UTM產品簡述

UTM是統一威脅管理（Unified Threat Management）的縮寫。UTM安全網關是指由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成于一個專用設備中，構成一個標準的統一安全管理平臺。   

UTM安全網關應該具備的基本功能包括網絡防火墻、網絡入侵檢測／防御、VPN和網關防病毒等功能，這幾項功能并不一定要同時都得到使用，不過它們應該是UTM設備自身固有的功能。UTM安全網關也可能包括其它特性，例如內容過濾、安全審計、安全管理、日志、服務質量（QoS）、高可用性（HA）和帶寬管理等。

網御根據多年信息安全實踐經驗以及對用戶未來需求的把握，建立了“下一代安全架構（NSA：Next-generation Security Architecture）”的技術理念，在產品開發中以“彈性架構的安全平臺”作為安全設備的技術框架和基礎設施，該平臺規范了底層硬件、平臺軟件、安全應用和高可靠的標準接口，為包括安全網關在內的各類安全網關提供了基礎的操作系統和二次開發平臺。網御針對“彈性架構的安全平臺”，專門成立了新技術研究所，并巨資引入業內領先的技術和人才，進行持續數年的研發，才取得了技術上的突破。該平臺目前已成為網御防火墻、VPN、IPS、UTM等系列安全網關產品的基礎平臺。徹底解決了傳統安全產品開發周期長、可靠性低、適應范圍窄等關鍵問題，體現了產品技術平臺化、模塊化的發展趨勢，為網御UTM安全網關的快速開發和發展打下了堅實的技術基礎。

基本功能

細粒度的高性能網絡訪問控制

在網御UTM安全網關中，通過深度防護規則實現網絡訪問控制，深度防護規則包含源地址、目的地址、源端口、源MAC、流入網口、流出網口、訪問控制、時間調度、服務、是否為長連接、深度防護策略等多個控制子選項，對于不符合規則的訪問，系統可以攔截并發出日志告警。

?  支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或協議、時間、用戶的訪問控制。

?  支持狀態檢測功能，支持連接狀態非優先匹配和連接狀態優先匹配兩種狀態檢測模式；不僅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或協議、時間、用戶的訪問控制，還支持基于的訪問控制。

?  支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等協議的透明代理，支持自定義端口的透明代理功能，支持基于透明代理的深度內容過濾；支持FTP多線程透明代理控制。 

?  支持透明DNS代理服務，支持DNS二級服務器的透明代理；

?  支持IP/MAC地址綁定，支持IP/MAC地址對的自動探測和唯一性檢查；支持IP/MAC的批量綁定。

?  支持基于客戶端的本地認證、遠程Web認證，以及Radius等第三方認證；支持基于USBKEY的證書方式認證。

?  可以根據IP、協議、網絡接口、時間定義、端口、P2P應用的帶寬分配策略；支持最小保證帶寬和最大限制帶寬；支持多種帶寬定義，包括最小保證帶寬和最大限制帶寬；支持分層帶寬控制，可分4層進行控制，保證細粒度管理水平；支持帶寬優先級管理，可為不同用戶、應用、策略分配不同的優先級。

性能和功能完美匹配的病毒防御

網御和江民科技在病毒防御方面深入技術合作，網御UTM安全網關的病毒檢測引擎針對非緩存流檢測模式進行了全面結構調整和優化，由網御和江民科技共同組建的網絡病毒攻防實驗室為該引擎提供專用病毒規則庫，使安全網關的病毒檢測率和處理性能獲得質的突破：在保持高病毒檢測率的同時，系統性能下降不超過20%，是業界第一個建議用戶把網絡訪問控制、病毒防御、入侵防御等全部功能同時開啟使用的安全網關產品。

?  可以在HTTP,SMTP,FTP,POP3,IMAP等多種協議下病毒防御，支持自定義非標準端口的HTTP,SMTP,FTP,POP3,IMAP協議中的病毒檢測。

