UTM统一威胁管理技术-网络安全常识讲座

UTM:统一威胁管理技术统一威胁管理技术主讲主讲主讲主讲 张潇依张潇依张潇依张潇依2007 2007 2007 2007 年年年年 6 6 6 6 月月月月 20 20 20 20 日日日日哈尔滨理工大学网络信息中心哈尔滨理工大学网络信息中心主主 讲讲 内内 容容 1 1 UTM 提出的背景、定义、功能及特征提出的背景、定义、功能及特征 2 2 UTM 的典型技术的典型技术 3 3 UTM 的优势及目前存在的问题的优势及目前存在的问题 4 4 UTM 的适用场合、厂商及产品的适用场合、厂商及产品 5 5 UTM 的一个典型应用解决方案的一个典型应用解决方案 6 6 UTM 的发展趋势的发展趋势 7 7 小小 结结UTM 提提 出出 的的 背背 景景 随随着着网网络络的的日日益益发发展展和和繁繁多多的的应应用用软软件件的的不不断断更更新新，使使得得“复复 杂杂性性”已已成成为为企企业业 IT管管理理部部门门工工作作的的代代名名词词。IT管管理理者者不不得得不不面面对对日日益益增增长长的的网网络络攻攻击击，这这些些网网络络攻攻击击方方式式已已从从传传统统的的简简单单网网络络层层数数据据攻攻击击升升级级到到多多层层次次的的混混合合型型攻攻击击。新新兴兴的的混混合合型型攻攻击击通通过过组组合合多多种种威威胁胁方方法法加加大大了了危危害害的的严严重重性性，它它将将数数种种独独立立的的病病毒毒结结合合起起来来，通通过过极极度度难难以以防防犯犯的的攻攻击击渠渠道道进进行行传传播播和和实实施施攻攻击击。因因此此IT管管理理者者不不得得不不付付出出更更多多的的维维护护成成本本来来管管理理自自己己的的网网络络，而而随随着着网网络络安安全全设设备备的的增增加加，在在一一台台机机器器设设备备上上投投入入的的人人力力物物力力必必然然同同等等 地地 N倍倍放放大大，这这使使得得网网络络安安全全维维护护成成本本也也必必然然同同期期膨膨胀胀，与与此此同同 时时 IT管管理理者者也也深深刻刻感感受受到到分分散散安安全全机机制制所所带带来来的的管管理理不不便便。UTM 提提 出出 的的 背背 景（续）景（续）而传统安全方法却正在失效。如今最流行的传统安全产品是状而传统安全方法却正在失效。如今最流行的传统安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但它们态检测防火墙、入侵检测系统和基于主机的防病毒软件。但它们面对新一代安全威胁作用却越来越小。面对新一代安全威胁作用却越来越小。1 1 从从用用户户角角度度来来说说，虽虽然然安安装装了了防防火火墙墙，但但是是还还避避免免不不了了蠕蠕虫虫泛泛滥滥、垃垃圾圾邮邮件件、病病毒毒传传播播以以及及拒拒绝绝服服务务的的侵侵扰扰。此此外外，基基于于网网络络传传播播的的病病毒毒、带带有有黑黑客客程程序序的的木木马马和和间间谍谍软软件件等等都都是是混混合合型型的的安安全全威威胁胁，传传统统的的防防火火墙墙设设备备已已经经不不能能满满足足防防范范的的需需求求。另另外外传传统统防防火火墙墙的的问问题题还还在在于于黑黑客客已已研研究究出出大大量量方方法法来来绕绕过过防防火火墙墙策策略略。2 2 从从未未大大规规模模部部署署的的入入侵侵检检测测单单个个产产品品来来看看，在在提提前前预预警警方方面面存存在在着着先先天天的的不不足足，且且精精确确定定位位和和全全局局管管理理方方面面还还有有很很大大的的空空间间。UTM 提提 出出 的的 背背 景（续）景（续）3 3 虽然很多用户在单机、终端都安装了防病毒产品，但是内网虽然很多用户在单机、终端都安装了防病毒产品，但是内网的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外的安全并不仅仅是防病毒的问题，还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。来非法侵入、补丁管理以及合规管理等方面。所以说，虽然传统安全方法所以说，虽然传统安全方法已经立下了赫赫战功，并且已经立下了赫赫战功，并且仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。仍然在发挥着历史作用，但是用户已渐渐感觉到其不足之处。由此看来，为了有效地防御目前的混合型威胁，就需要求由此看来，为了有效地防御目前的混合型威胁，就需要求助于新型的安全设备。