月3號媒體融合生產(chǎn)平臺二期安全設(shè)備防火墻彩頁

。、別注明外，其著作權(quán)或其他相關(guān)權(quán)利均屬于啟辰技術(shù)啟辰技術(shù)同意任何人不得以任何方式或形式對本手冊內(nèi)的任何。、“天清漢馬”為啟辰的商標(biāo)，不得、啟辰技術(shù)在編寫該文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但啟辰技術(shù)不對本文檔中的遺漏確、或錯誤導(dǎo)致、信息反信箱市海淀區(qū)東北旺西路8號中關(guān)村軟件園21號樓啟辰您可以啟 n獲得技術(shù)和產(chǎn)品信息。目概 UTM是安全網(wǎng)關(guān)發(fā)展的方 UTM與 的關(guān) UTM產(chǎn)品發(fā)展技術(shù)方 向過濾發(fā)展、支持應(yīng)用協(xié) 新的算法，滿足設(shè)計要 多核將成為UTM的最佳承載平 產(chǎn)品綜 產(chǎn)品綜 特點(diǎn)說 產(chǎn)品構(gòu) 硬件結(jié) 軟件結(jié) 管理結(jié) 關(guān)鍵技 基于行為分析的檢查技 高速檢測技 數(shù)據(jù)NetFlow技 典型組 行 電子政務(wù) 專 教育行 高教校園 企業(yè)市 中小企 大型企 7產(chǎn)品資 20多年來，網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽，蓬勃成長為參天大樹，在的術(shù)語里，有一個名詞叫做“安全域”，其主要作用就是將網(wǎng)絡(luò)按照個簡單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個最簡單的安下，通過對協(xié)議、地址和服務(wù)端口的識別和控制達(dá)到防范的目的，可以有效的防范基于業(yè)務(wù)端口的。近年來，安全呈現(xiàn)了“多、快、高”的發(fā)展趨勢?！岸唷笔侵赴踩录?shù)CERT組織統(tǒng)計，200022007年的數(shù)量已經(jīng)近100萬；“快”是指安全的蔓延速度快、發(fā)現(xiàn)后攻擊出現(xiàn)的時間快，的蠕蟲可以在幾分鐘之內(nèi)就蔓延到全球范圍，新的公布后幾個小時就出現(xiàn)針對的行為或工具；“高”是指安全的P2P等面對安全的發(fā)展趨勢，已經(jīng)顯得為力，它無法檢測出封裝在有效數(shù)據(jù)內(nèi)的與，也無法檢測和控制對企業(yè)網(wǎng)絡(luò)資源進(jìn)行的IM、P2P軟件。在這種情況下，融合多種安全能力，能夠針對網(wǎng)絡(luò)自身與應(yīng)用系統(tǒng)進(jìn)行破壞、利用網(wǎng)絡(luò)進(jìn)行活動、網(wǎng)絡(luò)資源等，實(shí)現(xiàn)控UTM設(shè)備應(yīng)運(yùn)而生。絡(luò)進(jìn)行活動、網(wǎng)絡(luò)資源等，實(shí)現(xiàn)控制的高可靠、高性能、易管理的網(wǎng)關(guān)。UTM概念最早出現(xiàn)在2002年，當(dāng)時由于混合網(wǎng)絡(luò)的出現(xiàn)，為了滿足用戶對、IDS、、反等產(chǎn)品的集中部署與管理需求，一些安全廠IDCUTM的概念。全的實(shí)施正在由原來簡單的式的邊界防御向立體化的邊界防御轉(zhuǎn)移，在濾技術(shù)之上，融合了多種控制管理措施的安全網(wǎng)關(guān)，即UTM，能夠大認(rèn)為只要把一系列安全產(chǎn)品簡單相加就是UTM這種認(rèn)識只強(qiáng)調(diào)了UTM概UTM的表象。事實(shí)上，從產(chǎn)品設(shè)計或技術(shù)實(shí)現(xiàn)的角度來看，UTM并不能簡單地理解為多UTM的設(shè)計初衷。UTM是一種性的的設(shè)計，不但綜合了各項(xiàng)功能需求，還要能夠降低用戶就安全網(wǎng)關(guān)類產(chǎn)品而言，UTM既然不是單項(xiàng)產(chǎn)品的簡單相加，那么兩者自設(shè)應(yīng)考慮自身需求的特殊性，如果網(wǎng)絡(luò)所的只來自于一個方面，那么單項(xiàng)產(chǎn)品是能滿足安全需要的；反之，對于大多數(shù)用戶網(wǎng)絡(luò)的安全紛繁復(fù)雜，安全需求非常高，UTM則是更理想的選擇。