?  支持路由、透明、混合等各種工作模式下的網絡病毒檢測，支持無IP地址的透明橋下的網絡病毒檢測模式，支持VPN 模式下的病毒掃描。

?  采用自有知識產權的病毒防御引擎（包括病毒檢測引擎和病毒分析引擎），采用國內知名病毒廠商特征庫，可檢測不少于20萬種病毒，支持根據用戶需求自定義病毒特征。

?  可以根據不同的源IP地址、目的IP地址、服務、時間、接口、用戶等，采用不同的病毒防御策略。

?  可以過濾郵件病毒、文件病毒、惡意網頁代碼、木馬后門、蠕蟲等多種類型的病毒

?  可以對當前主流的蠕蟲做檢測與阻斷，例如：RedCode、Slammer、sober等。

?  內置病毒庫，支持病毒庫本地升級，病毒庫可實時在線升級。

?  支持基于病毒防護策略設置阻斷、清除、記錄日志，發送電子郵件報警等，基于關聯安全標準(Correlative Secure Criterion），可以和其他安全設備和系統聯合響應。

精準高效的入侵防御

網御公司擁有一支高水平的產品研發和攻防團隊，公司設有專門的攻防實驗室、安全技術實驗室，以及專業信息安全服務團隊，每日閱讀各類網絡安全新聞、搜集新發布的攻擊程序，分析系統與應用的漏洞，仿真、分析、發掘攻擊的特定行為，尋找新的攻擊特征，并反映到攻擊特征庫中，保證了攻擊特征的及時更新。

網御UTM安全網關系列產品經過多年的研發和持續的改進，在蠕蟲、后門、木馬、間諜軟件、Web攻擊、拒絕服務等攻擊的防御方面具備了完善的檢測、阻斷、限流、審計報警等防御手段，完全滿足用戶的各種應用需要。

?  可以檢測和阻斷RedCode、Slammer、sober，Zotob、nimda等多種國內外流行的蠕蟲病毒，并可通過會話數管理防御未知蠕蟲病毒的攻擊。

?  可檢測和阻斷Sub7、netbus、bandook、Doly、GateCrasher等多達200多種國內外主流的后門程序。

?  可以檢測和阻斷灰鴿子、Storm、Duntek等多達200多種國內外主流的木馬。

?  可以檢測和阻斷IECodec、Spybuddy等多達400多種國內外主流的間諜軟件。

?  可以檢測和阻斷CGI、Unicode等間諜軟件，而且還包括多達200多種Web攻擊。

?  不但可以檢測和阻斷ARP攻擊、UDPFlooding、SynFlooding 等網絡層拒絕服務攻擊，而且還可以處理CC，DNS Query Flooding等多種應用拒絕服務攻擊。

?  可檢測可抵御的DDoS攻擊多達100多種。

?  對所有的攻擊行為不但可以檢測和阻斷，同時支持審計、報警、限值帶寬等防御手段。

完善的應用監控

網御UTM安全網關不僅具有網絡入侵防御和網絡病毒防御功能，同時還具有豐富的應用監控功能?？梢愿鶕煌臅r間、群組，來對即時聊天軟件、網游、P2P軟件等下達嚴格的管理策略。

網御UTM安全網關對應用的識別基于應用行為和數據特征，而不是基于端口號，有效地提升了應用的識別率，避免了誤判。尤其對P2P應用中的加密傳輸，網御UTM安全網關基于應用行為識別與主動探測相結合的方式，有效地克服了加密后無法識別的業內難題。

