網安設備選型規(guī)范V10

網安設備選型規(guī)范網絡安全設備選型框架 XXXX科技有限責任公司2016年5月文檔更新記錄日期更新人版本備注2016/3/21V0.5創(chuàng)建文檔及主干框架2016/3/31V0.6進行二次修改，填充內容2016/4/4V0.8填充UTM等設備內容2016/4/5V0.9補充信息并完善2016/4/8V1.0重新修改，排版引言因設備參考選型工作之因，需對硬件有較為深入的知識體系架構了解，為本部門與相關項目設備選型提供相對專業(yè)技術支持。因此通過查詢資料及詢問相關廠家設備信息，完成以下文檔。按照網絡從外到內：從光纖>電腦客戶端，設備依次有：路由器（可做端口屏蔽，帶寬管理Qos，防泛洪flood攻擊等）防火墻（有普通防火墻和UTM等，可以做網絡三層端口管理、IPS（入侵檢測）、IDS（入侵防御）、IDP（入侵檢測防御）、安全審計認證、防病毒、防垃圾和病毒郵件、流量監(jiān)控（QOS）等）行為管理器（可做UTM的所有功能、還有一些完全審計，網絡記錄等等功能，這個比較強大）核心交換機（可以劃分vlan、屏蔽廣播、以及基本的acl列表），而安全的網絡連接方式：現(xiàn)在流行的有MPLSVPN，SDH專線、VPN等，其中VPN常見的包括（SSLVPN\ipsecVPN\PPTPVPN等）。在這些設備中所涉及的內容主要包括參數(shù)、功能、接口、技術類型、廠商等的框架信息。由于資料原因，目前信息仍然不夠健全，且由于技術更新太快已無法跟上網安設備的更新變化速度，因此造成了信息的遲滯性甚至不準確。這些問題留待日后更新解決。 目錄引言 31、網絡安全設備 71.1信息安全與安全產品 71.2信息安全技術規(guī)范 91.3網安總體選型原則 92、硬件防火墻 122.1具體選型原則 122.2主流設備廠家 132.3設備詳細信息 152.3.1重要選擇參數(shù) 152.3.2主要技術類型 182.3.3主要架構 252.3.4接口類型 272.3.5主要功能 282.3.6安裝位置 293、入侵檢測IDS 303.1性能評價標準 313.2主流設備廠家 323.3設備詳細信息 333.3.1重要選擇參數(shù) 333.3.2主要技術類型 343.3.3主要構成 343.3.4接口類型 353.3.5主要功能 353.3.6安裝位置 364．入侵防御IPS 384.1具體性能要求 384.2主流設備廠家 394.3設備詳細信息 404.3.1重要選擇參數(shù) 404.3.2主要技術類型 414.3.3接口類型 424.3.4主要功能 424.3.5部署位置 424.4IDS和IPS的區(qū)別和選擇 445、統(tǒng)一威脅管理設備UTM 465.1具體選型原則 465.2主流設備廠家 485.3設備詳細信息 495.3.1重要選擇參數(shù) 495.3.2主要設備類型 505.3.3接口類型 505.3.4主要功能 506、其他常見設備 546.1防病毒網關 546.1.1防病毒網關簡介 546.1.2基本特性 556.1.3重要參數(shù) 566.1.4主流廠商 566.1.5部署位置 586.1.6與防火墻區(qū)別 606.1.7與防病毒軟件區(qū)別 616.2VPN安全網關 616.2.1VPN網關簡介 616.2.2基本特性 626.2.3重要參數(shù) 636.2.4主流廠商 646.2.5部署方案 666.3網絡審計系統(tǒng) 666.3.1網絡審計系統(tǒng) 666.3.2基本特性 666.3.3重要參數(shù) 676.3.4主流廠商 676.3.5審計類型 686.3.6審計內容 697.規(guī)范總結 718.參考文檔 72網絡安全設備1.1信息安全與網絡安全產品（1）信息安全模型 國際標準化組織定義：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意原因而遭到破壞，更改和泄露。信息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環(huán)境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制（數(shù)字簽名、消息認證、數(shù)據(jù)加密等），直至安全系統(tǒng)，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷，最終實現(xiàn)業(yè)務連續(xù)性。 圖1.1信息安全模型（2）網絡安全網絡安全不僅包括網絡信息的存儲安全，還涉及信息的產生、傳輸和使用過程中的安全。網絡安全從其本質上來說就是網絡上的信息安全。（3）網絡安全防護產品：防火墻、防水墻WEB防火墻、網頁防篡改入侵檢測、入侵防御、防病毒統(tǒng)一威脅管理UTM身份鑒別、虛擬專網加解密、文檔加密、數(shù)據(jù)簽名物理隔離網閘、終端安全與上網行為管理內網安全、審計與取證、漏洞掃描、補丁分發(fā)安全管理平臺災難備份產品1.2信息安全技術規(guī)范 圖1.2信息安全國標1.3網安總體選型原則（1）中國網絡安全產品概覽中國的網絡安全產品供應廠家基本可分為三類：國家級的專業(yè)信息安全產品供應廠家、新興的專業(yè)信息安全產品供應廠家和國外廠家。從功能上，常用的一些信息安全產品有：加密產品、防火墻、防病毒產品、入侵檢測產品、虛擬專網產品，此外，還有身份鑒別產品、證書機關、物理安全產品。加密產品是非常傳統(tǒng)的信息安全產品，主要提供信息加密功能。加密產品一般可以分為鏈路加密、網絡加密、應用加密和加密協(xié)處理器等幾個層次的產品。防火墻是用于實施網絡訪問控制的產品，是最常見也是中國國內技術非常成熟的信息安全產品之一。防病毒產品是中國國內最早出現(xiàn)并大規(guī)模使用的信息安全產品。國內外生產的廠家很多，目前能夠在國內獲得一定市場的都是不錯的產品。入侵檢測產品是近一兩年發(fā)展起來的，主要用于檢測網絡攻擊事件的發(fā)生。國內外供貨廠家也較多。身份鑒別產品也屬于非常傳統(tǒng)的產品，目前技術成熟的是一些基于信息技術的鑒別產品。一些基于生理參數(shù)（如：指紋、眼紋）的技術和產品發(fā)展很快，已經有成熟產品推出。虛擬專網產品是利用密碼技術和公共網絡構建專用網絡的一種設備，該設備集成了網絡技術、密碼技術、遠程管理技術、鑒別技術等于一體，是用戶以非常低的成本構建專用網絡的一種非常重要的產品。證書機關是一類非?；A的產品，任何基于證書體制實現(xiàn)安全的信息系統(tǒng)都需要該產品。物理安全產品是非常特殊的信息安全產品，如干擾器、隔離計算機、隔離卡等，其主要功能是確保信息處理設備的物理安全，提供諸如防電磁輻射、物理隔離等功能。（2）信息安全產品選型指南信息安全產品的種類比較多。許多安全產品的功能上也有一定交叉。您在選型時一定要牢記以下幾個基本原則：適用原則。絕對的安全是不存在的，因此您必須具有“安全風險”意識。信息安全產品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補損失的手段。您不要（也不可能）追求絕對的安全。企業(yè)應考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產品只要為企業(yè)提供足夠的手段應對主要的安全威脅，將可能的損失減小到可以接受的范圍之內，就可以了。不降低信息系統(tǒng)綜合服務品質的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設）完成之后才考慮信息安全，即所謂的“打安全補丁”。這種“補丁”做法往往會給信息安全產品的選型帶來很多困難，因為很多時候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結合評估系統(tǒng)的服務品質，定下系統(tǒng)綜合服務品質參數(shù)，在此基礎上，以不降低綜合服務品質為原則，對信息安全產品進行選型。詳細信息見附件：2、硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩(wěn)定，直接關系到整個內部網絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。 圖2.1深信服硬件防火墻 2.1具體選型原則（1）總擁有成本和價格:

