【51CTO.com綜合報道】

九宮八陣圖之云垂陣——UTM

云垂陣：云附於地，始則無形，變為翔鳥，其狀乃成，鳥能突出，云能晦異，千變萬化，金革之聲。

UTM身居云垂陣,進可攻退可守，變化中彼此聲息相通，心心相印，縱橫合擊，勢如破竹。

UTM產品基于統一威脅管理目標設計，用于全方位解決企業綜合網絡安全問題。產品提供全面的防火墻、病毒防護、入侵檢測、入侵防護、惡意攻擊防護，同時提供VPN和流量整形功能，在綜合安全防護基礎上，提供附加網絡增值功能。

“內力”提升，UTM不再是傳說

1面臨的挑戰

隨著網絡中應用的越發復雜，企業內部除病毒傳播、系統漏洞、黑客攻擊等傳統威脅外，木馬、拒絕服務攻擊、垃圾郵件、帶寬濫用等問題也日益嚴重，并且在攻擊方式、攻擊目標上亦呈多樣化發展趨勢，具備單一功能的安全技術已無法防御如此復雜的網絡威脅，可集成多種安全功能于一身的UTM產品，在快速發展并被越來越多用戶認可的同時，也面臨著重要挑戰。

1.1應用層深度檢測

應用層深層檢測的真正目的，不僅僅是對病毒的防御，還包括對溢出攻擊、惡意腳本、SQL注入攻擊、P2P應用、網絡游戲等惡意攻擊和網絡濫用行為的檢測及防御。同時，作為部署在網關位置的UTM產品，在進行深層檢測時必須確保不出現誤判，如果深層檢測出現了誤判，那么依據錯誤檢測所做的防御措施會給用戶的正常業務帶來嚴重影響。

1.2UTM性能的提高

對于市場上的UTM產品而言，集成的防火墻、VPN、防病毒、入侵防護等功能實際上只是在設備中做了簡單的疊加，一旦開啟多功能時，各種功能模塊對計算資源的搶奪就直接導致了整體性能的急劇下降。盡管很多廠商也采取了諸如提高硬件配置，甚至采用ASIC硬件加速某些功能的手段，但收效并不顯著。某些品牌的UTM產品，標稱防火墻性能上G，入侵防護、防病毒好幾百兆，雖然在測試中也能達到，但必需是開單項功能時的測試數據。一旦功能全開，性能可能會下降到幾十兆的地步，而原本標稱幾十萬的并發連接則直奔幾千而去。

1.3UTM的協同運作能力

我們需要具備云安全防御技術及構架更完整、可定制性更強的UTM產品。除整合更多功能外，各功能模塊之間的協同運作能力也將上升到新的高度。對于中小企業用戶來說，新型的安全產品無論是在功能方面還是在性能方面都將更加細化和靈活。并且由于標準的兼容，產品之間可以組合使用，發揮完全一體化的效應。

1.4UTM的易用性

網關的易用不只體現在管理、維護、配置上，還體現在設備的部署上，對網絡的兼容性上。UTM產品確實需要在產品開發過程中貫徹“易用”這一原則，使產品能夠具有長期的生命力。

2解決之道

2.1應用層深度檢測

2.1.1應用感控技術

應用感控技術不同于傳統的基于端口和協議的狀態包過濾技術，這種技術能通過流量識別網絡上的應用程序，基于應用ID進行智能識別與控制，同時，可以辨別出來自同一網站的不同應用并且可以啟用服務質量選項為這些應用優先分配帶寬。

2.1.2Web主動過濾技術

Web過濾是指上網監控功能，具備內容過濾的安全網關通過多重過濾與保護，對內容和網址進行監控，對內容不良的網站實行過濾，從而實現對網絡內部人員上網進行監控URL的屏蔽列表。

2.2UTM性能的提高

2.2.1PSE預檢技術和優化匹配技術

數據在進入設備后，除協議異常的流量流向異常檢測模塊外。主要的流量都交給PSE預檢引擎。PSE預檢引擎能夠極高速的分離出清白流量和可疑流量，再將可疑流量交由特征優化匹配引擎進行進一步處理。融合引擎的技術原理如下圖

PSE預檢技術時一種將現有特征庫進行數據抽象，形成體積遠小于原特征的PSE庫，然后利用這個PSE庫的預檢來加速網絡處理的技術。實際上，類似的處理方法，我們在日常生活中經常會用到。就好像平常我們去門口接幾個人，實際上我們對要接的人的身高、相貌、衣著等等都有個心理準備。那么，貓貓狗狗，這個不是人，不用看了；前面來了個外國人，這個也不用看了；又過來個2米多高的，這個也不用看了；我們要接的都是男的，女的也不用看了。我們會自覺不自覺的直接采用少量特征對大多數目標進行排除，只有少數差不多的目標才會詳細的加以驗證。 PSE預檢技術也是如此，經過抽象處理的PSE庫，所需檢測時間不到常規的10%。那么，做個簡單計算，當網絡中可疑流量只占到20%時（這在實際中已經很高了），采用PSE預檢處理可以將性能提升高達70%。當然，在同等網絡情況下，PSE庫構建得越小，往往可疑流量就越高，這之間的平衡是需要仔細斟酌的。