这些安全设备能够通过简单的配置和管助于新型的安全设备。这些安全设备能够通过简单的配置和管理，以较底维护成本为用户提供一个高级别保护的理，以较底维护成本为用户提供一个高级别保护的“安全岛安全岛”。统一威胁管理统一威胁管理(UTM)的概念就是应这一需求产生的。的概念就是应这一需求产生的。UTM的定义的定义 UTM（Unified Threat Management）是是英英文文“统统一一威威胁胁管管理理”的的缩缩写写,美美国国著著名名的的 IDC对对统统一一威威胁胁管管理理（UTM）安安全全设设备备的的定定义义是是：由由硬硬件件、软软件件和和网网络络技技术术组组成成的的具具有有专专门门用用途途的的设设备备，它它主主要要提提供供一一项项或或多多项项安安全全功功能能。它它将将多多种种安安全全特特性性集集成成于于一一个个硬硬设设备备里里,构构成成一一个个标标准准的的统统一一管管理理平平台台。这这和和单单纯纯地地在在防防火火墙墙中中整整合合其其它它安安全全功功能能不不同同，因因为为 UTM更更注注重重的的是是“对对设设备备和和对对威威胁胁的的管管理理”，它它致致力力于于将将各各种种各各样样的的网网络络安安全全威威胁胁消消弥弥于于无无形形之之中中，以以达达到到防防患患于于未未然然的的终终极极目目标标。它它对对于于终终端端普普通通消消费费者者来来说说 是是 透透 明明 的的，而而 这这 正正 是是 目目 前前 的的 消消 费费 市市 场场 所所 期期 望望 的的。UTM的功能的功能 UTM设设备备应应该该具具备备的的基基本本功功能能包包括括：网网络络防防火火墙墙、网网络络入入侵侵检检测测防防御御和和网网关关防防病病毒毒功功能能。这这几几项项功功能能并并不不一一定定要要同同时时都都得得到到使使用用，但但它它们们应应该该是是 UTM设设备备自自身身固固有有的的功功能能。UTM安安全全设设备备也也可可能能包包括括其其它它功功能能特特性性，例例如如安安全全管管理理、日日志志、策策略略管管理理、服服务务质质量量（QoS）、负负载载均均衡衡（LB）、高高可可用用性性（HA）和和报报告告带带宽宽管管理理等等。不不过过，其其它它特特性性通通常常都都是是为为主主要要的的安安全全功功 能服务的。能服务的。UTM的功能（续）的功能（续）UTM系统平台的综合功能系统平台的综合功能 UTM的特征的特征（个）（个）1 1深度检测深度检测 用户需要基于深度数据包检测（用户需要基于深度数据包检测（DPI）的防火墙。基于状态数据包检测）的防火墙。基于状态数据包检测（SPI）的防火墙仅能够处理来自互联网威胁的）的防火墙仅能够处理来自互联网威胁的2%2%。2 2个体差异个体差异 所有的所有的UTM防火墙并非都是一样的，当然不同的深度数据包检测防火墙防火墙并非都是一样的，当然不同的深度数据包检测防火墙也有所不同，有些就不能高效地处理大流量和大尺寸文件。也有所不同，有些就不能高效地处理大流量和大尺寸文件。3 3动态更新动态更新 为使所采用的安全技术能够满足未来要求，必须采用动态保护。可动态为使所采用的安全技术能够满足未来要求，必须采用动态保护。可动态 连续更新的安全设备正在成为事实上的行业标准。连续更新的安全设备正在成为事实上的行业标准。4 4高度集成高度集成 高高度度集集成成的的设设备备是是关关键键。部部署署分分离离的的设设备备和和技技术术也也可可获获得得某某种种形形式式的的统统一一威威胁胁管管理理，但但在在管管理理和和维维护护方方面面的的成成本本却却翻翻了了几几翻翻，并并且且实实施施的的成成本本也也非非常常高高昂昂。在在当当前前情情况况下下，这这种种点点式式解解决决方方案案的的成成本本高高昂昂又又难难于于管管理理。UTM的特征的特征（续）（续）5 5网络全协议层防御网络全协议层防御 防防火火墙墙仅仅作作为为简简单单的的二二到到四四层层的的防防护护。防防火火墙墙主主要要是是针针对对一一些些像像 IP、端端口口等等这这样样一一些些静静态态的的信信息息进进行行防防护护和和控控制制，但但真真正正的的安安全全不不能能只只停停留留在在底底层层，需需要要构构建建一一个个更更高高、更更强强、更更可可靠靠的的墙墙，除除了了传传统统的的访访问问控控制制之之外外，还还要要对对防防垃垃圾圾邮邮件件、拒拒绝绝服服务务、黑黑客客攻攻击击等等这这样样的的一一些些外外部部的的威威胁胁起起到到综综合合检检测测和和治治理理的的效效果果，能能够够实实现现七七层层协协议议保保护护，而而不不仅仅局局限限于于二二到到四四层层。