御阻斷類產(chǎn)品，檢測是旁路式檢測類產(chǎn)品；它們的部署方式和所起作的立體防線，用戶不再需要在網(wǎng)絡(luò)邊際上部署一連串的，在管理和成UTM未來的發(fā)展趨勢，統(tǒng)一化、標(biāo)準(zhǔn)化是必然的道路。盡管各大安全廠商的技術(shù)和產(chǎn)品各有千秋，但用戶的問題卻具有極大的共性，幾乎都UTM同業(yè)者共同UTM的標(biāo)準(zhǔn)化。同時，UTM還將實(shí)現(xiàn)更完善的、軟硬一體的模塊化。未來的網(wǎng)絡(luò)必然會不斷出現(xiàn)新的，用戶可能需要適時在UTM中增加新模塊，以解決新的安全UTM與 近期，在業(yè)界又出現(xiàn)了一個新的網(wǎng)關(guān)類型N，并被部分廠商描述為網(wǎng)關(guān)的演進(jìn)方向。那么，什么是N？NUTM又有什么關(guān)系呢？啟辰認(rèn)為，N與UTM在技術(shù)層面并不存在重大差異。對這兩類作用，而N 詢機(jī)構(gòu)IDG和Gartner所定義，無論名稱叫什么，其內(nèi)在實(shí)質(zhì)均代表了安全從這個意義上說，N就是一種具象化的、更偏重行為管理的UTMUTM的技術(shù)實(shí)現(xiàn)方式主要有三種：一種是在的基礎(chǔ)上增加防、IPS等功能；一種是在IPS的基礎(chǔ)上增加、防等功能；還有一種從UTM的實(shí)際意義出發(fā)，進(jìn)行統(tǒng)一規(guī)劃和設(shè)計。前兩種方式大多是廠商或IPS廠商在原來技術(shù)和設(shè)備基礎(chǔ)上不斷添加新的技術(shù)和設(shè)備，整體設(shè)計思路并等，由此產(chǎn)生的UTM并不理想。而按照思想進(jìn)行統(tǒng)一設(shè)計的UTM將朝向過濾發(fā)展、支持應(yīng)用協(xié)當(dāng)前，行為呈現(xiàn)多層次化；與以往不同的是不再以網(wǎng)絡(luò)層為主信息本身的安全越來越們所重視。這些包括：信息傳輸、傳播、軟件的與注入、資源、利用服務(wù)器進(jìn)行應(yīng)用層等；這種現(xiàn)狀要求具有更加全面的檢測能力，不僅僅對信息載體（網(wǎng)絡(luò)層面數(shù)據(jù)）進(jìn)行分析，更要對信息本身進(jìn)行全面的分析，才能有效的識別出次的行為。另外，很多者已經(jīng)不單單利用傳統(tǒng)的HTTP、MAIL協(xié)議進(jìn)行了，即時通訊軟件協(xié)議以及其他應(yīng)用于互聯(lián)網(wǎng)的協(xié)議也成為了者實(shí)施的承載協(xié)議，對這些協(xié)議進(jìn)行完善的內(nèi)容過濾顯得越來越必要，新型的UTM產(chǎn)品將逐步出現(xiàn)可防范利用這些協(xié)議進(jìn)行的功能。新的算法，滿足設(shè)計要UTM設(shè)備時要要采用設(shè)計思想，使各個模塊間以緊耦合方式存在，眾多安全功能可以但UTM類產(chǎn)品的多功能特性為設(shè)計帶來，因?yàn)槎喙δ苣K適用于UTM產(chǎn)品的各個模塊。這樣才能保證設(shè)計的高效率和分析高性能的分布式運(yùn)算硬件平合作為其硬件平臺。相對而言具有廣普運(yùn)算能力的通用CPU更加適合UTM產(chǎn)品需要，但UTM需要更高性能的CPU。而最近2年，兩大主力廠商In與AMD在處理器發(fā)展道都遇到了同樣的問題頻率提升越來越在高頻產(chǎn)品行不通的時候，雙核/多核技術(shù)幾乎是未來提升處理器性能的唯一解決方案。多技術(shù)也就自然而然的成為了UTM產(chǎn)品硬件平臺的有效選擇。但并不僅僅是更換硬件這么簡單，為了適用于多硬件平臺，軟件應(yīng)該具有分布運(yùn)算能力，否則無法有效發(fā)揮多硬件的效能，而分布式軟件的開發(fā)難度較大，對廠家的技術(shù)能力要求非常高。因此采用多硬件技術(shù)，開發(fā)更加復(fù)雜的分布式軟件系統(tǒng)是UTM類產(chǎn)品開發(fā)的一條機(jī)遇與并存的路徑終端邊界融合，實(shí)現(xiàn)縱深防計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，讓的勢態(tài)出現(xiàn)了變化，用戶在關(guān)注傳UTM還是對終端防護(hù)，都有著狀況；另一方面，在網(wǎng)關(guān)處也著諸多像ARP、P2P防控之類的難題，UTM已有的防護(hù)能力，又能將防御UTM多核將成為UTM經(jīng)過近十幾年的發(fā)展，中國的產(chǎn)業(yè)發(fā)展很快，用戶的需求也已經(jīng)更深的要求。