在PSE預檢完成后，對于可疑流量再進一步的交給特征優化匹配引擎進行處理。為什么叫特征優化匹配引擎？我們首先需要知道，在網絡上處理惡意流量，盡量跟傳統的殺毒軟件一樣要用到特征匹配技術，但是對工作流程的需求有極大的不同。傳統殺毒軟件面對的是完整的文件，而諸如UTM這樣的網絡設備面對的是數據流，更準確一點說，是多個數據包，形成威脅的特征值可能分散在多個數據包中。作為一個網關設備，我們不能將所有數據包都先緩存下來，檢測完畢再進行轉發。否則必然造成網絡的擁塞。這就要求在做特征匹配時，必須根據網絡流的這種需求對匹配進行優化。相關優化方法有很多，其中相對高效的一種是基于自動機原理的優化匹配方法。

2.2.2內容檢測技術

貫穿于UTM整體的一條主線實際是高級檢測技術。先進的完全性內容保護采用了完全內容檢測技術，即對0SI網絡模型所有層次上的網絡威脅的進行實時保護。與其他單純檢查包頭或“深度包檢測”的安全技術不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態檢測（檢查數據包頭）和深度包檢測（在狀態檢測包過濾基礎上提供額外檢查）等技術先進。

2.3UTM的協同運作能力

2.3.1主動云防御

云安全防御技術融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。實現立體全面的防護。

2.3.2產品間的協同防護

UTM產品的協同防護要以安全策略為中心，綜合運用檢測、防護、報警、響應等工具，對可能發生的威脅進行立體防御。如：防火墻模塊和終端產品聯動可進行終端的準入控制、IPS模塊與終端產品聯動可進行內網終端入侵行為的及時阻斷、VPN模塊與終端產品聯動可進行遠程終端的接入認證等。

2.4UTM的易用性

2.4.1一鍵配置

一鍵配置功能讓管理人員可以通過WEB界面，對每個按鍵對應的工作模式進行重新定義。例如，在實際的一個案例中，用戶將‘低’定義為調試模式，不做任何攔截策略，用于在網絡出現聯通性故障時調試使用。“中”定義為常規運營模式，根據事先定義的策略對惡意流量進行攔截，同時進行上網行為管理。而“高”則根據用戶的《信息系統應急預案》，定義成除了ERP、Web、郵件和財務應用外的完全阻斷模式。當發生安全事件，需要啟動信息系統應急預案時，不必再單獨配置UTM設備，只需簡單的按下“高“鍵即可。而應急狀態解除后，也僅需按下“中”鍵即可恢復常規運營。為了防止按鍵被誤按，三色按鍵右方設計了安全開關，平常將旋轉開關置于“鎖“的位置即可。三個按鈕雖然是固定死的，但是它代表的策略是動態變化的，是能夠定制的。

“一鍵配置”功能，在多功能安全集成產品的易用性方向上可謂是革命性的一步，是中小企業用戶，以及大型企事業用戶分支機構的上佳選擇。

2.4.2集中管理

UTM的價值在于簡化管理，即以最精簡的單一設備來達到所需要的網絡管理水平，并具有快速遷移、集中管理、節省成本的優勢。通過部署安全管理系統軟件，可實現對安全網關的集中管理，有利于快速完成多臺安全網關設備的部署實施工作，并方便管理員對多臺安全網關進行管理維護。如：根據設備心跳信息，自動發現在線安全設備；支持以拓撲地圖形式呈現用戶網絡部署情況，并可以進行自動拓撲布局調整，呈現設備運行狀況；可通過瀏覽器遠程登錄安全設備的管理界面，進行配置和管理；集中監視設備運行狀態、資源占用情況、設備告警情況、設備在線用戶信息、網絡連接狀態等；支持監控任務訂制，監控任務后臺自動運行，設備歷史運行狀態呈現與分析；實時監控設備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進行響應；支持集中的日志采集、存儲、查詢、統計、在線分析等審計功能。

2.5產品現狀及發展

面對UTM設備不可避免的性能損失，以及不同規模、不同需求的用戶，哪些UTM才是適合的？哪些方案才是可行的？UTM產品相對于單獨購置各種功能設備，可以有效的降低成本投入，這無疑為中小企業實施信息安全提供了一個非常具有吸引力的選擇。由于UTM的管理比較統一，能夠大大降低在技術管理方面的要求，彌補中小企業在技術力量上的不足。這使得中小企業可以最大限度的降低對安全供應商的技術服務，有利于中小企業用戶建立更加合理和真實的解決方案。