6 6有高检测技术来降低误报有高检测技术来降低误报 作作为为一一个个串串联联接接入入的的网网关关设设备备，一一旦旦误误报报过过高高，对对用用户户来来说说是是一一个个灾灾难难性性的的后后果果。IPS这这个个理理念念在在九九十十年年代代就就已已经经提提出出来来，但但是是从从目目前前全全世世界界对对 IPS的的部部署署情情况况看看，非非常常有有限限，影影响响部部署署的的一一个个最最大大问问题题就就是是误误报报率率。而而采采用用高高技技术术门门槛槛的的分分类类检检测测技技术术可可以以大大幅幅度度降降低低误误报报率率，因因此此，针针对对不不同同的的攻攻击击，采采取取不不同同的的检检测测技技术术，比比如如防防拒拒绝绝服服务务攻攻击击、防防蠕蠕虫虫和和黑黑客客攻攻击击、防防垃垃 圾圾 邮邮 件件 的的 攻攻 击击、防防 违违 规规 短短 信信 攻攻 击击 等等，有有 效效 整整 合合 可可 降降 低低 误误 报报 率率。UTM的特征的特征（续）（续）7 7 有高可靠、高性能的硬件平台支撑有高可靠、高性能的硬件平台支撑对对于于 UTM时时代代的的防防火火墙墙，在在保保障障网网络络安安全全的的同同时时，也也不不能能 成成为为网网络络应应用用的的瓶瓶颈颈，防防火火墙墙/UTM必必须须以以高高性性能能、高高可可靠靠性性的的专专用用芯芯片片及及专专用用硬硬件件平平台台为为支支撑撑，以以避避免免 UTM设设备备在在复复杂杂环环境境下下其其可可靠靠性性和和性性能能不不佳佳可可能能带带来来的的对对用用户户核核心心业业 务正常运行的威胁。务正常运行的威胁。8 8 UTM一体化的统一管理一体化的统一管理 由于由于UTM设备集多种功能于一身，因此，它必须具有能够设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。统一控制和管理的平台，使用户能够有效地管理。UTM的典型技术（的典型技术（5个）个）完全性内容保护（完全性内容保护（CCP）完完全全性性内内容容保保护护(Complete Content Protection,简简 称称 CCP)提提供供对对 OSI网网 络络模模型型所所有有层层次次上上的的网网络络威威胁胁的的实实时时保保护护。这这种种方方法法比比防防火火墙墙状状态态检检测测（检检查查数数据据包包头头）和和深深度度包包检检测测（在在状状态态检检测测包包过过滤滤基基础础上上提提供供额额外外检检查查）等等技技术术先先进进。它它具具备备在在千千兆兆网网络络环环境境中中，实实时时将将网网络络层层数数据据负负载载重重组组为为应应用用层层对对象象的的能能力力，而而且且重重组组之之后后的的应应用用层层对对象象可可以以通通过过动动态态更更新新病病毒毒和和蠕蠕虫虫特特征征来来进进行行扫扫描描和和分分析析。CCP还还可可探探测测其其它它各各种种威威胁胁，包包括括不不良良 Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。内容、垃圾邮件、间谍软件和网络钓鱼欺骗。ASIC 加速技术加速技术 ASIC芯芯片片是是 UTM产产品品的的一一个个关关键键组组成成部部分分。它它是是为为提提供供千千兆兆级级实实时时的的应应用用层层安安全全服服务务的的平平台台，它它是是专专门门为为网网络络骨骨干干和和边边界界上上高高性性能能内内容容处处理理设设计计的的体体系系结结构构所所必必不不可可少少的的。ASIC芯芯片片集集成成了了硬硬件件扫扫描描引引擎擎、硬硬件件加加密密和和实实时时内内容容分分析析处处理理能能力力，提提供供防防火火墙墙、加加密密/解解密密，特特征征匹匹配配和和启启发发式式数数 据包扫描，以及流量整形的加速功能。据包扫描，以及流量整形的加速功能。UTM的典型技术（续）的典型技术（续）定制的操作系统（定制的操作系统（OS）专专用用的的强强化化安安全全的的 OS提提供供精精简简的的、高高性性能能防防火火墙墙和和内内容容安安全全检检测测平平 台台。基基于于内内容容处处理理加加速速模模块块的的硬硬件件加加速速，加加上上智智能能排排队队和和管管道道管管理理，OS使使各各种种类类型型流流量量的的处处理理时时间间达达到到最最小小，从从而而给给用用户户提提供供最最好好的的实实时时系系统统，有有效效实实现现防防病病毒毒、防防火火墙墙、VPN、反反垃垃圾圾邮邮件件、IDP等等功功能能。