建設(shè)有一個明顯的趨勢就是“從脆弱性安全向結(jié)構(gòu)性安全轉(zhuǎn)變這要求建設(shè)要站在網(wǎng)絡(luò)和應(yīng)用整體角度來考慮。而從網(wǎng)絡(luò)設(shè)的可用性和可靠性，而通?；赬86平臺構(gòu)建，在可用性和可靠性上作為安全網(wǎng)關(guān)設(shè)備，在網(wǎng)絡(luò)中處于非常關(guān)鍵的邊界位置，設(shè)備在這個要“補(bǔ)長”這個短板，就需要采用專有的硬件平臺，提高可靠性和可用性。目前硬件平臺一般有、、多核三種。P網(wǎng)絡(luò)處理器架構(gòu)具有比較高的靈活性，在性能方面由于x86架構(gòu)在多安全策略環(huán)境下，NP性NPUTM的硬件架構(gòu)；ASIC架構(gòu)具有很ASIC靈活性較差，僅能按照簡單的策略進(jìn)行數(shù)據(jù)處理，無法對應(yīng)用層業(yè)務(wù)進(jìn)行安全防護(hù)，因此無法推廣到UTM設(shè)備上。由于UTM對10Gbps以UTM最佳的硬件平臺。在國外部分UTM設(shè)備廠商從2005年開始就在朝多核方向發(fā)展Sonicwall等廠商目前已經(jīng)推出比較成多核UTM設(shè)備現(xiàn)在幾乎所有的國外UTM廠投入多核技術(shù)的研究與產(chǎn)品化，推出了成熟的全系列UTM產(chǎn)品，這對國年底之前市場上的UTM幾乎全都可以遷移到多核硬件平臺上。這將使UTM，甚至所有的設(shè)備都不再是作為中國UTM市場的者，啟辰不斷通過技術(shù)革新帶給用戶更高價值的UTM產(chǎn)品。天清漢馬USG安全網(wǎng)關(guān)采用了業(yè)界最先進(jìn)的基于MIPS64的多核硬件架構(gòu)和的軟件設(shè)計集防（IPSDoSNetFlow等多種安全技術(shù)于一身，高性能、綠色低碳，同時全面支持虛擬防火（HA全面實(shí)時的安全防護(hù)，幫助用戶抵御日益復(fù)雜的安全。PC下發(fā)安全客戶端，同步內(nèi)網(wǎng)安全策略，并根據(jù)安全客戶端的檢查結(jié)果對終端PC進(jìn)行準(zhǔn)入控制。天清漢馬USG安全網(wǎng)關(guān)采用了的設(shè)計方案在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實(shí)現(xiàn)了接入安全需要考慮的方方面面采用天清漢馬USG安全自從天清漢馬USG安全網(wǎng)關(guān)推向市場以來很快就憑借其強(qiáng)大的功天清漢馬USG安全網(wǎng)關(guān)具有如下特點(diǎn)完善的特支持基于源IP、目的IP、源端口、目的端口、時間、服務(wù)、用戶、文件、、關(guān)鍵字、郵件地址、、MAC地址等多種方式進(jìn)行支持流量管理、連接數(shù)控制、IP+MAC支持虛擬IPS-堅(jiān)固的防御體業(yè)界最完善的特征庫，包括50多類，超過2000項(xiàng)的特機(jī)理分析技術(shù)，精確抵御、蠕蟲、木馬、后應(yīng)用還原重組技術(shù)，抑制軟件、灰色軟件、網(wǎng)絡(luò)的泛網(wǎng)絡(luò)異常分析技術(shù)，全面防止服務(wù)軟件、ARP，庫總計＞600,000同時具備國際和國內(nèi)最佳的防特征庫為用戶提供最佳的查殺簡單高效的內(nèi)網(wǎng)和基于“終端”的主機(jī)雙重融合。理、終端等多項(xiàng)終端合規(guī)管理。智能的內(nèi)網(wǎng)防護(hù)：網(wǎng)關(guān)與終端相配合提供高效的ARP防范DOS防范和防范多種全面清除郵習(xí)的算法智能區(qū)分郵防郵件，提供單一郵件服務(wù)器發(fā)起的郵件連接數(shù)限、白、可追查性檢安全豐富的使組網(wǎng)變得簡單 