防火墻產品作為網絡系統(tǒng)的安全屏障，其總擁有的成本不應該超過受保護網絡系統(tǒng)可能遭受最大損失的成本。防火墻的最終功能將是管理的結果，而非工程上的決策。

（2）明確系統(tǒng)需求:

即用戶需要什么樣的網絡監(jiān)視、冗余度以及控制水平?？梢粤谐鲆粋€必須監(jiān)測怎樣的傳輸、必須允許怎樣的傳輸流通行，以及應當拒絕什么傳輸?shù)那鍐巍?/p>

（3）應滿足企業(yè)特殊要求:

企業(yè)安全政策中的某些特殊需求并不是每種防火墻都能提供的，這常會成為選擇防火墻時需考慮的因素之一，比如：加密控制標準，訪問控制，特殊防御功能等。

（4）防火墻的安全性:

防火墻產品最難評估的方面是防火墻的安全性能，普通用戶通常無法判斷。用戶在選擇防火墻產品時，應該盡量選擇占市場份額較大同時又通過了國家權威認證機構認證測試的產品。

（5）防火墻產品主要需求：企業(yè)級用戶對防火墻產品主要需求是：內網安全性需求,細度訪問控制能力需求,VPN

需求,統(tǒng)計、計費功能需求,帶寬管理能力需求等，這些都是選擇防火墻時側重考慮的方面。

（6）管理與培訓:

管理和培訓是評價一個防火墻好壞的重要方面。人員的培訓和日常維護費用通常會占據(jù)較大的比例。一家優(yōu)秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

（7）可擴充性:

網絡的擴容和網絡應用都有可能隨著新技術的出現(xiàn)而增加，網絡的風險成本也會急劇上升，因此便需要增加具有更高安全性的防火墻產品。具體要求見下列文檔2.2主流設備廠家（1）國內廠家：華為（USG系列產品，如USG5120，USG5520S，USG6390等）、天融信、網康、啟明星辰等 圖2.2華為USG6390華為USG6390產品參數(shù)重要參數(shù)網絡端口：8GE+4SFP控制端口：暫無數(shù)據(jù)外形設計：暫無數(shù)據(jù)產品尺寸：442×421×43.6mm主要參數(shù)設備類型：下一代防火墻網絡端口：8GE+4SFPVPN支持：支持入侵檢測：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對設備的本地配置、遠程維護、集中管理等多種手段，并提供完備的診斷、告警、測試等功能安全標準CE，ROHS，CB，UL，VCCI處理器多核處理器一般參數(shù)電源AC:100-240V最大功率：170W產品尺寸：442×421×43.6mm產品重量：10kg適用環(huán)境工作溫度：0℃-40℃工作濕度：10%-95%其他性能環(huán)境感知、應用安全、入侵防御、Web安全、郵件安全、數(shù)據(jù)安全、安全虛擬化、網絡安全、路由特性、部署及可靠性、智能管理產品特性擴展槽位：2×WSIC產品形態(tài)：1UHDD：選配300GB單硬盤，支持熱插拔（2）國外廠家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等 圖2.2CISCOASA5512-K9

整體外觀圖CISCOASA5512-K9詳細參數(shù)重要參數(shù)網絡端口：6個GE接口控制端口：2個USB2.0接口，1個console端口外形設計：1U產品尺寸：42.4×429×395mm主要參數(shù)設備類型下一代防火墻并發(fā)連接數(shù)100,000網絡吞吐量，狀態(tài)檢測吞吐量最大：1Gbps，多協(xié)議狀態(tài)檢測吞吐量：500Mbps，IPS吞吐量：250Mbps網絡端口6個GE接口控制端口2個USB2.0接口，1個console端口VPN支持支持一般參數(shù)電源AC100-240V，50/60Hz，4.85A外形設計1U產品尺寸42.4×429×395mm產品重量6.07kg其他性能includesfirewallservices，250IPsecVPNpeers，2SSLVPNpeers，6copperGigabitEthernetdataports，1copperGigabitEthernetmanagementport，1ACpowersupply，3DES/AESencryption具體信息見下列文檔：2.3設備詳細信息2.3.1重要選擇參數(shù)●吞吐量：在不丟包的情況下單位時間內通過的數(shù)據(jù)包數(shù)量

（1）定義：在不丟包的情況下能夠達到的最大每秒包轉發(fā)數(shù)量

（2）衡量標準：吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網絡新的瓶頸，以至影響到整個網絡的性能

圖2.3數(shù)據(jù)吞吐示意圖

●時延：數(shù)據(jù)包最后一個比特進入防火墻到第一比特從防火墻輸出的時間間隔

（1）定義：入口處輸入幀的最后1個比特到達，至出口處輸出幀的第一個比特輸出所用的時間間隔

（2）衡量標準：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度圖2.4時延

●丟包率：通過防火墻傳送時所丟失數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率

（1）定義：在連續(xù)負載的情況下，防火墻設備由于資源不足應轉發(fā)但卻未轉發(fā)的幀百分比

（2）衡量標準：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響

圖2.5丟包率計算

●并發(fā)連接數(shù)：防火墻能夠同時處理的點對點連接的最大數(shù)目

（1）定義：指穿越防火墻的主機之間,或主機與防火墻之間，能同時建立的最大連接數(shù)。

（2）衡量標準：并發(fā)連接數(shù)的測試主要用來測試防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)防火墻對來自于客戶端的TCP連接請求的響應能力圖2.6并發(fā)連接示意圖