紧密型模式识别语言紧密型模式识别语言(CPRL)紧紧密密型型模模式式识识别别语语言言（Compact Patten Recognition Language,简简 称称CPRL）是是针针对对完完全全的的内内容容防防护护中中大大量量计计算算程程式式所所需需求求的的加加速速而而设设计计的的。状状态态检检测测防防火火墙墙、防防病病毒毒检检测测和和入入侵侵检检测测的的功功能能要要求求，引引发发了了新新的的安安全全算算法法包包括括基基于于行行为为的的启启发发式式算算法法。通通过过硬硬件件与与软软件件的的结结合合，加加 上智能型检测方法，识别的效率得以提高。上智能型检测方法，识别的效率得以提高。UTM的典型技术（续）的典型技术（续）动态威胁管理检测技术动态威胁管理检测技术动态威胁防御系统（动态威胁防御系统（Dynamic Threat Prevention System,简称简称DTPS）是由针对已知和未知威胁而增强检）是由针对已知和未知威胁而增强检测能力的技术。测能力的技术。DTPS将防病毒、将防病毒、IDS、IPS和防火墙等和防火墙等各种安全模块无缝集成在一起，将其中的攻击信息相互各种安全模块无缝集成在一起，将其中的攻击信息相互关联和共享，以识别可疑的恶意流量特征。关联和共享，以识别可疑的恶意流量特征。DTPS通过通过将各种检测过程关联在一起，跟踪每一安全环节的检测将各种检测过程关联在一起，跟踪每一安全环节的检测活动，并通过启发式扫描和异常检测引擎检查，提高整活动，并通过启发式扫描和异常检测引擎检查，提高整个系统的检测精确度。个系统的检测精确度。UTM的典型技术（续）的典型技术（续）动态威胁防御系统的体系结构动态威胁防御系统的体系结构UTM的优势（的优势（10点）点）1 1 能够防御混合型攻击：能够防御混合型攻击：UTM设设备备将将防防病病毒毒和和入入侵侵检检测测功功能能融融合合于于防防火火墙墙之之中中，成成为为防防 御御混混合合型型攻攻击击的的利利剑剑。混混合合型型的的攻攻击击可可能能攻攻破破单单点点型型的的安安全全方方 案，但却很可能在统一安全方案面前败下阵来。案，但却很可能在统一安全方案面前败下阵来。2 2 降低了复杂性：降低了复杂性：一一体体化化的的设设计计简简化化了了产产品品选选择择、集集成成和和支支持持服服务务的的工工作作量量。简简单单的的使使用用、方方便便的的安安装装是是威威胁胁管管理理安安全全设设备备最最关关键键的的优优点点。对对于于没没有有专专业业信信息息安安全全人人员员及及技技术术力力量量相相对对薄薄弱弱的的组组织织来来说说，使使用用U T M产产 品品 可可 以以 提提 高高 这这 些些 组组 织织 应应 用用 信信 息息 安安 全全 设设 施施 的的 质质 量量。UTM的优势（续）的优势（续）3 3 避免了软件安装工作和服务器的增加：避免了软件安装工作和服务器的增加：安全服务商、产品经销商甚至最终用户通常都能很容易的安装和安全服务商、产品经销商甚至最终用户通常都能很容易的安装和维护这些设备，而且这一过程还可以远程操作进行。维护这些设备，而且这一过程还可以远程操作进行。4 4 减少了维护量：减少了维护量：这些设备通常都是即插即用的黑盒子，相关的安装、维护工作量这些设备通常都是即插即用的黑盒子，相关的安装、维护工作量会减少。如果出现问题，可以直接通过设备替换来解决问题。会减少。如果出现问题，可以直接通过设备替换来解决问题。5 5 可以和高端软件解决方案协同工作：可以和高端软件解决方案协同工作：当硬件设备安装在企业没有专业安全管理人员的远程地点，由于当硬件设备安装在企业没有专业安全管理人员的远程地点，由于设备可以很容易的安装并通过远程遥控来管理它，这种管理方式设备可以很容易的安装并通过远程遥控来管理它，这种管理方式可以很好的和已安装的大型集中式的软件防火墙协同工作。可以很好的和已安装的大型集中式的软件防火墙协同工作。UTM的优势（续）的优势（续）6 6 避免误操作风险：避免误操作风险：用户通常都倾向于尝试各种操作，而安全设备的用户通常都倾向于尝试各种操作，而安全设备的“黑盒子黑盒子”设计设计限制了用户危险操作的可能，降低了误操作隐患，提高了安全性。限制了用户危险操作的可能，降低了误操作隐患，提高了安全性。