(jì)手段、網(wǎng)絡(luò)陷阱和威脅無(wú)處不在4安全威脅一：基礎(chǔ)安全薄弱業(yè)務(wù)部門無(wú)法對(duì)訪問(wèn)進(jìn)行控制，存在越權(quán)

2、、非法訪問(wèn)現(xiàn)象無(wú)網(wǎng)絡(luò)地址轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)直接暴露在互聯(lián)網(wǎng)上IPv4地址枯竭，IPv6是發(fā)展趨勢(shì)，如何保障安全建設(shè)投入2011 全球IPv4地址已分配完畢計(jì)算機(jī)犯罪事件逐年增長(zhǎng)內(nèi)部越權(quán)、非法比重最大用戶內(nèi)部非法事件帶來(lái)更大的損失5安全威脅二：信息孤島遠(yuǎn)程信息傳輸不安全，存在篡改、泄密、病毒等威脅專線費(fèi)用高，維護(hù)成本大；合作伙伴訪問(wèn)權(quán)限難以控制內(nèi)部資源分支機(jī)構(gòu)合作伙伴移動(dòng)辦公遠(yuǎn)程互聯(lián)6安全威脅三：泛濫的病毒網(wǎng)絡(luò)病毒數(shù)量呈爆炸式增長(zhǎng)傳播手段更加多樣化， 傳播范圍更廣，傳播速度更快由技術(shù)驅(qū)動(dòng)變?yōu)槔骝?qū)動(dòng)，病毒形成產(chǎn)業(yè)， 危害更大新增病毒對(duì)比圖病毒黑客產(chǎn)業(yè)鏈7內(nèi)容良莠不齊，色情、賭博、暴力充斥著整個(gè)互

3、聯(lián)網(wǎng)絡(luò)威脅無(wú)處不在，非法網(wǎng)站、有收費(fèi)陷阱的網(wǎng)站無(wú)處不在上網(wǎng)行為統(tǒng)計(jì)中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告搜索引擎電子郵件 即時(shí)通信 網(wǎng)絡(luò)新聞?chuàng)碛胁┛?個(gè)人空間 更新博客/個(gè)人空間 網(wǎng)絡(luò)游戲網(wǎng)絡(luò)音樂(lè) 網(wǎng)絡(luò)視頻 網(wǎng)絡(luò)購(gòu)物 網(wǎng)上支付論壇/BBS訪問(wèn)論壇/BBS發(fā)帖 網(wǎng)上銀行網(wǎng)上炒股/基金 網(wǎng)絡(luò)求職8安全威脅四：錯(cuò)綜復(fù)雜的網(wǎng)站P2P流量搶占有限的網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)無(wú)法開(kāi)展IM、游戲、炒股軟件等隨意使用，影響企業(yè)運(yùn)營(yíng)效率安全威脅五：核心業(yè)務(wù)帶寬無(wú)法保障關(guān)鍵業(yè)務(wù)應(yīng)用EmailP2PIM Inter公司內(nèi)部炒股軟件網(wǎng)絡(luò)游戲9系統(tǒng)漏洞大量存在，形同網(wǎng)絡(luò)中的不定時(shí)炸彈隨著操作系統(tǒng)、應(yīng)用軟件的不斷豐富，漏洞越來(lái)越多安全

4、威脅六：應(yīng)用層攻擊10傳統(tǒng)解決方案存在致命缺陷性能功能防火墻 VPN/NAT URL過(guò)濾 行為審計(jì) 漏洞防護(hù) 防病毒針對(duì)前述眾多威脅，兩種傳統(tǒng)解決方案是： 多個(gè)獨(dú)立設(shè)備累加：投入成本高、故障點(diǎn)從多、管理難度大 傳統(tǒng)UTM：基于X86/NP/ASIC架構(gòu)設(shè)計(jì)，功能開(kāi)啟后性能急劇下降11狀態(tài)檢測(cè)過(guò)濾、NAT、攻擊 防范等提供數(shù) 據(jù)遠(yuǎn)程 傳輸防 竊取、 防竄改、防重 放的安 全保證防御最 新的安 全威脅 及惡意 攻擊防火墻VPNIPS防病毒查殺病 毒、蠕 蟲、木 馬、惡 意代碼 等過(guò)濾垃圾郵件防垃圾郵 URL過(guò)濾件阻斷對(duì) 不良、 惡意、 釣魚網(wǎng) 站/網(wǎng)頁(yè) 的訪問(wèn)限制P2P/IM應(yīng)用， 保證關(guān) 鍵業(yè)務(wù)