支持：GRE、IPSec、L2TP、豐富的應(yīng)用：的客戶端、USBKEY、動態(tài)口令卡、圖形認(rèn)證靈活的部署：Hub-Spoken、Full-Mesh、D、網(wǎng)關(guān)－網(wǎng)關(guān)的SSL完善的上網(wǎng)行為管理能P2P控制：對Emule、BitTorrent、Maze、KazaaIM控制：基于黑白的IM登錄控制、文件傳輸、查毒；支持主流IMQQ、MSN、雅虎通、Gtalk、Skype流控制：對流應(yīng)用進(jìn)行阻斷或限速，支持KamunppfilmPPLive、PPStream、QQ、TVAnts、沸點(diǎn)網(wǎng)絡(luò)電視、貓撲播霸控制：對常見如魔獸世界、征途、QQ游戲大廳、聯(lián)眾軟件控制：對常用軟件如同花順、大參考、大智慧等的阻基于云的URL過濾：基于云技術(shù)，為用戶提供互聯(lián)網(wǎng)的分類過濾強(qiáng)大的日志報表、、記錄內(nèi)容豐富：可對日志日志日志帶寬使用日志、Web日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)日志、用戶登錄日志等、、日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)制企業(yè)LOGO，并可形成多種格式的報表文件。方便的集中管理通過集中管理與數(shù)據(jù)分析中心實(shí)現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實(shí)時、天清漢馬USG安全網(wǎng)關(guān)主要由兩部分組成：USG網(wǎng)關(guān)和天清集中活動和網(wǎng)絡(luò)資源等，實(shí)現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關(guān)、能，集中管理是對USG系列的集中管理、統(tǒng)一和升級中心，通過它可以集中配置和管理所管轄的多臺USG網(wǎng)關(guān)，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員對于整網(wǎng)USG網(wǎng)關(guān)的工作；數(shù)據(jù)分析是USG網(wǎng)關(guān)海同臺管理，而且可實(shí)現(xiàn)啟辰USG系列、USG-FW系列和NIPS系列產(chǎn)品的、、隨著Internet的迅速普及，一方面全球范圍內(nèi)的網(wǎng)絡(luò)、操作系統(tǒng)、郵件等問題層出不窮，且變化越來越快，危害越來越全網(wǎng)關(guān)作為保障的第一道防線究竟何種硬件架構(gòu)最適合UTM產(chǎn)品？要滿足未來產(chǎn)品適應(yīng)信息高速膨脹的發(fā)展趨勢，提升開放平臺的、X86的2核4核這樣的CPU而是在網(wǎng)絡(luò)上使用的基于MIPS64的多核SoC（SystemonChip）處理器，此類多核SoC16X86、NP、ASIC硬件平臺，SoCX86平臺的高靈活性（這一點(diǎn)對于的應(yīng)用層檢測非常關(guān)鍵，同時具備與成為了可能，更重要的是功耗也隨之得到了控制（2圖1.不同硬件架構(gòu)比對產(chǎn)品而言，減排、低功耗是實(shí)現(xiàn)“低碳經(jīng)濟(jì)”最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢為一顆上集成了多個核，核與核之間可以協(xié)同工的應(yīng)用，對于X86通用硬件平臺，需要1顆甚至多顆高頻率CPU，同時需要南北橋組、通過PCI擴(kuò)展的硬件加速板卡或應(yīng)用加速卡等，一系列配套設(shè)計使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC硬件平臺。根據(jù)功耗對比測試，多核SoCX861/3左右。在高效能、低炭排放的同時，多核架構(gòu)帶給高質(zhì)量。高度集成的SoC處理器降低了硬件平臺的整體復(fù)雜度，硬件的簡化促圖2.天清漢馬USG基于MIPS64的多核硬件架為了滿足云計算的安全趨勢，2010年啟辰USG全系列產(chǎn)品全面切換為基于MIPS64的多核SoC硬件架構(gòu)，為用戶網(wǎng)絡(luò)提供更加安全、高效、可靠、TM么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟辰通過對網(wǎng)關(guān)類產(chǎn)品50于模式匹配，25％來自于協(xié)議重組、25％來自于報文重組的結(jié)論。圖3.網(wǎng)關(guān)分析處理引擎性能消耗分UTM產(chǎn)品軟件結(jié)構(gòu)設(shè)基于以上研究數(shù)據(jù)啟辰在天清漢馬USG安全網(wǎng)關(guān)的軟件結(jié)構(gòu)設(shè)計上引入了的設(shè)計理念。