7 7 更容易的排错：更容易的排错：当一台设备出现故障之后，即使是一个非专业人员也可以很容易当一台设备出现故障之后，即使是一个非专业人员也可以很容易的用另外一台设备替换它，使网络尽快恢复正常。这项特性对于的用另外一台设备替换它，使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。那些没有专职技术人员的远程办公室显得尤为重要。8 8 应用的灵活性：应用的灵活性：UTM 设备能为用户定制安全策略，提供灵活性。用户既可以使设备能为用户定制安全策略，提供灵活性。用户既可以使用用UTM 的全部功能，也可酌情使用最需要的某一特定功能。的全部功能，也可酌情使用最需要的某一特定功能。UTM的优势（续）的优势（续）9 9 集中的安全日志管理：集中的安全日志管理：UTM设备能提供全面的管理、报告和日志平台，用户可以统设备能提供全面的管理、报告和日志平台，用户可以统一地管理全部安全特性，包括特征库更新和日志报告等。一地管理全部安全特性，包括特征库更新和日志报告等。10 10 整合带来成本降低：整合带来成本降低：将多种安全功能整合在同一产品当中能够让这些功能组成统一将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。有关人士做过一个估算：传统百兆防火墙价一大于二的意味。有关人士做过一个估算：传统百兆防火墙价格格7 78 8万元，如果加上防毒、防垃圾邮件等安全产品，总成本万元，如果加上防毒、防垃圾邮件等安全产品，总成本在在3030万左右。而购买万左右。而购买UTM产品，价格仅产品，价格仅1010万元左右。万元左右。UTM目前存在的问题（目前存在的问题（4点）点）1 1 性能性能 由于由于UTM自身的检测是多方面的，而且这些检测结果还要用于阻断自身的检测是多方面的，而且这些检测结果还要用于阻断/通通行的判断。因此，目前行的判断。因此，目前UTM设备的设备的HA能力普遍要弱于防火墙和路由器。能力普遍要弱于防火墙和路由器。2 2 稳定性稳定性 对于安全设备来说，稳定性是尤其重要的。即使可以通过设计上的提高增强对于安全设备来说，稳定性是尤其重要的。即使可以通过设计上的提高增强设设备备的的稳稳定定性性，在在目目前前条条件件固固定定的的情情况况下下，UTM安安全全设设备备的的稳稳定定性性相相对对于于单单功功能的安全设备仍然要低一些，也就是说能的安全设备仍然要低一些，也就是说UTM安全设备的稳定性要求更难达成。安全设备的稳定性要求更难达成。3 3 安全性安全性 UTM将将所所有有的的安安全全功功能能置置于于一一台台设设备备之之内内，使使得得 UTM可可能能会会成成为为网网络络中中的的单单点点故故障障。一一旦旦 UTM安安全全设设备备出出现现问问题题，所所有有的的安安全全防防御御措措施施将将陷陷入入停停顿顿；而而一一旦旦 UTM安安全全设设备备被被成成功功侵侵入入或或突突破破，整整个个网网络络也也将将被被赤赤裸裸裸地暴露在打击之下。裸地暴露在打击之下。4 4 UTM其中的单个安全功能也许不是同类功能中最好的其中的单个安全功能也许不是同类功能中最好的UTM 的的 适适 用用 场场 合合 对对UTM的的功功能能特特点点、自自身身限限制制等等方方面面进进行行综综合合分分析析，可可以以发发现现 UTM的的主主要要适适用用者者应应当当就就是是：中中小小企企业业、中中小办公用户以及多分支机构。小办公用户以及多分支机构。随随着着性性能能的的提提高高，大大型型企企业业甚甚至至服服务务提提供供商商也也开开始始部部署署UTM设设备备，教教育育、金金融融和和电电信信等等行行业业需需求求明明确确。大大型型企企业业和和行行业业应应用用是是 UTM市市场场潜潜力力巨巨大大的的一一大大领领域域，在在目目前前 UTM技技 术术应应用用中中，金金融融和和电电信信占占整整个个市市场场份份额额的的 4 40 05 5 0 0%，烟烟草草、石石油油及石化等行业市场开发潜力不可低估。及石化等行业市场开发潜力不可低估。UTM 厂厂 商商 国内厂商国内厂商:有深信服、联想网御、华为有深信服、联想网御、华为3 3Com、启明星辰等。、启明星辰等。国外厂商：有国外厂商：有4 4家比较领先家比较领先 WatchGuard：据调查，：据调查，20052005年第二季度，年第二季度，WatchGuard已经成为全球中已经成为全球中端统一威胁管理（端统一威胁管理（UTM）安全设备市场的领导厂商，设备销量高居榜）安全设备市场的领导厂商，设备销量高居榜首。