5、 的有效 帶寬帶寬管理協(xié)議內(nèi)容審計(jì)對(duì)協(xié)議 操作內(nèi) 容進(jìn)行 審計(jì)記 錄，以 備查詢ComWarei - Ware多核硬件平臺(tái)融合基礎(chǔ)網(wǎng)絡(luò)安全功能和內(nèi)容安全功能H3C UTM解決之道12SecPath U200-M固定接口：6個(gè)千兆口 擴(kuò)展槽位：1個(gè)大中型企業(yè)小型企業(yè)SecPath U200-A固定接口：6個(gè)千兆口擴(kuò)展槽位：2個(gè)SecPath U200-S固定接口：5個(gè)千兆口 擴(kuò)展槽位：1個(gè)H3C UTM系列產(chǎn)品13H3C 全系列UTM產(chǎn)品覆蓋中小企業(yè)的安全需求，可以實(shí)現(xiàn)對(duì)安全威脅的抵御大中型企業(yè)小型企業(yè)SecPath U200-CA 固定接口：6個(gè)千兆口 擴(kuò)展槽位：2個(gè)SecPath U200-

6、CM 固定接口：5個(gè)千兆口 擴(kuò)展槽位：1個(gè)H3C UTM分銷產(chǎn)品SecPath U200-CS 固定接口：5個(gè)千兆口 擴(kuò)展槽位：1個(gè)14注意：如果啟用UTM的深度檢測(cè)功能，必須配有外置CF卡！10/100/1000M業(yè)務(wù)口Console接口USB接口CF卡插槽MIM卡插槽MIM卡插槽15系統(tǒng)規(guī)格 CPU : 1 * RMI XLS208 750MHz Flash : 32MB 內(nèi)存 : DDR2 SDRAM, 1GB CF 卡 : 外置 256M / 512M / 1G 接口: 6 * 10/100/1000M GE USB 接口: 1, 硬件預(yù)留 MIM 插槽 : 2 Console 接口

7、: 1吞吐量(FW) : 600M吞吐量 (IPS) : 150M可選配件 MIM插卡（2千兆電口或者4千兆光口） CF 卡 病毒特征庫(kù)升級(jí)-1年 IPS特征庫(kù)升級(jí)-1年 應(yīng)用控制特征庫(kù)升級(jí)-1年H3C U200-A的產(chǎn)品規(guī)格注意：如果啟用UTM的深度檢測(cè)功能，必須配有外置CF卡！系統(tǒng)規(guī)格 CPU : 1 * RMI XLS208 750MHz Flash : 32MB 內(nèi)存 : DDR2 SDRAM, 1GB CF 卡 : 外置 256M / 512M / 1G 接口: 6 * 10/100/1000M GE USB 接口: 1, 硬件預(yù)留 MIM 插槽 : 1 Console 接口 : 1

8、10/100/1000M業(yè)務(wù)口Console接口USB接口CF卡插槽MIM卡插槽16吞吐量(FW) : 400M吞吐量 (IPS) : 100M可選配件 MIM插卡（2千兆電口或者4千兆光口） CF 卡 病毒特征庫(kù)升級(jí)-1年 IPS特征庫(kù)升級(jí)-1年 應(yīng)用控制特征庫(kù)升級(jí)-1年H3C U200-M的產(chǎn)品規(guī)格注意：如果啟用UTM的深度檢測(cè)功能，必須配有外置CF卡！系統(tǒng)規(guī)格 CPU : 1 * RMI XLS404 800MHz Flash : 32MB 內(nèi)存 : DDR2 SDRAM, 512MB CF 卡 : 外置 256M / 512M / 1G 接口: 5 * 10/100/1000M GE

9、USB 接口: 1, 硬件預(yù)留 Mini 插槽 : 1 Console 接口 : 110/100/1000M業(yè)務(wù)口Console接口USB接口CF卡插槽17吞吐量(FW) : 300M吞吐量 (IPS) : 50M可選配件 Mini插卡（2千兆電口） CF 卡 病毒特征庫(kù)升級(jí)-1年 IPS特征庫(kù)升級(jí)-1年 應(yīng)用控制特征庫(kù)升級(jí)-1年H3C U200-S的產(chǎn)品規(guī)格 特點(diǎn)1: 先進(jìn)的硬件平臺(tái)線程1線程2線程3線程4. 漏洞防護(hù)線程1. 狀態(tài)防火墻2. VPN遠(yuǎn)程安全互聯(lián)3. 病毒防護(hù)CPU1CPU2CPU3H3C 在全系列UTM產(chǎn)品中，應(yīng)用多核 多線程技術(shù)，為多業(yè)務(wù)安全提供堅(jiān)實(shí)的 硬件平臺(tái)18H3C