即將防御、防、防郵件、內(nèi)容過濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行設(shè)計，以達(dá)到性能最優(yōu)圖4.普通疊加式UTM采用疊加式分析處理引的首先是模式匹配單元的融合。對于不同的功能模塊，模式匹配是基于圖5.天清漢馬USG分析處理引天清漢馬USG安全網(wǎng)關(guān)實(shí)現(xiàn)了特征庫的統(tǒng)一，通過對特征庫、特征庫、內(nèi)容過濾特征庫郵件特征庫等統(tǒng)一進(jìn)行格式化和歸并處理，并采用的方式轉(zhuǎn)發(fā)到不同模塊的處理引擎進(jìn)行分項(xiàng)處理。完全實(shí)現(xiàn)了分析處理引擎的設(shè)計，極大的提高了多功能模塊同時運(yùn)行時的運(yùn)行效率。、圖6.天清漢馬USG總體軟件結(jié)天清漢馬USG安全網(wǎng)關(guān)本著安全高效原則，采用“檢測與控制相分模塊，進(jìn)行2－3層過濾，負(fù)責(zé)接入控制；其次模塊匹配引擎和行報文直接交由報文發(fā)送模塊進(jìn)行報文轉(zhuǎn)發(fā)，對于報文，送交相應(yīng)的處理引和備案，負(fù)責(zé)整體的配置和調(diào)整。優(yōu)秀的管理系統(tǒng)是產(chǎn)品能否有效利用的關(guān)鍵天清漢馬USG安全網(wǎng)量部署的分布式的集中統(tǒng)一；既提供了設(shè)備配置管理能力，又提供了圖7.天清漢馬USG天清漢馬USG安全網(wǎng)關(guān)提供集中管理和單機(jī)管理相結(jié)合的雙重管理機(jī)制USG網(wǎng)關(guān)軟件中集成了WebServer和Manageagent功能WebServer信息和發(fā)送任務(wù)。整個傳輸過程采用SSL加密機(jī)制。機(jī)制，用于進(jìn)行詳細(xì)的功能設(shè)置；集中管理功能通過內(nèi)置在USG網(wǎng)關(guān)中的Manageagent獲取系統(tǒng)狀態(tài)信息、流量信息和版本信息，用于進(jìn)行整體的設(shè)備狀態(tài)顯示。同時以分組的方式管理設(shè)備，以組為單位進(jìn)行統(tǒng)一配置、升級天清漢馬USG安全網(wǎng)關(guān)采用了多種專利技術(shù)和創(chuàng)新技術(shù)，為確保多這3大特點(diǎn)對硬件平臺提出了極大的，也正是基于此，UTM過去飽嘗性能AV、IPS功能后，CPU50％以上。目前X86平臺常見的多核處理器是4核，而SoC多核最高可達(dá)16核，單從CPU內(nèi)核的數(shù)量上就已經(jīng)高出4倍。不僅如此，Cavium多核專為UTM等安全產(chǎn)品應(yīng)用量身內(nèi)置了一系列硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定UTM3大技術(shù)特點(diǎn)，Cavium多核CPU應(yīng)用了“軟件硬件化”的設(shè)計理念，在CPU片內(nèi)集成了多款硬件，通過多種提升平臺整體的4X86CPU6倍，充分保障高性能的可實(shí)CPU在此方面的X86架構(gòu)下需要用北橋、內(nèi)存控制器實(shí)現(xiàn)內(nèi)存操作，Cavium多核CPUDDR2/RLDRAM2內(nèi)存控制器，避免了內(nèi)存成為平臺性能的瓶運(yùn)算密集：UTM既包含等業(yè)務(wù)特性相對常規(guī)的網(wǎng)絡(luò)層業(yè)務(wù)，又包括運(yùn)算復(fù)雜且需較頻繁的業(yè)務(wù)調(diào)度與切換。針對此應(yīng)用特點(diǎn)，Cavium多核CPU可16CPUCPU核既可用于處理不同的業(yè)務(wù)又可統(tǒng)一調(diào)度協(xié)同UTMCPU核集成了一個專門針對包處理X86RISCCPU短指令集對于2-3倍。IPS廠家研發(fā)TM產(chǎn)品遇到的最大的這些業(yè)務(wù)的特點(diǎn)完全不同產(chǎn)品設(shè)計中要實(shí)現(xiàn)這些業(yè)務(wù)的協(xié)調(diào)一致整體高性能是極其的vium多核PU針對AIPS等應(yīng)用層特征明顯的業(yè)務(wù)，直接以硬件對相關(guān)業(yè)務(wù)特征數(shù)據(jù)進(jìn)行匹配，不必再象時代必須要由PUIPSPU資源的消耗。另外，片上集成了一個壓縮/解壓縮引擎，可于VV業(yè)務(wù)性能。