首。Fortinet：Fortinet以基于以基于ASIC芯片加速防病毒的芯片加速防病毒的UTM设备在设备在20032003年年获得了获得了30903090万美元的销售额，以万美元的销售额，以29.5%29.5%的份额领先于全球的份额领先于全球UTM市场。市场。Symantec：Symantec是领先的软件安全供应商，在是领先的软件安全供应商，在20032003年以年以24002400万美万美元的销售额占据元的销售额占据UTMUTM市场第二位，市场占有率为市场第二位，市场占有率为22.9%22.9%。Secure Computing：Secure Computing是从软件厂商转变为硬件设备厂是从软件厂商转变为硬件设备厂商的，以商的，以22802280万美元的销售额排名第三，市场占有率为万美元的销售额排名第三，市场占有率为21.7%21.7%。UTM 产产 品品 1 1 WatchGuard 产品：产品：WatchGuard的的产产品品集集成成了了强强大大的的垃垃圾圾邮邮件件过过滤滤和和多多层层反反间间谍谍软软件件保保护护功功能能，可可保保护护客客户户网网络络免免受受间间谍谍软软件件导导致致的的系系统统死死机机、身身份份盗盗用用、企企业业数数据据丢失等威胁，提供超越典型统一威胁管理设备的更有效的安全保护。丢失等威胁，提供超越典型统一威胁管理设备的更有效的安全保护。2 2 Fortinet 产品：产品：Fortinet的的产产品品在在软软件件设设计计上上采采用用冗冗余余方方式式，多多进进程程相相互互监监测测，发发现现UTM设设备备出出现现问问题题能能够够自自动动重重起起。为为了了避避免免可可能能发发生生的的单单点点故故障障，Fortinet 还还提提供供了了 FortiBridge这这样样的的穿穿透透式式设设备备(在在断断电电时时自自动动变变为为旁旁路路式式)，它它采采用用“失失效效开开放放”架架构构，能能够够发发送送真真实实的的包包，通通过过监监测测协协议议来来判判断断 UTM设设备备的的运运行行状状态态，如如果果发发现现 UTM设设备备不不能能工工作作，FortiBridge可可把把业业务务流流量量接接管管过过来来，维维持网络畅通。持网络畅通。UTM 的的一个典型应用解决方案一个典型应用解决方案 现现结结合合国国内内某某著著名名大大型型能能源源企企业业的的案案例例，来来介介绍绍 UTM设设备备在在网络安全保护中的作用和特点。网络安全保护中的作用和特点。用户需求分析用户需求分析 目目前前某某大大型型能能源源企企业业广广域域网网呈呈星星形形分分布布，以以北北京京为为中中心心，通通过过专专线线方方式式与与全全国国十十个个区区域域网网络络中中心心相相连连，各各区区域域中中心心直直接接连连接接地地区区分分公公司司。广广域域网网 IP地地址址采采用用保保留留地地址址 1 10 0.x.x.x。地地址址段段由由总总部部统统一一分分配配，各各地地区区公公司司内内部部的的地地址址由由各各自自分分配配。总总部部和和各各区区域域网网络络中中心心有有独独立立的的 Internet入入口口，均均可可通通过过当当地地的的 ISP直直接接接接入入 Internet，出出口口带带宽宽根根据据网网络络规规模模从从 1 10 0M到到1 10 00 0M不不等等。由由于于业业务务关关系系，该该企企业业用用户户经经常常出出差差进进行行远远程程办办公公，需需要要通通过过 Internet访访问问企企业业内内网网资资源源，从从企企业业广广域域网网实实际际情情况况来来看看，应应从从以以下下方方面面对对安安全全进进行行分分析析：UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）1 1 链路层链路层 用户通过用户通过Internet访问内网资源，黑客可能在公网链路上使用网访问内网资源，黑客可能在公网链路上使用网络嗅探器窃取用户的机密信息。络嗅探器窃取用户的机密信息。2 2 网络层网络层 由由于于大大型型网网络络系系统统内内运运行行的的 TCP/IP协协议议并并非非专专为为安安全全通通讯讯而而设设计计，所所以以网网络络系系统统存存在在大大量量安安全全隐隐患患和和威威胁胁。整整个个网网络络就就会会受受到到来来自自网网络络外外部部和和内内部部的的双双重重威威胁胁。