10、 UTM防火墻基本防護(hù)實(shí)時(shí)防病毒防護(hù)先進(jìn)的漏洞防護(hù)垃圾郵件防護(hù)提供9大安全功能，覆蓋7層應(yīng)用安全防護(hù)唯一集成行為審計(jì)、應(yīng)用控制功能，實(shí)現(xiàn)對(duì)安全需求的全面覆 蓋 特點(diǎn)2:全面的安全特性P2P流量控制，應(yīng)用控制基于應(yīng)用的行為審計(jì)URL過(guò)濾功能VPN遠(yuǎn)程互聯(lián)NAT地址轉(zhuǎn)換19特點(diǎn)3:及時(shí)的特征庫(kù)更新快速響應(yīng)：每周發(fā)布于H3C網(wǎng)站，利于用戶統(tǒng)一及手工升級(jí)，利于自動(dòng)快速升級(jí)快速升級(jí)：完成整個(gè)升級(jí)小于1分鐘，無(wú)須重啟系統(tǒng)，不影響用戶網(wǎng)絡(luò)及業(yè)務(wù)運(yùn)行InternetLAN協(xié)議特征庫(kù)分析網(wǎng)絡(luò)流量動(dòng)態(tài)采集跟蹤業(yè)界變化協(xié)議特征庫(kù)生成鑒定測(cè)試中心驗(yàn)證發(fā)布H3C網(wǎng)站手工升級(jí)自動(dòng)升級(jí)統(tǒng)一升級(jí)只要完成特 征庫(kù)升級(jí)， 即可對(duì)

11、新協(xié) 議的識(shí)別20通過(guò)專業(yè)的涉及和技術(shù)支撐，提供產(chǎn)品銷售的系列化支持，實(shí) 現(xiàn)對(duì)產(chǎn)品購(gòu)買成本的持續(xù)保護(hù)。全系列千兆接口：固定提供超過(guò)5個(gè)10M/100M/1000M自適應(yīng)接口，滿足 網(wǎng)絡(luò)接入需求IPV6協(xié)議支持 ：支持IPV4和IPV6雙協(xié)議，降低網(wǎng)絡(luò)切換投入綠色環(huán)保：通過(guò)歐洲嚴(yán)格的RoHS認(rèn)證，保障產(chǎn)品具有環(huán)保、低輻射和低 功耗等特點(diǎn)，降低環(huán)境污染和維護(hù)費(fèi)用 特點(diǎn)4:合理的投資保護(hù)21目錄H3C UTM產(chǎn)品概述H3C UTM安全特性H3C UTM 典型應(yīng)用狀態(tài)防火墻限制未授權(quán)訪問(wèn)UTM用戶服務(wù)器用戶初始化到服 務(wù)器的一個(gè)會(huì)話該用戶會(huì)話的后續(xù)數(shù)據(jù)包被允許非用戶建立外部 發(fā)起會(huì)話被拒絕監(jiān)控通信過(guò)程

12、中的數(shù)據(jù)包 動(dòng)態(tài)建立和刪除訪問(wèn)規(guī)則ASPF (Application Specific Packet Filter)：專利技術(shù)保障在支持豐富網(wǎng)絡(luò)應(yīng)用的同時(shí)提供高安全性支持多種應(yīng)用協(xié)議的狀態(tài)檢測(cè)，包括H323/MGCP/SIP/H248/RTSP/HWCC，及ICMP/FTP/DNS/PPTP/NBT/ILS等支持對(duì)SMTP/HTTP/Java/ActiveX/SQL注入攻擊狀態(tài)檢測(cè)23支持多種常用轉(zhuǎn)換方式支持多種協(xié)議ALG 支持指定轉(zhuǎn)換后地址NAT網(wǎng)絡(luò)地址轉(zhuǎn)換支持靜態(tài)網(wǎng)段地址轉(zhuǎn)換支持雙向地址轉(zhuǎn)換 支持DNS映射UTM用戶服務(wù)器源IP目的IP24源IP目的IP源IP目的IP5源IP目的IP5內(nèi)部