SOC多核硬件平臺具備強(qiáng)大的性能優(yōu)勢，可不幸的是，X86平臺屬于通用硬件平臺，具有開發(fā)難度小的優(yōu)勢，而SoC多核平臺屬于硬件平臺，長。這其中需要在多核硬件的基礎(chǔ)上作大量的性設(shè)計，包括重構(gòu)操作系統(tǒng)、啟辰從2006年開始踏入多核領(lǐng)域，從平臺選型、平臺預(yù)研到最終的產(chǎn)內(nèi)的最高水平，領(lǐng)先國內(nèi)最少1年以上，是國內(nèi)第一家發(fā)布真正萬兆UTM產(chǎn)品的廠家，同時也是全球第二家達(dá)到此水平的廠商，進(jìn)入了國際者行列除去固有的特征字或關(guān)鍵字，每一個或都會有一系列的動作，例如修改系統(tǒng)表、終止進(jìn)程、修改圖標(biāo)等，對于每一種操作系統(tǒng)，都會存在成千上萬類似的動作。通過對這些行為特征、分析、提煉，能夠?qū)ふ页鲆欢ǖ囊?guī)律，用于對未知或的檢測，根據(jù)這個原理，啟辰創(chuàng)新了基于行為分析的檢查技術(shù)，用于對未知我們可以通過對表進(jìn)行監(jiān)視和對于很多網(wǎng)頁木馬之類的必定有一監(jiān)視和對于鍵盤操作進(jìn)行記錄的必定會有一個對鍵盤進(jìn)行消息處理進(jìn)?；谛袨榉治龅臋z查技術(shù)給出了一種相對準(zhǔn)確的對于未知和的檢測方法，對于“Z-Day”類具有很好的防范作用，是解決網(wǎng)絡(luò)邊界圖8.UTM用用數(shù)據(jù)內(nèi)容過濾特內(nèi)容特征匹內(nèi)/響IDS特征IDS特征匹/響征特征匹/響其他特征其他特征匹其/響圖9.傳統(tǒng)UTM系統(tǒng)匹配過程邏輯UTM系統(tǒng)的特征匹配器采用多模串匹配算法，這種算法的匹配效率和特征IDS特征內(nèi)容過濾特征用IDS特征內(nèi)容過濾特征用/融合2/3綜合匹配3/n應(yīng)數(shù)據(jù)其他特征基于的融合式綜合匹配技術(shù)在結(jié)構(gòu)上最大限度地融合了存在冗余功能的模塊從而避免了重復(fù)的數(shù)據(jù)還原分析過同時將相關(guān)的特征碼加上輸入同一個特征匹配器——只匹配一次，匹配到關(guān)鍵字后，根據(jù)相應(yīng)關(guān)鍵字的選擇/響應(yīng)方式。這一步避免了對同一數(shù)據(jù)流進(jìn)行重復(fù)匹配過濾的操作。對用戶的多個網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測精度的有效。比如一個用HTTPCGI掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有的某個CGI，之后該用戶又發(fā)送了包含SCode的請求，從這兩次行為分別看每個都不能將其界定為行為如果將兩個行為聯(lián)系起來，息進(jìn)行統(tǒng)一處理，簡潔、準(zhǔn)確地報告出正確的事件。一對多的現(xiàn)比 發(fā)作時的傳染行為特點(diǎn)為一個源在一段時間內(nèi)向多個目標(biāo)發(fā)動多對一的現(xiàn)務(wù)方式。包括的傳染，以及常用的：先一臺主機(jī)，再利用它對于大規(guī)模的蠕蟲類、類和分布事件，如果對事件的源、目的信息逐條記錄，將產(chǎn)生大量的日志信息，這對系統(tǒng)的正常運(yùn)行將產(chǎn)生不利影響。地址歸并、按源或目的地址歸并的歸并策略。這樣既可以降低事件的頻率、避免日志洪流的產(chǎn)生，又可以明確發(fā)生的規(guī)模情況。、為了能夠?qū)?yīng)用層數(shù)據(jù)進(jìn)行檢測檢測以及內(nèi)容過濾，我們首先需RFC規(guī)定的協(xié)議默認(rèn)端口來判斷協(xié)議的類型，然、TCP/IPUDPTCP兩種傳輸IP分片、IPUDP數(shù)據(jù)等，采用優(yōu)先級按照插件優(yōu)先級的順序進(jìn)行調(diào)用，根據(jù)IPIPP1、IPP2，分別賦予三個插件優(yōu)先級1，2。當(dāng)平臺捕獲網(wǎng)絡(luò)數(shù)據(jù)包A的時候，平臺首先調(diào)用優(yōu)先級最高的插件IPP1IPP1DROP，則拋棄當(dāng)前的數(shù)據(jù)包，不再提交優(yōu)先級較低的IPP2處理。這種方式可以有效避免同一數(shù)據(jù)包的重復(fù)處理，可以有TCPTCP數(shù)據(jù)，采用競爭連接控制權(quán)的方式來決定處類型。