●新建連接數(shù)：在不丟包的情況下每秒可以建立的最大連接數(shù)

（1）定義：指穿越防火墻的主機之間，或主機與防火墻之間，單位時間內建立的最大連接數(shù)。

（2）衡量標準：新建連接數(shù)主要用來衡量防火墻單位時間內建立和維持TCP連接的能力

圖2.7新建連接示意圖詳細的技術參數(shù)及性能要求見如下文檔2.3.2主要技術類型（1）包過濾防火墻

也叫分組過濾防火墻。根據(jù)分組包的源、目的地址，端口號及協(xié)議類型、標志位確定是否允許分組包通過。

【優(yōu)點】

●

高效、透明

【缺點】

●不能防范部分的黑客IP欺騙類攻擊

●不能跟蹤TCP連接的狀態(tài)

●不支持應用層協(xié)議

●對管理員要求高

【判斷依據(jù)】

●數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等

●源、目的IP地址

●源、目的端口：FTP、HTTP、DNS等

●IP選項：源路由選項等

●TCP選項：SYN、ACK、FIN、RST等

●其它協(xié)議選項：ICMPECHO、ICMPECHOREPLY等

●數(shù)據(jù)包流向：in或out

●數(shù)據(jù)包流經網絡接口：eth0、eth1 圖2.8包過濾防火墻工作區(qū)域

包過濾防火墻應用實例：

圖2.9包過濾防火墻應用實例（2）應用網關防火墻

也叫應用代理防火墻。每個代理需要一個不同的應用進程，或一個后臺運行的服務程序；對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。

【優(yōu)點】

●

安全性高

●

提供應用層的安全

●

可以檢查應用層、傳輸層和網絡層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強

【缺點】

●性能差

●伸縮性差

●只支持有限的應用

●不透明

●難于配置

●處理速度較慢

圖2.10應用網關防火墻工作區(qū)域

圖2.11應用網關防火墻工作模型

一個Telnet代理的例子：

圖2.12應用網關防火墻應用實例（3）狀態(tài)檢測防火墻

又稱動態(tài)包過濾防火墻。對于新建立的應用連接，狀態(tài)檢測型防火墻先檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過；記錄下該連接的相關信息，生成狀態(tài)表；對該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過。目前的狀態(tài)檢測技術僅可用于TCP/IP網絡。

圖2.13狀態(tài)檢測防火墻工作區(qū)域

狀態(tài)檢測防火墻處理示意圖： 圖2.14狀態(tài)監(jiān)測防火墻工作流程

【優(yōu)點】

●

連接狀態(tài)可以簡化規(guī)則的設置

●

提供了完整的對傳輸層的控制能力

●

使防火墻性能得到較大的提高，特別是大流量的處理能力

●

根據(jù)從所有層中提取的與狀態(tài)相關信息來做出安全決策，使得安全性也得到進一步的提高

【缺點】

●對應用層檢測不夠深入4、傳統(tǒng)火墻的弱點 圖2.15傳統(tǒng)包過濾防火墻過濾過程

傳統(tǒng)的包過濾和狀態(tài)檢測防火墻弱點如下：

●沒有深度包檢測來發(fā)現(xiàn)惡意代碼

●不進行包重組

●惡意程序可以通過信任端口建立隧道穿過去

●傳統(tǒng)的部署方法僅僅是網絡邊緣，不能防御內部攻擊分組過

5、深度檢測防火墻

●深度檢測技術深入檢查通過防火墻的每個數(shù)據(jù)包及其應用載荷

●以基于指紋匹配、啟發(fā)式技術、異常檢測以及統(tǒng)計學分析等技術的規(guī)則集，決定如何處理數(shù)據(jù)包

●可以更有效的辨識和防護緩沖區(qū)溢出攻擊、拒絕服務攻擊、各種欺騙性技術以及蠕蟲病毒

圖2.16深度檢測防火墻工作過程

6、復合型防火墻 圖2.17復合型防火墻工作模型2.3.3主要架構在未來的網絡環(huán)境下，傳統(tǒng)的基于x86體系結構的工控機防火墻已不能滿足寬帶網絡高吞吐量、低時延的要求，而網絡處理器（NetworkProcessor）和專用集成電路（ASIC）技術被以為是未來千兆防火墻的主要方向。（1）X86架構：最初的千兆防火墻是基于X86架構。X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發(fā)的主要平臺。其產品功能主要由軟件實現(xiàn)，可以根據(jù)用戶的實際需要而做相應調整，增加或減少功能模塊，產品比較靈活，功能十分豐富。但其性能發(fā)展卻受到體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達到千兆速率。同時很多X86架構的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會存在安全漏洞。（2）ASIC架構：相比之下，ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發(fā)費用高，開發(fā)周期太長，一般耗時接近2年。雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。目前，NetScreen在ASIC防火墻領域占有優(yōu)勢地位，而我國的首信也推出了我國基于自主技術的ASIC千兆防火墻產品。（3）NP架構：NP可以說是介于兩者之間的技術，NP是專門為網絡設備處理網絡流量而設計的處理器，其體系結構和指令集對于防火墻常用的包過濾、轉發(fā)等算法和操作都進行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網絡流量進行快速的并發(fā)處理。硬件結構設計也大多采用高速的接口技術和總線規(guī)范，具有較高的I/O能力。它可以構建一種硬件加速的完全可編程的架構，這種架構的軟硬件都易于升級，軟件可以支持新的標準和協(xié)議，硬件設計支持更高網絡速度，從而使產品的生命周期更長。由于防火墻處理的就是網絡數(shù)據(jù)包，所以基于NP架構的防火墻與X86架構的防火墻相比，性能得到了很大的提高。NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強大的編程能力，因而便于開發(fā)應用，支持可擴展的服務，而且研制周期短，成本較低。但是，相比于X86架構，由于應用開發(fā)、功能擴展受到NP的配套軟件的限制，基于NP技術的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構架之間，應該說，NP是X86架構和ASIC之間的一個折衷。目前NP的主要提供商是Intel和Motorola，國內基于NP技術開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關產品推出。從上面可以看出，X86架構、NP和ASIC各有優(yōu)缺點。X86架構靈活性最高，新功能、新模塊擴展容易，但性能肯定滿足不了千兆需要。ASIC性能最高，千兆、萬兆吞吐速率均可實現(xiàn)，但靈活性最低，定型后再擴展十分困難。NP則介于兩者之間，性能可滿足千兆需要，同時也具有一定的靈活性。三種架構綜合比較：架構類型X86NPASIC靈活性高中低擴展性高中低開放性中高低穩(wěn)定性低中高性能最高2Gbps千兆可達萬兆2.3.4接口類型網絡防火墻至少應當提供3個網絡接口，分別用于連接內網、外網和DMZ區(qū)域。如果能夠提供更多數(shù)量的端口，則還可以借助虛擬防火墻實現(xiàn)多路網絡連接。而接口速率則關系到網絡防火墻所能提供的最高傳輸速率，為了避免可能的網絡瓶頸，防火墻的接口速率應當為百兆、千兆或萬兆。網絡端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口2.3.5主要功能（1）防火墻的基本功能：防火墻系統(tǒng)可以說是網絡的第一道防線，因此一個企業(yè)在決定使用防火墻保護內部網絡的安全時，它首先需要了解一個防火墻系統(tǒng)應具備的基本功能，這是用戶選擇防火墻產品的依據(jù)和前提。一個成熟的硬件防火墻產品應具有以下功能：防火墻的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發(fā)生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質進行包過濾，數(shù)據(jù)包的性質有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等。如果用戶需要NNTP（網絡消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問，應把信息服務器和其他內部服務器分開。防火墻應該能夠集中和過濾撥入訪問，并可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。防火墻的強度和正確性應該可被驗證，設計盡量簡單，以便管理員理解和維護。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且升級必須定期進行。正像前面提到的那樣，Internet每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產生。當新的危險出現(xiàn)時，新的服務和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的可適應性是很重要的。（2）企業(yè)的特殊要求：企業(yè)安全政策中往往有些特殊需求不是每一個防火墻都會提供的，這方面常會成為選擇防火墻的考慮因素之一。常見的需求有網絡地址轉換功能(NAT)，雙重DNS、虛擬專用網絡、掃毒功能、特殊控制需求等。（3）與用戶網絡結合：包括管理的難易度、自身的安全性、完善的售后服務、完整的安全檢查、結合用戶情況等。2.3.6安裝位置