尤尤其其在在 Internet中中存存在在着着大大量量的的黑黑客客攻攻击击，他他们们常常常常针针对对 Web服服务务器器和和邮邮件件服服务务器器作作为为突突破破口口，进进行行网网络络攻攻击击和和渗渗透透。常常见见的的手手法法包包括括 IP欺欺骗骗、重重放放或或重重演演、拒拒绝绝服服务务攻攻击击、分分布布式式拒拒绝绝服服务务攻攻击击、篡篡改改、堆堆栈栈溢溢出出等等。UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）3 3 应用层应用层 网网络络中中运运行行着着不不同同的的操操作作系系统统，这这些些系系统统都都或或多多或或少少地地存存在在着着各各种种各各样样的的漏漏洞洞。一一名名黑黑客客可可以以通通过过缓缓存存溢溢出出、造造成成死死机机等等方方式式进进行行破破坏坏，甚甚至至取取得得主主机机管管理理员员的的权权限限。企企业业广广域域网网与与Internet相相连连，进进行行着着包包括括 WEB、FTP、E-mail、DNS等等各各种种Internet应应用用。黑黑客客往往往往抓抓住住一一些些应应用用服服务务的的缺缺陷陷和和弱弱点点对对其其进进行行攻攻击击 。应应用用层层的的安安全全威威胁胁还还包包括括对对各各种种不不良良网网络络内内容容的的访访问问，例例如如内内网网用用户户访访问问非非法法或或不不良良网网站站。每每天天发发送送的的大大量量垃垃圾圾邮邮件件也也占占用用了了大大量量的的系系统统资资源源和和网网络络带带宽宽，还还可可能能将将病病毒毒传传入入内内网网。近近几几年年泛泛滥滥成成灾灾的的网网络络蠕蠕虫虫病病毒毒的的传传播播也也会会大大量量占占用用网网络络带带宽宽，造造成成网网络络拥拥堵堵，形形成成拒拒绝绝服服务务式式攻攻击击（DoS）。UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）产品选择产品选择 从从用用户户的的安安全全威威胁胁分分析析我我们们可可以以看看出出，传传统统的的网网络络层层防防火火墙墙只只能能针针对对 IP地地址址、端端口口等等参参数数对对网网络络流流量量进进行行过过滤滤，对对应应用用层层的的安安全全威威胁胁的的防防御御能能力力很很有有限限。复复杂杂的的网网络络入入侵侵、病病毒毒、不不良良内内容容、垃垃圾圾邮邮件件等等可可以以轻轻易易的的穿穿越越传传统统防防火火墙墙进进入入用用户户内内网网。需需要要使使用用集集成成多多种种安安全全功功能能的的综综合合安安全全产产品品来来保保护护用用户户的的网网络络。统统一一威威胁胁管管理理（UTM）设设备备是是集集防防火火墙墙、防防病病毒毒、入入侵侵检检测测、V VP PN N 等等多多项项功功能能于于一身的安全产品，能给用户提供最全面的安全保护。一身的安全产品，能给用户提供最全面的安全保护。要要完完全全过过滤滤应应用用层层安安全全威威胁胁（病病毒毒、不不良良内内容容等等），就就必必须须在在安安全全设设备备上上对对网网络络数数据据包包进进行行缓缓存存和和重重组组，然然后后调调用用各各个个安安全全扫扫描描引引擎擎（如如防防病病毒毒、入入侵侵检检测测、内内容容检检查查等等）进进行行扫扫描描，这这些些工工作作对对于系统性能的要求非常高。于系统性能的要求非常高。UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）产品选择产品选择 使使用用软软件件方方式式来来实实现现统统一一威威胁胁管管理理（UTM）的的产产品品往往往往由由于于性性能能上上的的瓶瓶颈颈大大大大降降低低了了网网络络传传输输速速度度，因因此此在在高高带带宽宽网网络络中中的实用性不强。的实用性不强。而而Fortinet公公司司的的 FortiGate系系列列是是业业界界唯唯一一集集防防火火墙墙、防防病病毒毒、入入侵侵防防御御(IPS)、VPN和和内内容容过过滤滤、反反垃垃圾圾邮邮件件等等多多项项功功能能于于一一身身的的统统一一威威胁胁管管理理（UTM）设设备备，可可对对进进出出企企业业网网络络的的流流量量进进行行黑黑客客攻攻击击、病病毒毒、入入侵侵、不不良良内内容容和和垃垃圾圾邮邮件件等等的的全全方方位位过过滤滤。自自主主研研发发的的 ASIC芯芯片片硬硬件件处处理理方方式式大大大大提提升升了了 UTM产产 品品的的性性能能，在在几几乎乎不不影影响响网网络络速速度度的的情情况况下下提提供供千千兆兆级级的的内内容容处处理理能力，适合各种规模企业的安全应用需求。