在未來，我們將看到構架更完整、可定制性更強的UTM產品。除整合更多功能外，各功能模塊之間的協同運作能力也將上升到新的高度。對于中小企業用戶來說，新型的安全產品無論是在功能方面還是在性能方面都將更加細化和靈活。中小企業用戶可以購買到最大限度貼近自身需求的產品，從而使資金得到充分利用。而且在適合需要的情況下，用戶也可以選擇租用安全產品。并且由于標準的兼容，租用的產品也可以和企業已有的產品及將來購買的產品組合使用，發揮完全一體化的效應。#p#

3如何選擇好的UTM產品

3.1網絡訪問控制

深度防護策略可很好的實現網絡訪問控制。深度防護策略包含源地址、目的地址、源端口、源MAC、流入網口、流出網口、訪問控制、時間調度、服務、是否為長連接等，對于不符合規則的訪問，系統可以攔截并日志告警。

3.2應用的內容識別控制

UTM需擁有完善的應用識別特征庫，通過智能分析技術，將P2P、IM、炒股軟件和在線游戲等協議的應用行為、加密方式、處理動作等特點整理成庫。當流量經過UTM時，UTM啟動過濾引擎，對流量進行特征值的匹配。當過濾引擎搜索到與之匹配的特征碼時，UTM即可應用智能識別技術進行細粒度控制或一鍵封鎖。

內容過濾庫的處理上力求收集齊全、分類準確、更新及時。通過采用網站全智能搜索引擎技術收集互聯網站點，并進行智能分類、人工核驗的處理手段對網站進行分類。應最少支持50多種的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經、娛樂等網站分類，另外，由于在互聯網上每天都有大量新網站出現，UTM可通過在線升級的方式，使URL庫中的網站處于持續的更新狀態。

3.3病毒防御

UTM設備采用自有知識產權的病毒防御引擎和國內知名病毒廠商特征庫，可整體提升設備本身安全性、可擴展性。UTM設備主要針對HTTP,SMTP,FTP,POP3,IMAP等多種協議的病毒防御，并可自定義非標準端口的HTTP,SMTP,FTP,POP3,IMAP協議中的病毒檢測。對當前流行的過濾郵件病毒、文件病毒、惡意網頁代碼、木馬后門、蠕蟲等多種類型的病毒進行檢測與阻斷。

3.4入侵防御

UTM入侵防御功能在蠕蟲、后門、木馬、間諜軟件、Web攻擊、拒絕服務等攻擊的防御方面應具備完善的檢測、阻斷、限流、審計報警等多種防御手段，來滿足用戶的各種應用需要。可檢測和阻斷RedCode、Slammer、sober，Zotob、nimda等多種國內外流行的蠕蟲病毒，并可通過會話數管理防御未知蠕蟲病毒的攻擊；可檢測和阻斷Sub7、netbus、bandook、Doly、GateCrasher等上百種國內外主流的后門程序；可檢測和阻斷ARP攻擊、UDPFlooding、SynFlooding 等網絡層拒絕服務攻擊，而且還可以處理CC，DNS Query Flooding等多種應用拒絕服務攻擊。對所有的攻擊行為不但可以檢測和阻斷，同時需要審計、報警、限值帶寬等防御手段。

3.5異常流量管理

網絡中經過改造的惡意數據包可能會造成企業內部網絡系統死機無法對外提供正常的服務；IP/Port掃瞄的行為將讓企業內部的網絡架構輕易被黑客得知；大量的異常流量數據包也可能造成企業核心路由器、交換機等因承載過重而死機。UTM設備內建的異常檢測模塊，可以檢測各項偏離預期的網絡行為。對網絡流量異常檢測，不單只使用計數的方式，還使用專門的統計算法，可以準確地檢測網絡流量的異常情形。自定義網絡流量異常的觸發參數，除了內建網絡流量標準模式供比對以外，還另提供微調機制，供網絡管理人員針對所管理的網絡環境流量作進一步的細微調校。

3.6應用監控管理

應用監控管理功能可以根據不同的時間、群組，對即時聊天軟件、網游、P2P軟件等下達嚴格的管理策略，應用的識別應基于應用行為和數據特征，而不是基于端口號。對P2P應用中的加密傳輸，要采用應用行為識別與主動探測相結合的方式，來有效地克服了加密后無法識別的業內難題。通過精確的識別，對IM軟件實現了細粒度的控制，不但可以控制登陸，而且對文字聊天，文件傳輸，音頻、視頻都可以實現分類控制。