13、網(wǎng)絡(luò)SecPath UTM系列 統(tǒng)一威脅管理設(shè)備合作伙伴VPN接入VPN接入站點(diǎn)對(duì)站點(diǎn)接入(Site-to-Site)：性能高、運(yùn)行簡(jiǎn)單可靠、適用于多個(gè)分支機(jī)構(gòu)之間遠(yuǎn)程互聯(lián)遠(yuǎn)程接入(Remote-Access) ：接入靈活，使用方便，成本低，適 于遠(yuǎn)程主機(jī)直接接入系統(tǒng)網(wǎng)絡(luò)，如合作伙伴、員工出差等性能高：內(nèi)嵌硬件加密引擎，解決VPN傳輸性能瓶頸統(tǒng)一安全遠(yuǎn)程接入消除信息孤島25攻擊防范清洗網(wǎng)絡(luò)異常流量黑名單掃描攻 擊防范DDoS防范動(dòng)態(tài)黑名單靜態(tài)黑名單地址掃描端口掃描畸形報(bào)文攻擊防范ICMP FloodUDP FloodSYN FloodDNS FloodFraggle攻擊檢測(cè)Land攻擊檢測(cè)Wi

14、nNuke攻擊檢測(cè)TCP Flag攻擊檢測(cè)ICMP不可達(dá)報(bào)文攻擊檢測(cè)Smurf攻擊檢測(cè)超大ICMP報(bào)文攻擊 檢測(cè)26內(nèi)容過(guò)濾過(guò)濾非法應(yīng)用內(nèi)容log內(nèi)容過(guò)濾功能HTTP協(xié)議內(nèi)容過(guò)濾URL Host/IP過(guò)濾URL 參數(shù)過(guò)濾Header 過(guò)濾正文過(guò)濾ActiveX阻斷JAVA Applet阻斷SMTP/POP3協(xié)議內(nèi)容過(guò)濾收/發(fā)件人過(guò)濾主題過(guò)濾正文過(guò)濾附近過(guò)濾超大郵件過(guò)濾FTP協(xié)議內(nèi)容過(guò)濾上傳/下載文件名過(guò)濾命令字過(guò)濾Telnet協(xié)議內(nèi)容過(guò)濾命令字過(guò)濾UTM可以根據(jù)用戶需求對(duì)HTTP協(xié)議、SMTP/POP3協(xié)議、FTP協(xié) 議和Telnet協(xié)議報(bào)文中攜帶的內(nèi)容進(jìn)行過(guò)濾，以阻止內(nèi)部網(wǎng)絡(luò)用戶 訪問(wèn)非法網(wǎng)

15、站或收發(fā)非法郵件，并阻止含有非法內(nèi)容的報(bào)文進(jìn)入內(nèi) 部網(wǎng)絡(luò)。27關(guān)鍵字黑名單白過(guò)濾Java Applet 過(guò)濾ActiveX過(guò)濾商業(yè)安全法律娛樂(lè)帶寬 占用HTTP GET28HTTP RESPONSEURL支持Java Blocking、ActiveX Blocking過(guò)濾支持黑白名單及本地緩存技術(shù)，保證關(guān)鍵業(yè)務(wù)的快速通過(guò)WEB過(guò)濾拒絕有害網(wǎng)站鏈路負(fù)載均衡優(yōu)化多出口業(yè)務(wù)ISP1ISP3123456通過(guò)調(diào)度算法將流量均勻的分發(fā)到不同鏈路通過(guò)就近性探測(cè)為客戶選擇最優(yōu)的路徑通過(guò)健康性檢測(cè)實(shí)時(shí)監(jiān)測(cè)鏈路狀態(tài)，保證業(yè)務(wù)可靠性126ISP2 34529虛擬設(shè)備滿足不同安全需求虛擬設(shè)備是一個(gè)邏輯概念，一臺(tái)UTM

16、設(shè)備可以從邏輯上劃分 為多個(gè)部分，每一個(gè)部分可以作為一臺(tái)單獨(dú)的設(shè)備 ，多個(gè)虛 擬設(shè)備可以分別配置不同的安全策略，為不同的用戶提供私 有的路由轉(zhuǎn)發(fā)平面和安全服務(wù)等業(yè)務(wù)，這就是虛擬設(shè)備。虛擬設(shè)備用戶C用戶A用戶B用戶D30雙機(jī)熱備提高網(wǎng)絡(luò)可靠性雙機(jī)熱備是為了解決網(wǎng) 絡(luò)單點(diǎn)故障導(dǎo)致的業(yè)務(wù) 中斷問(wèn)題，提高網(wǎng)絡(luò)穩(wěn) 定性及可靠性。防火墻流量的切換通過(guò)VRRP或者路由實(shí)現(xiàn)。防火墻不同于其它網(wǎng)絡(luò) 設(shè)備，路徑備份的同時(shí) 還需要同步會(huì)話。防火墻的雙機(jī)熱備不區(qū) 分設(shè)備的主備狀態(tài)，兩 臺(tái)設(shè)備可以同時(shí)處理各自的業(yè)務(wù)報(bào)文InternetPrivate NetworkUTM 1會(huì)話表項(xiàng)UTM 2會(huì)話表項(xiàng)31故障發(fā)生之前，備