防火墻拓撲位置

●專用（內部）和公共（外部）網絡之間

●網絡的出口和入口處

●專用網絡內部：關鍵的網段，如數(shù)據(jù)中心

防火墻區(qū)域

●Trust（內部）

●Untrust（外部，Internet）

●DMZ（DemilitarizedZone，非武裝軍事區(qū)）3、入侵檢測IDS入侵檢測系統(tǒng)(IDS)可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內部用戶的非授權行為,是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem，簡稱IDS) 圖3.1入侵檢測系統(tǒng) 圖3.2入侵檢測系統(tǒng)架構3.1性能評價標準1、評價入侵檢測系統(tǒng)性能的標準（1）準確性(Accuracy)：指入侵檢測系統(tǒng)能正確地檢測出系統(tǒng)入侵活動，否則會造成虛警現(xiàn)象。

（2）處理性能（Performance）：指一個入侵檢測系統(tǒng)處理系統(tǒng)審計數(shù)據(jù)的速度。

（3）完備性(Compliteness)：指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的能力。（相對困難）

（4）容錯性（Fault

Tolerance）：入侵檢測系統(tǒng)自身必須能夠抵御對它自身的攻擊，特別是拒絕服務攻擊（Denial-Of-Service）。

（5）及時性(Timeliness)：及時性要求入侵檢測系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應，阻止攻擊者顛覆審計系統(tǒng)甚至入侵檢測系統(tǒng)的企圖。它不僅要求處理速度快，而且要求傳播、反應檢測結果信息的時間盡可能少。2、或者用另一種評價方法評價：（1）有效性：指研究檢測機制的檢測精確度和系統(tǒng)報警的可信度。（2）效率：從檢測機制處理數(shù)據(jù)的速度以及經濟角度來考慮，側重檢測機制性能價格比的改進。（3）虛警（falsepositive）：把系統(tǒng)的“正常行為”作為“異常行為”進行報警（4）漏警(falsenegative)：如果檢測系統(tǒng)對部分針對系統(tǒng)的入侵活動不能識別、報警，稱為系統(tǒng)漏警。（5）檢測率：指被監(jiān)控系統(tǒng)受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。（6）虛警率：指檢測系統(tǒng)在檢測時出現(xiàn)虛警的概率。3.2主流設備廠家（1）國內廠家：華為、啟明星辰、網御星云、天融信下圖為華為某IDS設備圖 圖3.3華為NIP2100D其具體參數(shù)如下： 圖3.4華為NIP2100D信息 圖3.5啟明星辰NS100信息（2）國外廠家：Cisco、Juniper、CheckpointCisco入侵檢測系統(tǒng)4200系列設備檢測器，CiscoIDS4200系列設備檢測器包括三型產品：CiscoIDS4210、CiscoIDS4235和CiscoIDS4250。整個CiscoIDS設備系列提供多種解決方案，這些解決方案可以集成到多種不同的環(huán)境中，包括企業(yè)和電信運營商環(huán)境。每個設備檢測器都能提供多檔性能，滿足從45Mbps到千兆位的帶寬要求。3.3設備詳細信息3.3.1重要選擇參數(shù)具體參數(shù)指標（暫無），下列指標為根據(jù)部分產品信息得來的一些選擇參數(shù)（1）最大檢測率（2）最大并發(fā)連接數(shù)（3）每秒新建連接數(shù)（4）處理能力（默認漏報率為0時）（5）漏報率和誤報率（6）延遲（7）吞吐量（8）特征數(shù)：去除冗余參數(shù)，保留能夠反映系統(tǒng)狀態(tài)的重要參數(shù)的一個算法3.3.2主要技術類型（1）基于主機:系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的事件日志、應用程序的事件日志、系統(tǒng)調用、端口調用和安全審計記錄。主機型入侵檢測系統(tǒng)保護的一般是所在的主機系統(tǒng)。是由代理(agent)來實現(xiàn)的，代理是運行在目標主機上的小的可執(zhí)行程序，它們與命令控制臺(console)通信。（2）基于網絡:系統(tǒng)分析的數(shù)據(jù)是網絡上的數(shù)據(jù)包。網絡型入侵檢測系統(tǒng)擔負著保護整個網段的任務，基于網絡的入侵檢測系統(tǒng)由遍及網絡的傳感器(sensor)組成，傳感器是一臺將以太網卡置于混雜模式的計算機，用于嗅探網絡上的數(shù)據(jù)包。（3）混合型:基于網絡和基于主機的入侵檢測系統(tǒng)都有不足之處，會造成防御體系的不全面，綜合了基于網絡和基于主機的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網絡中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 圖3.6混合型網絡入侵檢測系統(tǒng)3.3.3主要構成IETF（Internet工程任務組）將一個入侵檢測系統(tǒng)分為四個組件：事件產生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應單元（Responseunits）；事件數(shù)據(jù)庫（Eventdatabases）。事件產生器的功能是從整個計算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。事件分析器分析得到的事件數(shù)據(jù)，并產生分析結果。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等有效反應，當然也可以只是報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導事件的分析及反應，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。下圖為IDS入侵檢測系統(tǒng)報警過程， 圖3.7入侵檢測報警3.3.4接口類型網絡端口（光、電口），控制端口3.3.5主要功能基本功能：（1）監(jiān)督并分析用戶和系統(tǒng)的活動（2）檢查系統(tǒng)配置和漏洞（3）檢查關鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識別代表已知攻擊的活動模式（5）對反常行為模式的統(tǒng)計分析（6）對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。