目前，除了少數(shù)的協(xié)議（如：DNS和SMTP協(xié)議）可以通過TCP連接的目的端口判定以外，其他的協(xié)議均可以變換連接的端口，比如HTTP協(xié)議雖然RFC規(guī)定默認(rèn)情況下使用80端口，但是實(shí)際應(yīng)用中，可以見到大量的采用1080，8080TCP連接的建立信息，平臺將這個連接建立的信息提TCP2所示。所有DROP_ME通知平臺放棄當(dāng)前KEEP_ME調(diào)用了PEND_ME的插件釋放對于當(dāng)前連接的控制并完成現(xiàn)場銷毀。TCP連接中包含多個應(yīng)用層協(xié)議的問題，比如說使用SOCKS進(jìn)行HTTP的TCP連接，連接的前一部分是SOCKS協(xié)議，而連接的后一個部分則為標(biāo)準(zhǔn)的HTTP協(xié)議平臺提供函數(shù)RESTORE_ME函數(shù)允的處理插件。對于一個TCP1所示。否否開 不確定(有 次 是高效協(xié)議自識別算法。對于非端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于檢測的特征識別過程，IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB根據(jù)研究發(fā)現(xiàn)所有這些算法的性能分析全部是基于理想的模型忽略訪存的性能開銷由于器速度遠(yuǎn)低于處理器速度兩者相差一個數(shù)量級以上為避免器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級結(jié)構(gòu)增加少量的高速緩存隱藏器的性能瓶頸但是在多串匹配算法中數(shù)據(jù)中率大幅下降，不考慮訪存開銷顯然已各算法在實(shí)際應(yīng)用中的效能。配置管理層 控制層 服務(wù)層靜態(tài)特統(tǒng)計模靜態(tài)算選擇決策模算法調(diào)算法統(tǒng)一調(diào)用模動態(tài)特統(tǒng)計模動態(tài)算選擇決策模反饋事件隊(duì)靜態(tài)自適應(yīng)在系統(tǒng)初始化時進(jìn)行，統(tǒng)計各協(xié)議變量特征及相關(guān)匹配模式特heine長度、2Che，多協(xié)議字段的匹配。為了方便多個協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型，UTM設(shè)備內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處理器所具備的多核能力。一個SMP情況下，為了充分發(fā)揮硬件的計算能力，必須把為此，天清漢馬USG安全網(wǎng)關(guān)采用了如下的解決方法：依然遵循數(shù)儲單元（為了提高速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說2k字節(jié)一內(nèi)內(nèi)容還與分內(nèi)容還與分處理線處理線數(shù)據(jù)分發(fā)線將待發(fā)送數(shù)據(jù)發(fā)送后據(jù)單元返回給空閑隊(duì)單使單元隊(duì)索單…單…索單單填充數(shù)據(jù)以后到數(shù)據(jù)隊(duì)列從空閑隊(duì)列中空單空單元隊(duì)單單單單單數(shù)據(jù)發(fā)送線數(shù)據(jù)捕獲系IP包首IP協(xié)議、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時數(shù)據(jù)NetFlow技在對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析統(tǒng)計方面，NetFlow是一項(xiàng)關(guān)鍵技術(shù)，它能根據(jù)客戶的要求總結(jié)流量統(tǒng)計數(shù)據(jù)，而這些數(shù)據(jù)對的管理、規(guī)劃是非常有用的。無需探針（probe）IP流量的流分析，而且對設(shè)備的性能影響提供極為豐富和寶貴的數(shù)據(jù)，這些數(shù)據(jù)可用于的管理和規(guī)劃NetFlow系統(tǒng)由流、流收集器、NetFlow數(shù)據(jù)分析器三個部分組成，由于流僅僅IP數(shù)據(jù)流的統(tǒng)計信息，更深入的分析由NetFlow數(shù)據(jù)分大，在網(wǎng)絡(luò)流量較大時，流也能正常工作。