能力，适合各种规模企业的安全应用需求。UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）方案介绍方案介绍 某大型企业网络安全解决方案示意图某大型企业网络安全解决方案示意图 UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）方案介绍方案介绍 如如上上图图，首首先先在在企企业业总总部部出出口口处处部部署署 2 2台台FortiGate-3 30 00 00 0，配配置置成成负负载载均均衡衡式式 HA结结构构。负负载载均均衡衡式式 HA不不但但可可以以提提供供网网络络的的高高可可靠靠性性，在在两两台台设设备备同同时时工工作作时时还还可可提提供供约约 2 2倍倍于于单单台台设设备备的的性性能能，为为企业出口安全过滤提供足够的性能。企业出口安全过滤提供足够的性能。同同 样样,在在每每个个区区域域网网络络中中心心与与 Internet之之间间各各部部署署 1 1台台FortiGate-3 30 00 00 0，提提供供与与总总部部同同样样的的安安全全功功能能。出出于于网网络络高高可可用用性性的的考考虑虑，并并考考虑虑到到用用户户的的成成本本问问题题，在在每每个个区区域域网网络络中中心心部部署署 1 1台台FortiGate-4 40 00 0，进进行行冷冷备备份份。企企业业对对外外服服务务的的服服务务器器放放置置在在 FortiGate的的DMZ区中，使得整个网络区域划分更加清晰，安全级别更高。区中，使得整个网络区域划分更加清晰，安全级别更高。UTM 的的一个典型应用解决方案（续）一个典型应用解决方案（续）技术特色技术特色1 1 该该系系统统提提供供从从网网络络层层到到应应用用层层的的全全面面安安全全保保护护，可可提提供供防防火火墙墙、防防病病毒毒、入入侵侵防防御御、VPN、WEB过过滤滤、反反垃垃 圾邮件等多项安全功能；圾邮件等多项安全功能；2 2 各安全功能无缝结合，复杂的混合型攻击也无处藏身；各安全功能无缝结合，复杂的混合型攻击也无处藏身；3 3 基于基于ASIC芯片的硬件扫描可以提供极高的处理性能；芯片的硬件扫描可以提供极高的处理性能；4 4 维护开销小，总体成本低。维护开销小，总体成本低。UTM 的的 发发 展展 趋趋 势势 UTM设设备备虽虽然然集集成成包包括括防防火火墙墙、VPN、IDS/IPS、内内容容过过滤滤等等多多 种种 技技 术术 于于 一一 体体，但但 由由 于于 目目 前前 的的 U TM厂厂 家家 没没 有有 能能 力力 掌掌 握握 全全 部部 技技术术，往往往往在在一一种种核核心心技技术术的的基基础础上上加加入入其其他他技技术术，从从而而衍衍生生出出来来UTM。因因此此就就出出现现了了 UTM产产品品以以什什么么为为核核心心的的纷纷争争。目目前前来来看看，UTM设设备备主主要要有有三三种种出出身身：一一种种是是从从防防火火墙墙技技术术衍衍生生出出来来的的，一一种种是是从从防防病病毒毒技技术术衍衍生生出出来来的的，还还有有一一种种是是从从入入侵侵检检测测/保保 护护 技技 术术衍生出来的。衍生出来的。从从发发展展趋趋势势看看，未未来来将将不不存存在在防防火火墙墙、防防病病毒毒、入入侵侵检检测测技技术术等等谁谁为为核核心心的的问问题题，因因为为如如果果基基于于某某个个功功能能模模块块发发展展起起来来的的 UTM产产品品，没没有有充充分分考考虑虑到到技技术术的的深深度度融融合合，只只是是一一味味地地将将很很多多功功能能“简简单单叠叠加加”到到一一起起，其其结结果果将将直直接接影影响响 UTM系系统统效效率率，造造成成整整体体性性能能下下降降，甚甚至至整整个个设设备备的的不不可可用用。所所以以说说 UTM设设备备中中各各种种技技术术的的“无缝集成无缝集成”“深度融合深度融合”才是大势所趋。才是大势所趋。小小 结结 统统一一威威胁胁管管理理(UTM)是是一一种种理理念念的的改改变变，是是新新技技术术的的挖挖掘掘和和集集成成，是是接接受受市市场场需需求求挑挑战战的的主主动动迎迎战战。目目前前，UTM 产产品品尚尚处处于于发发展展阶阶段段，但但相相信信随随着着技技术术的的进进一一步步发发展展和和应应用用的的进进一一步步增增加加，UTM产产品品会会有有良良好好的的发发展展前前途途，UTM的的 春春 天很快就会到来！天很快就会到来！