其他功能：攻擊檢測能力；響應方式；日志與報表；策略功能；管理功能；用戶管理；升級管理；產品安全性3.3.6安裝位置IDS在交換式網絡中的位置一般選擇在：（1）盡可能靠近攻擊源（2）盡可能靠近受保護資源這些位置通常是：（1）服務器區(qū)域的交換機上（2）Internet接入路由器之后的第一臺交換機上（3）重點保護網段的局域網交換機上防火墻和IDS可以分開操作，IDS是個監(jiān)控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設置及規(guī)則，或是重新設置！ 圖3.8某網絡中入侵檢測設備位置4．入侵防御IPS入侵防御系統(tǒng)(IPS:IntrusionPreventionSystem)是電腦網絡安全設施，是對防病毒軟件（AntivirusPrograms）和防火墻(PacketFilter,ApplicationGateway)的補充。入侵防御系統(tǒng)(Intrusion-preventionsystem)是一部能夠監(jiān)視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W絡資料傳輸行為。 圖4.1某IPS系統(tǒng)工作模型詳細信息見附件：4.1具體性能要求針對越來越多的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，不僅需要有效檢測到各種類型的攻擊，更重要的是降低攻擊的影響，從而保證業(yè)務系統(tǒng)的連續(xù)性和可用性。一款優(yōu)秀的網絡入侵防御系統(tǒng)應該具備以下特征：（1）滿足高性能的要求，提供強大的分析和處理能力，保證正常網絡通信的質量；（2）提供針對各類攻擊的實時檢測和防御功能，同時具備豐富的訪問控制能力，在任何未授權活動開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來的損失；（3）準確識別各種網絡流量，降低漏報和誤報率，避免影響正常的業(yè)務通訊；（4）全面、精細的流量控制功能，確保企業(yè)關鍵業(yè)務持續(xù)穩(wěn)定運轉；（5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；（6）可擴展的多鏈路IPS防護能力，避免不必要的重復安全投資；（7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時間把攻擊阻斷在企業(yè)網絡之外，同時也支持旁路模式部署，用于攻擊檢測，適合不同客戶需要；（8）支持分級部署、集中管理，滿足不同規(guī)模網絡的使用和管理需求。4.2主流設備廠家（1）國內廠家：華為、H3C、天融信、啟明星辰、DCN華為入侵防御系統(tǒng)： 圖4.2華為入侵防御系統(tǒng)關于華為設備詳細信息見附件：目前許多廠家產品中將入侵檢測和入侵防御融合到一起，同時對系統(tǒng)中流量進行監(jiān)管和防護，如下列這件產品中其功能包含：入侵檢測和防御功能，稱之為IDP系統(tǒng)。 圖4.3某產品信息（2）國外廠家：思科、Juniper圖4.4CiscoFirePOWER8000系列設備Cisco入侵防御系統(tǒng)產品手冊：4.3設備詳細信息4.3.1重要選擇參數(shù)（1）吞吐量：作為用戶選擇和衡量NIPS性能最重要的指標之一，吞吐量是指NIPS在不丟包的情況下能夠達到的最大包轉發(fā)速率。吞吐量越大，說明NIPS數(shù)據(jù)處理能力越強。（2）延遲：現(xiàn)在網絡的應用種類非常復雜，許多應用對延遲非常敏感(例如音頻、視頻等)而網絡中加入NIPS必然會增加傳輸延遲，所以較低的延遲對NIPS來說也是不可或缺的。（3）最大并發(fā)連接數(shù)：最大并發(fā)連接數(shù)決定了NIPS能夠同時支持的并發(fā)用戶數(shù)，它反映出NIPS對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這對于NIPS來說也是一個非常重要的性能指標，尤其是在受NIPS保護的網絡向外部網絡提供公眾服務的情況下，一般來說，該指標越大越好。4.3.2主要技術類型（1）基于主機的入侵防御(HIPS)：HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統(tǒng)以及應用程序?；谥鳈C的入侵防御技術可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權的入侵行為，整體提升主機的安全水平。（2）基于網絡的入侵防御(NIPS)：NIPS通過檢測流經的網絡流量，提供對網絡系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。（3）應用入侵防御(AIP)：IPS產品有一個特例，即應用入侵防御（ApplicationIntrusionPrevention，AIP），它把基于主機的入侵防御擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數(shù)據(jù)的網絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數(shù)據(jù)包進行檢測和阻斷，與具體的主機/服務器操作系統(tǒng)平臺無關。4.3.3接口類型（1）若干自適應10/100/1000光/電口，作為監(jiān)控端口，區(qū)分旁路和非旁路監(jiān)控端口（2）模塊化端口（3）管理端口等4.3.4主要功能（1）異常偵查。正如入侵偵查系統(tǒng),入侵預防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關系的通常的樣子，可以對照識別異常。（2）在遇到動態(tài)代碼(ActiveX,JavaApplet,各種指令語言scriptlanguages等等)時，先把它們放在沙盤內，觀察其行為動向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。（3）有些入侵預防系統(tǒng)結合協(xié)議異常、傳輸異常和特征偵查，對通過網關或防火墻進入網路內部的有害代碼實行有效阻止。（4）核心基礎上的防護機制。用戶程序通過系統(tǒng)指令享用資源(如存儲區(qū)、輸入輸出設備、中央處理器等)。