例如啟辰的天清漢馬USG安全網(wǎng)關(guān)支持流的功能，而安全管理平臺則集成了流收集器和NetFlow數(shù)據(jù)分析器的功能，因此，利用啟辰的天清漢馬USG安全網(wǎng)關(guān)和安全管理平臺，就能構(gòu)建一個完整的NetFlow系統(tǒng)（以下簡稱“啟辰NetFlow系統(tǒng)天清漢馬USG安全網(wǎng)關(guān)輸出報文主要由兩部分組成報頭和Flowset。Flowset是輸出報文中緊隨報頭的部分，包含著收集器必須解析和翻譯的信息。Flowset有兩種類型：模版Flowset和數(shù)據(jù)Flowset。模版Flowset描述了數(shù)據(jù)FlowsetFlowset一個NetFlow收集器接收到一個模版Flowset它會這個Flowset和輸出源地FlowsetFlowset對應(yīng)于此模版FlowsetID和源地址，那么它就能根據(jù)此模版Flowset定義的字段解析出這些數(shù)據(jù)。將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)的IPTPFINTP1接。該算以1秒鐘為單位時間，進(jìn)行流量的統(tǒng)計，如果上1秒鐘的流量大于作為服務(wù)的主要SYNFlood效果尤為顯著，通常SYNFlood的防范方式為應(yīng)用SYN機(jī)制它的原理是:在TCP服務(wù)器收到TCPSYN包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個SYN包計算出一個值，并加載在所回應(yīng)的SYN/ACK包中，在收到TCPACK包時，TCP服務(wù)器在根據(jù)那個值檢查這個TCPACK包的。如果合法，再分配專門的據(jù)區(qū)進(jìn)行處理未來的TCP連接。天清漢馬USG安全網(wǎng)關(guān)可以和啟辰的天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)進(jìn)行完美融合，兩者融合之后可以“UTM2件”的形式出現(xiàn)，除協(xié)同防護(hù)體系：通過統(tǒng)一的管理界面，實(shí)現(xiàn)對網(wǎng)關(guān)的配置和終端對IM、P2P、流等網(wǎng)絡(luò)應(yīng)用實(shí)現(xiàn)100%的精確控制；針對各種網(wǎng)絡(luò)端上可實(shí)現(xiàn)基于進(jìn)程和端口的流量控制，兩者搭配可以實(shí)現(xiàn)更細(xì)粒全面的網(wǎng)絡(luò)準(zhǔn)入控制：傳統(tǒng)只能根據(jù)五元組進(jìn)行準(zhǔn)入控制，無法UTM2UTM的應(yīng)用層安全檢查功能，更可根據(jù)終端的進(jìn)程檢查、防檢查和系統(tǒng)補(bǔ)丁檢查等多種安全檢查結(jié)，增強(qiáng)的網(wǎng)絡(luò)防護(hù)：從終端出發(fā)準(zhǔn)確定位ARP本機(jī)發(fā)送、接收ARP包，徹底解決ARP難題；通過網(wǎng)關(guān)限制終端連接數(shù)，通過終端限制主機(jī)進(jìn)程連接數(shù)，徹底防范DoS/DDoS。，圖16.UTM2件的部署示意通過USG其他安全域時，會被重定向到天珣客戶端的頁面，提示用戶自行安裝；安裝過天珣客戶端的終端，會自動從USG上同步安全管理策略進(jìn)行安全檢查，USG根據(jù)安全檢查的結(jié)果進(jìn)行準(zhǔn)入控制；不安裝客戶端的終端將無法其他安全域。電子政電子政務(wù)網(wǎng)是各級為了加強(qiáng)信息化建設(shè)通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和、電子政務(wù)內(nèi)網(wǎng)全部采用專線或光纖的方式構(gòu)建雖然說電子政務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)是物理的，但網(wǎng)絡(luò)內(nèi)部經(jīng)常因某一分支機(jī)構(gòu)中了，而導(dǎo)致在政務(wù)內(nèi)網(wǎng)泛濫成災(zāi)。天清漢馬USG部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的蠕蟲等，同時對電子政務(wù)內(nèi)網(wǎng)用戶相互間