3.7VPN功能

UTM設備需要支持標準IPSec、SSL、GRE、PPTP 、L2TP等VPN。加密強度可分等級，加密算法應包括DES、3DES、AES、IDEA、RC4。基于遠程用戶接入的安全考慮，需采用USBKey方式的證書認證，實現接入用戶的身份鑒別，實現基于角色（賬號）的權限管理和訪問控制。

3.8統一的集中管控

UTM設備應具備專用的集中管理系統，有利于快速完成多臺UTM設備的部署實施工作，并方便管理員對多臺UTM設備進行管理維護。在集中管理系統中用戶網絡部署情況以拓撲地圖形式呈現，并可以進行自動拓撲布局調整。通過瀏覽器遠程登錄UTM設備的管理界面，進行配置和管理。實時監控設備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進行響應。

4網御星云的解決方案

網御是國內最早自主研發安全網關產品的廠商之一，早在1999年，先后取得了“防火墻入侵檢測與響應的方法（專利號021008515）”、“網關級計算機病毒防范的方法（專利號011091789）”等一系列發明專利成果。

網御根據多年信息安全實踐經驗以及對用戶未來需求的把握，建立了“下一代安全架構（NSA：Next-generation Security Architecture）”的技術理念，在產品開發中以“彈性架構的安全平臺”作為安全設備的技術框架和基礎設施，該平臺規范了底層硬件、平臺軟件、安全應用和高可靠的標準接口，為包括安全網關在內的各類安全網關提供了基礎的操作系統和二次開發平臺。網御針對“彈性架構的安全平臺”，專門成立了新技術研究所，并巨資引入業內領先的技術和人才，進行持續數年的研發，才取得了技術上的突破。該平臺目前已成為網御防火墻、VPN、安全網關、IPS、UTM等系列安全網關產品的基礎平臺。徹底解決了傳統安全產品開發周期長、可靠性低、適應范圍窄等關鍵問題，體現了產品技術平臺化、模塊化的發展趨勢，為網御安全網關的快速開發和發展打下了堅實的技術基礎。

網御安全網關基于經過防火墻、IPS等產品長期考驗的“彈性架構的安全平臺”，在穩定性、成熟度上具有先天的優勢。網御安全網關將協議狀態分析、非緩存病毒檢測技術、基于狀態的流模式快速匹配、智能協議異常檢測、應用軟件監控等技術完美地結合在一起，配合實時更新的病毒特征庫和入侵攻擊特征庫，可有效防御基于網絡入侵行為，阻斷網絡病毒的傳播，并具有豐富的上網行為管理。在眾多國內乃至全球安全廠商中，網御已經成為安全網關產品市場和技術的領跑者。

4.12009年IDC市場排名報告中:網御UTM產品排名第一

在中國UTM產品市場中，網御在所有廠商中排名第一，市場占有率達到20.8%。

4.2通用安全平臺VSP

網御專用安全操作系統VSP面向網絡吞吐和安全處理，采用基于組件的多平面架構，整個系統分為控制平面、數據平面、系統服務平面和硬件抽象平面。通過將硬件驅動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統一調用接口，對下層硬件統一定義驅動標準，適應多種不同規格的硬件架構，實現與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內容加速芯片等各種先進硬件平臺的優勢，使網御UTM產品在性能方面進一步提高。

4.3統一安全引擎USE

網御安全網關采用高效的統一防御引擎USE。它將應用協議分析、異常行為管理、入侵防御等多個子系統集成于單一平臺，構造統一架構，綜合并優化各子系統，去除冗余，簡化數據處理流程，實現統一的安全引擎處理機制。

統一安全引擎示意圖

USE克服了傳統上各個安全引擎獨自為戰的缺點，通過高效的引擎集成技術，將各個安全功能有機地整合為一體，協議分析機、應用識別、內容檢測、異常分析等引擎協同工作，對于監測的數據包，一次性拆包即可完成2-7層的檢測，同時采用聯想的專利技術——基于摘要索引的內容處理加速算法，有效地提高了引擎的處理效率。

統一安全引擎通過多協議融合分析技術和事件關聯再分析技術，綜合內容實體，時間因素，提高了安全事件的檢測率。USE采用標準化的技術，對內提供統一服務接口，使安全功能易于擴展，充分滿足安全需求的快速發展；對外實現安全策略的統一配置，給用戶帶來可管理的等級化安全。

4.4可信架構主動云防御技術

網御UTM產品通過與已部署的防病毒網關、IPS、防火墻等設備聯合抓取病毒源、攻擊檢測源和掛馬網站URL等特征，匯集至云防御服務器定時收納合并，云防御服務器動態更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網御安全網關設備中，使其他設備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構云防御體系。

5總結

對于UTM產品的應用，我們提倡根據用戶需求及網絡狀況進行合理選型，在完善功能及性能的基礎上，大力發展各模塊協同運作能力。針對單點威脅，觸發多模塊協同防護將是我們發展的重點。