入侵預防系統(tǒng)可以截獲有害的系統(tǒng)請求。（5）對Library、Registry、重要文件和重要的文件夾進行防守和保護。4.3.5部署位置隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術，已經無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。對于部署在數(shù)據(jù)轉發(fā)路徑上的IPS，可以根據(jù)預先設定的安全策略，對流經的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網絡攻擊，可以根據(jù)該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。進行了以上分析以后，我們可以得出結論，辦公網中，至少需要在以下區(qū)域部署IPS，即辦公網與外部網絡的連接部位（入口/出口）；重要服務器集群前端；辦公網內部接入層。至于其它區(qū)域，可以根據(jù)實際情況與重要程度，酌情部署。下圖為華三SecPATHIPS設備部署方式，（1）IPS在線部署方式部署于網絡的關鍵路徑上，對流經的數(shù)據(jù)流進行2-7層深度分析，實時防御外部和內部攻擊。 圖4.4IPS在線部署方式 （2）IDS旁路部署方式對網絡流量進行監(jiān)測與分析，記錄攻擊事件并告警。 圖4.5IDS旁路部署方式4.4IDS和IPS的區(qū)別和選擇IPS對于初始者來說，是位于防火墻和網絡的設備之間的設備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網絡之外起到報警的作用，而不是在你的網絡前面起到防御的作用。IPS檢測攻擊的方法也與IDS不同。一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網絡。目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。但由于入侵防御產品的出現(xiàn)，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產品，什么時候該選擇入侵防御產品呢?從產品價值角度講：入侵檢測系統(tǒng)注重的是網絡安全狀況的監(jiān)管。入侵防御系統(tǒng)關注的是對入侵行為的控制。與防火墻類產品、入侵檢測產品可以實施的安全策略不同，入侵防御系統(tǒng)可以實施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產品所做不到的。從產品應用角度來講：為了達到可以全面檢測網絡安全狀況的目的，入侵檢測系統(tǒng)需要部署在網絡內部的中心點，需要能夠觀察到所有網絡數(shù)據(jù)。如果信息系統(tǒng)中包含了多個邏輯隔離的子網，則需要在整個信息系統(tǒng)中實施分布部署，即每子網部署一個入侵檢測分析引擎，并統(tǒng)一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統(tǒng)安全狀況的目的。而為了實現(xiàn)對外部攻擊的防御，入侵防御系統(tǒng)需要部署在網絡的邊界。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實時分析網絡數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網絡邊界進入網絡。入侵檢測系統(tǒng)IDS的核心價值在于通過對全網信息的收集、分析，了解信息系統(tǒng)的安全狀況，進而指導信息系統(tǒng)安全建設目標以及安全策略的確立和調整，而入侵防御系統(tǒng)IPS的核心價值在于對數(shù)據(jù)的深度分析及安全策略的實施—對黑客行為的阻擊；入侵檢測系統(tǒng)需要部署在網絡內部，監(jiān)控范圍可以覆蓋整個子網，包括來自外部的數(shù)據(jù)以及內部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網絡邊界，抵御來自外部的入侵，對內部攻擊行為無能為力。IPS可以理解為深度filewall。5、統(tǒng)一威脅管理設備UTM統(tǒng)一威脅管理(UnifiedThreatManagement)，2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設備劃歸統(tǒng)一威脅管理(UnifiedThreatManagement，簡稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中，該概念引起了業(yè)界的廣泛重視，并推動了以整合式安全設備為代表的市場細分的誕生。本設備主要適用于中小型企業(yè)、中小辦公機構及多分支機構，另外對于大型企業(yè)、電信企業(yè)骨干網等可以作為防火墻等網絡安全設備的有效補充。由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成于一個硬設備里，構成一個標準的統(tǒng)一管理平臺。 圖5.1天清漢馬UTM設備圖5.1具體選型原則從定義上來講，UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。雖然UTM集成了多種功能，但卻不一定要同時開啟。根據(jù)不同用戶的不同需求以及不同的網絡規(guī)模，UTM產品分為不同的級別。也就是說，如果用戶需要同時開啟多項功能，則需要配置性能比較高、功能比較豐富的產品。（1）易用性：由于UTM包含了眾多的安全特性，因此能否方便快捷地部署，成為了用戶的首要訴求。曾有用戶調查顯示，用戶對UTM易用性的關注超越了入侵防御和防病毒，成為用戶在選購UTM時最關注的問題。（2）集中管理能力：UTM應該具有基于組的集群管理功能，當在一個網絡中部署多臺UTM設備時，可以通過集中管理中心來對設備組進行配置，這樣經過一次配置，組內所有的UTM設備可以整體生效。另外通過集群管理，可以把分散在不同地方的UTM設備的日志進行統(tǒng)一分析處理，形成全網的網絡安全風險分析報告。（3）病毒庫和入侵防御特征庫的在線升級：跟防火墻不同，UTM的病毒庫、入侵特征庫、反垃圾郵件庫必須及時進行更新，這樣才能具有最新的安全防護能力，因此需要對UTM定期進行升級。尤其是通過在線升級的方式，能夠保證設備在最短的時間內獲得更新。能否供給在線升級，以及在線升級的頻度，是考慮廠家實力和技巧水平的重要指標。