17、份設(shè)備僅做備 份，由主設(shè)備處理全部業(yè)務(wù)注：僅U200-A、U200-M、U200-CA支持網(wǎng)頁(yè)病毒郵件病毒文件病毒32集成卡巴斯基SafeStream專業(yè)病毒特征庫(kù)，實(shí)現(xiàn)速度和效率的完美結(jié)合。實(shí)時(shí)病毒查殺解決病毒泛濫問(wèn)題專業(yè)的防病毒引擎 支持對(duì)HTTP、FTP、SMTP和POP3 協(xié)議進(jìn)行分析識(shí)別，對(duì)協(xié)議負(fù)載進(jìn)行 病毒檢測(cè) 靈活提供允許、阻斷等防范策略 完善的病毒日志功能，為審計(jì)、故障 診斷提供了豐富的信息，日志查詢方 便 允許通過(guò)手動(dòng)、自動(dòng)方式進(jìn)行病毒庫(kù)升級(jí)，保證對(duì)新病毒及時(shí)響應(yīng)有效請(qǐng)求UTM允許有效 請(qǐng)求通過(guò)服務(wù)器黑客代理傀儡機(jī)代理代理代理代理傀儡機(jī)代理應(yīng)用層攻擊抵御：蠕蟲、木馬、間諜軟件

18、的實(shí)時(shí)防護(hù)漏洞特征升級(jí)：設(shè)備自動(dòng)完成升級(jí)，實(shí)現(xiàn)實(shí)時(shí)防護(hù)33完善的漏洞防護(hù)應(yīng)用層攻擊防御全面的URL過(guò)濾自定義或分類過(guò)濾SecBlade ACG的URL過(guò)濾模塊提供了固定 字符串和正則表達(dá)式兩種匹配方式，能夠滿 足用戶靈活的URL過(guò)濾策略：固定字符串方式正則表達(dá)式方式34智能應(yīng)用識(shí)別保障核心業(yè)務(wù)規(guī)范化關(guān)鍵業(yè)務(wù)應(yīng)用EmailP2P網(wǎng)絡(luò)游戲UTM InterIntranetLow P2PMed Email總 帶 寬網(wǎng)絡(luò)游戲HTTPVoIP DBPOP3 IMAP SMTPBTeMule/eD2K CSHigh關(guān)鍵業(yè)務(wù) 應(yīng)用識(shí)別控制迅雷等P2P流量識(shí)別控制網(wǎng)絡(luò)游戲，如魔獸世界等識(shí)別控制炒股軟件，如大智

19、慧等35分層QoS精細(xì)區(qū)分業(yè)務(wù)通道分層QoS提供了一種更靈活的帶寬控制方式， 根據(jù)不同的用戶、應(yīng)用或業(yè)務(wù)劃分出多條不同 的通道，對(duì)這些通道分別進(jìn)行帶寬控制以及各 種精細(xì)化的動(dòng)作管理。通道帶寬管理：允許阻斷帶寬保證帶寬限制36內(nèi)容監(jiān)控詳細(xì)記錄用戶行為內(nèi)容監(jiān)控特性能夠?qū)τ脩舻纳暇W(wǎng)行為，如Web網(wǎng)頁(yè)訪問(wèn)、IM 應(yīng)用、遠(yuǎn)程交互應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用進(jìn)行過(guò)濾或監(jiān)控，并產(chǎn)生 相應(yīng)的監(jiān)控日志。 Web應(yīng)用監(jiān)控：支持Web網(wǎng)頁(yè)內(nèi)容關(guān)鍵字、上傳/下載的文件類型、ActiveX、Java Applet和Script腳本的過(guò)濾和監(jiān)控。 IM應(yīng)用監(jiān)控：支持對(duì)QQ和MSN進(jìn)行監(jiān)控。 遠(yuǎn)程交互應(yīng)用監(jiān)控：支持對(duì)FTP進(jìn)行監(jiān)控。 數(shù)據(jù)庫(kù)應(yīng)用監(jiān)控：支持對(duì)Oracle、Sybase、SQL Server和MySQL數(shù)據(jù)庫(kù)的應(yīng)用進(jìn)行監(jiān)控。37詳細(xì)的行為審計(jì)規(guī)范用戶行為HTTP訪問(wèn)審計(jì)Email行為審計(jì)FTP行為審計(jì)