（4）日志和流量處理能力：UTM應能夠對病毒、入侵等高威脅性事件進行日志記載，并通過郵件等方式進行告警;應能通過NetFlow等技巧對網絡流量進行分析，可以查詢實時流量和歷史流量，這不僅可以幫助管理者更好地評估網絡狀況，還能夠通過異常流量分析，發(fā)現(xiàn)潛伏的網絡威脅。產品規(guī)格及功能要求產品型號提供小型、中型、大型多種設備型號硬件規(guī)格1U~4U上架設備，具體規(guī)格見實際硬件型號說明訪問控制實現(xiàn)基于域名、IP地址、服務端口、IP協(xié)議、時間等元素的訪問控制防病毒支持HTTP、FTP、POP3、SMTP協(xié)議的病毒防護，病毒庫自動升級VPN支持SSL-VPN、IPSEC-VPN，能夠與CISCO等廠商VPN設備互聯(lián)互通郵件防護提供基于行為、內容的垃圾郵件防護功能，支持郵件的延遲審核發(fā)送防火墻集成基于統(tǒng)一安全引擎的安全防護功能，提供全面的防火墻功能IDS/IPS提供全面的入侵檢測與入侵防御功能P2P識別支持典型P2P和IM軟件的過濾和帶寬限制流量整形支持QoS帶寬管理，基于IP、協(xié)議、服務、接口、時間等元素的帶寬控制高可用性支持透明、路由、混合三種工作模式，支持靜態(tài)路由、策略路由、VLAN高可靠性支持雙機熱備部署模式，且切換時間小于1秒鐘設備監(jiān)控支持對CPU、網絡、用戶在線狀態(tài)、連接數(shù)、路由表等信息的監(jiān)控系統(tǒng)維護提供基于WEB和命令行的系統(tǒng)管理，支持遠程升級5.2主流設備廠家（1）國內廠家：華為、H3C、天融信、深信服下圖為華為UTMUSG2000設備，是面向中小型企業(yè)/分支機構設計的新一代防火墻/UTM（UnitedThreatManagement，統(tǒng)一威脅管理）設備。 圖5.2華為USG2000華為USG2000基于業(yè)界領先的軟、硬件體系架構，基于用戶的安全策略融合了傳統(tǒng)防火墻、VPN、入侵檢測、防病毒、URL過濾、應用程序控制、郵件過濾等行業(yè)領先的專業(yè)安全技術，可精細化管理1200余種網絡應用，全面支持IPv6協(xié)議，為用戶提供強大、可擴展、持續(xù)的安全能力。在政府、金融、電力、電信、石油、教育、工業(yè)制造等行業(yè)得到廣泛應用。下圖為H3C的UTM設備圖， 圖5.3H3CUTM全家福（2）國外廠家：Juniper、WatchGuard、checkpoint暫無產品信息，只獲得checkpoint產品培訓資料一份5.3設備詳細信息5.3.1重要選擇參數(shù)（1）UTM應用層轉發(fā)性能（替代網絡吞吐量）：傳統(tǒng)防火墻采用吞吐量來評估轉發(fā)性能，而UTM由于工作在2到7層，單純使用IP或UDP的吞吐量測試不具有實際意義，因此使用應用層轉發(fā)性能來進行評估更加準確。通常可采用HTTP并進行文件傳輸，來評估UTM所支持的應用層轉發(fā)性能。一般網絡吞吐量在百兆/千兆以上。（2）并發(fā)連接數(shù)：并發(fā)連接數(shù)是UTM可以同時維護的用戶連接數(shù)，一般來說同一用戶會存在多個連接。并發(fā)連接數(shù)越高，UTM所能支持的連接用戶就越多。（3）新建連接速率：新建連接速率是UTM每秒鐘能夠處理用戶的應用層請求的速率，它代表了設備在面對大量網絡終端的訪問請求時，所能體現(xiàn)出的響應速度。如果新建連接速率，會導致用戶的網絡訪問速度慢等問題。對于UTM來說，自然是性能越高，所能供給的數(shù)據(jù)處理能力更高，但高性能的處理設備必然費用昂貴，用戶在選擇時需要根據(jù)預算選擇具有合適處理能力的產品即可。對于中小企業(yè)，可能選擇具有二三十兆轉發(fā)性能的UTM產品就已足夠，而對于大型企業(yè)或運營級用戶，則需要幾百兆甚至1G以上的處理能力。5.3.2主要設備類型從設備使用范圍及功能特性上來說，針對不同級別用戶，UTM（統(tǒng)一威脅管理）主要有以下幾種設備類型：小型企業(yè)安全網關（吞吐量在幾百兆）中小型企業(yè)級百兆網絡應用（吞吐量上千兆）大中型企業(yè)級千兆網絡應用（吞吐量達萬兆左右）電信級萬兆骨干網絡應用（吞吐量在幾萬兆）UTM防火墻（千兆級）5.3.3接口類型控制端口：RJ45、RS-232網絡端口：多個千兆以太網電口或千兆光口5.3.4主要功能在UTM的所有功能中，并不是所有的功能都是必要的，用戶需要根據(jù)自己的需求來斷定采購目標。但一般來說，UTM設備應該包括如下基本功能，才具備基本的可用性：（1）根基防火墻功能：包括狀態(tài)過濾、訪問控制、NAT轉換等，這些是防火墻的基本功能，也是UTM中必不可缺的功能。（2）入侵防御(IPS)功能：入侵防御功能是UTM區(qū)別于防火墻的最基本特征。傳統(tǒng)防火墻具有的是2-4層的防御能力，對更高層的協(xié)議不具備檢測能力，而UTM正是通過入侵檢測和防御技巧的實現(xiàn)，具有了2-7層的全面防御能力。從這一個角度來說，入侵檢測能力的上下，是衡量一款UTM是否專業(yè)的重要標準。（3）防病毒功能：UTM所采用的網絡防病毒引擎同桌面防病毒產品在實現(xiàn)上有一定的差異，病毒的實際檢測率也是選擇UTM設備的重要參考。（4）VPN功能：UTM應支持最基本的VPN功能，即端到端的IPSecVPN。（5）高可用性(HA)：由于UTM整合了眾多的安全特性，使得其對穩(wěn)定性的要求較一般安全設備要更加苛刻，因為一旦發(fā)生故障，可能會導致所有安全防御功能失效，造成無法挽回的損失。UTM應具備高可用性，能夠采用主備模式，在檢測到鏈路和設備故障時由備份設備取代主設備，供給不間斷的安全防護。 圖5.4H3CUTM功能模塊不同設備的功能可能會有不同，首先根據(jù)用戶的細分行業(yè)的需求不同分析其不同的安全需求，如下圖：圖5.5公司網絡 圖5.6學校上網上述功能可認為是UTM的標準功能，如果一款設備不具備上述所有功能，則不能被稱為合格的UTM設備。譬如有的廠家推出的產品雖然號稱UTM，但只是在傳統(tǒng)防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵御網絡層的DOS攻擊而不具備入侵防御功能，在本質上仍然是防火墻的有限增強，其所能滿足的用戶價值也是有限的。除了上述功能，視不同用戶的需求，UTM可能還需要實現(xiàn)以下功能：（1）動態(tài)路由功能：實現(xiàn)RIP、OSPF等路由功能，對于小型客戶，將路由器部分功能整合到UTM中，可以節(jié)省投資，并使得網絡接入更加扁平、易管理。（2）擴展的VPN功能：通過SSLVPN和L2TPVPN，可以供給更靈活的VPN組網能力，包括無客戶端或瘦客戶端的VPN部署，對動態(tài)用戶的支持等。（3）內容過濾：狹義的內容過濾是對網頁內容、URL、網頁控件等的過濾，廣義的內容過濾還包括對各種互聯(lián)網應用比如IM/P2P、網絡游戲、股票軟件、流媒體應用等的檢測和控制;在業(yè)務互聯(lián)網化的今天，這部分功能對用戶特別是對企業(yè)用戶，價值日益凸顯。（4）反垃圾郵件：對于UTM中是否實現(xiàn)反垃圾郵件，存在一定的爭議，但不可否認的是在UTM中實現(xiàn)反垃圾郵件有一定的先天優(yōu)勢，，發(fā)揮入侵防御引擎的深度掃描能力，對通過郵件的入侵可以達到良好的防御效果。而對垃圾郵件的處理性能上，UTM較專業(yè)的反垃圾郵件網關仍然有一定的差距。（5）負載分擔功能：在雙機熱備的根基之上，通過HA雙主或集群的方式，實現(xiàn)UTM的負載分擔。在對流量要求較高的場景下，通過負載分擔可以提高安全網關整體的數(shù)據(jù)處理能力。6、其他常見設備6.1防病毒網關6.1.1防病毒網關簡介防病毒網關是一種網絡設備，用以保護網絡內(一般是局域網)進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關鍵字過濾(如色情、反動)、垃圾郵件阻止的功能，同時部分設備也具有一定防火墻(劃分VLAN)的功能。防病毒網關就是針對網絡安全所面臨的新挑戰(zhàn)應運而生的。對病毒等惡意軟件進行防御的硬件網絡防護設備，可以協(xié)助企業(yè)防護各類病毒和惡意軟件，對其進行隔離和清除。當企業(yè)在網絡的Internet出口部署防病毒網關系統(tǒng)后，可大幅度降低因惡意軟件傳播帶來的安全威脅，及時發(fā)現(xiàn)并限制網絡病毒爆發(fā)疫情，同時它還集成了完備的防火墻，為用戶構建立體的網絡安全保護機制提供了完善的技術手段。廣泛適用于政府、公安、軍隊、金融、證券、保險等多個領域。 圖6.1防病毒網關—反垃圾郵件6.1.2基本特性防病毒網關應具有以下特性：（1）強勁的惡意軟件防護功能，Web應用高效防護防病毒網關產品應該采用獨特的虛擬并行系統(tǒng)檢測技術，在對網絡數(shù)據(jù)進行網絡病毒等惡意軟件掃描的同時，會實時同步傳送數(shù)據(jù)。這一技術的在系統(tǒng)中的應用，從根本上解決了以往對Web數(shù)據(jù)進行掃描操作時，普遍存在的性能瓶頸，在實際使用效果上遠遠超出了“存儲-掃描-轉發(fā)”的傳統(tǒng)技術模式。由于采用了虛擬并行系統(tǒng)技術，在保證不放過任何一個可能的惡意軟件同時，大大減小了網絡應用的請求響應時間，改善了用戶體驗效果。用戶在使用防病毒網關對網絡數(shù)據(jù)流量進行檢測時，基本感覺不到數(shù)據(jù)掃描操作所帶來的響應延遲，更不用擔心錯過精彩的網絡實況播報（2）適應于復雜的核心網絡防病毒網關系統(tǒng)吸收了業(yè)界多年來在防火墻領域的設計經驗和先進技術，支持眾多網絡協(xié)議和應用協(xié)議，如802.1QVLAN、PPPoE、802.1Q、Spanningtree等協(xié)議，適用的范圍更廣泛，確保了用戶的網絡的“無縫部署”、“無縫防護”、“無縫升級”。當防病毒網關設備處于透明工作模式時，相當于一臺二層交換機。這種特性使防病毒網關產品具有了極佳的環(huán)境適應能力，用戶無需改變網絡拓撲，就可以零操作、零配置的升級到更全面的網絡安全解決方案，同時也降低了因新增網絡設備而導致的部署、維護和管理開銷。（3）靈活的網絡安全概念防病毒網關應該基于先進的安全區(qū)段概念實施安全策略的定制和部署，將從接口層面的訪問控制提升到安全區(qū)段概念。防病毒網關從概念上繼承了傳統(tǒng)防火墻的網絡安全區(qū)域概念，也實現(xiàn)了很多突破。它默認各個安全區(qū)段間的安全級別是一樣的，相互間的安全需求差異交由用戶定制，為安全策略的定制和部署提供了很大的靈活性，同時也避免了機械的將網絡劃分為Internal，External和DMZ的傳統(tǒng)安全概念，能夠完備靈活的表達不同網絡、網段間的安全需求。防病毒網關系統(tǒng)還應該提供豐富的網絡地址轉換（NAT）功能支持，支持映像IP地址（MIP）、動態(tài)地址池的正向地址轉換、反向地址轉換。（4）集中管理，全局控制防病毒網關提供了功能強大的圖形化管理系統(tǒng)，該系統(tǒng)基于Windows平臺運行。使用圖形化管理系統(tǒng)，可以對多臺不同地域的防病毒網關系統(tǒng)設備進行統(tǒng)一管理和配置，收集并審計分析多臺防病毒網關設備發(fā)送的日志信息，包括事件日志，配置日志，安全日志和負載日志，對多臺防病毒網關系統(tǒng)設備進行統(tǒng)一的固件升級，病毒庫升級；實時監(jiān)控多臺防病毒網關設備的運行狀態(tài)和負載信息。（5）細致入微的系統(tǒng)日志和審計功能防病毒網關應該具備完善的網絡訪問日志記錄和審計功能，網絡管理員在定制安全策略時，可根據(jù)需要，對網絡行為、資源訪問情況進行有選擇地審計。當系統(tǒng)監(jiān)測到有異常行為，病毒訪問等事件時，將自動對其進行審計分析，以幫助管理員定制更完善的網絡系統(tǒng)安全規(guī)則。6.1.3重要參數(shù)（1）最大并發(fā)連接數(shù)（2）最大吞吐量（3）每秒最大新建連接數(shù)（4）網絡接口：多個千兆電口，USB接口，獨立帶外網絡管理端口，HA接口6.1.4主流廠商（1）國內廠家：天融信、華為、江民天融信公司堅持對防病毒產品技術的跟蹤和創(chuàng)新，結合對用戶安全需求的深入了解，打造出優(yōu)異的防病毒過濾網關產品。目前該產品在軍隊、政府、能源、金融等行業(yè)擁有大量用戶，并且為其病毒防護提供可行的解決方案。天融信網絡衛(wèi)士過濾網關系統(tǒng)TopFilter系列產品采用獨創(chuàng)的TCP粘合技術，可對HTTP、SMTP、POP3、IMAP以及FTP這些網絡中主要的應用協(xié)議進行病毒過濾和防護。本產品以透明接入的方式安裝在企業(yè)網絡的入口處，能直接保護企業(yè)局域網免受各類病毒、蠕蟲、木馬和垃圾郵件的干擾，極大的簡化了管理員的管理工作，能夠實現(xiàn)自動升級、報警等眾多功能。系統(tǒng)主要功能及特點包括：病毒防護解決方案全面的病毒庫靈活多樣雙擎查殺高效與安全并重多通道防護功能透明的掃描方式高可用性 圖6.2天融信防病毒網關天融信TopFilter系列產品信息如下表TopFilter8000TF-31714-Virus標準1U機架式設備,產品最大配置為12個接口,產品配置為4個10/100/1000BASE-T接口，默認電口