通過精確的識別，網御UTM安全網關對IM軟件實現了細粒度的控制，不但可以控制登陸，而且對文字聊天，文件傳輸，音頻、視頻都可以實現分類控制。

?  能夠基于軟件行為、數據內容，而不是基于協議端口號，來識別常見的P2P和IM軟件應用。

?  可識別、控制BT、Edonkey等常見P2P下載軟件。

?  可識別、控制PPlive等常見P2P視頻軟件。

?  不但可識別、控制而且可限流、可控制會話數、可限值帶寬、可審計。

?  內建檢測加密P2P的模塊，可以阻擋加密P2P軟件。

?  根據不同需求，進行多層次IM軟件控制，不僅可禁止實時聊天程序，還可對它的。登陸、聊天、傳輸文件、實時語音、實時視頻等進行分項管理。

?  網絡管理者可以依據源地址、目的地址、VLAN群組等設定P2P、IM策略。

私有云防御技術

私有云防護解決方案作為網關設備上的核心技術革新，通過安全網關與云中心聯動、安全網關與安全網關之間信息共享，大大強化了安全網關的防護能力，真正實現了全網動態防御。

網御安全網關私有云主要采用動態分析手段捕獲未知0 day攻擊，利用虛擬機和內核監控手段，將樣本投放到虛擬機中運行，監控并記錄其運行的本地行為，如注冊表的修改、系統文件的修改和網絡信息。記錄下樣本運行態的信息，判定樣本的類別，感染程度以及危害等級。

并針對APT的四類主要威脅（PE類木馬、溢出格式、嵌入或獨立腳本、URL訪問）通過靜態分析、虛擬執行、動態監控等技術手段進行分析鑒定。

0day/1day漏洞監測

?  支持檢測已知和未知的漏洞

?  對于特定漏洞可以給出相關的漏洞編號（例如CVE編號）

?  對于漏洞同時支持靜態和動態兩種方式進行檢測

自學習能力

?  對于動態分析過的文件避免二次分析。

?  對于已有的檢測結果可以進行更精確的修正。

?  對于首次未檢測到的目標可在后續學習過程中檢測到。即能夠在不更新特征庫的情況下可獲得不斷增強的檢測能力

針對性的環境模擬能力

?  私有云系統采用虛擬化技術搭建，達到對系統的安全保護和快速恢復，通過對虛擬機的負載均衡，可并發同時分析多個任務，為快速分析樣本提供基礎。

?  環境模擬包括國內常見的軟件的安裝，如Word、wps、Adobe reader 、QQ。

?  能夠對移動介質模擬 ，利用文件夾模擬磁盤，并hook修改磁盤類型。

?  模擬游戲、殺軟進程等用來觸發一些對抗和竊取密碼等行為。

?  模擬常見的網絡請求，比如DNS解析，用來觸發下一步連接和發送指令。

高效漏洞識別技術

靜態啟發識別，由于利用漏洞溢出文檔時，無論是未知漏洞還是已知漏洞都會使用一段代碼，跳轉到攻擊者精心構造的可執行代碼中,這段代碼就是Shellcode，可以獲取權限或進行其他惡意攻擊。通過對Shellcode的識別，從而對溢出類型的文檔進行靜態識別，不僅能夠識別已知漏洞構造的惡意文檔，也能識別一些未知漏洞的文檔。

已知漏洞識別主要利用文檔格式解析，針對已知漏洞的格式信息構造條件進行檢測，目前已經支持超過40種文檔格式溢出漏洞的識別。

海量已知病毒識別能力

啟明星辰和網御星云私有云系統擁有大于8000萬的海量知識庫，實現了對大量已知的惡意程序的過濾。系統級別檢測引擎引入了模擬執行虛擬機技術、解包技術、溢出檢測技術、基于PE結構IAT的檢測算法。采用虛擬機技術進行脫殼解決加殼變換問題，同時采用更深的基于特定算法的匹配規則，比如：PE結構相關的特征IAT、節名等方法用更少的特征檢測更多的已知病毒，同時具有對簡單免殺操作如修改部分程序的幾個字節或PE入口點等方法具有很好的未知查殺能力。網御星云私有云解決方案通過系統智能集成的海量黑白名單、規?；摂M機動態鑒定等，對文件是否包括惡意行為進行判定，形成自動化分析報告，并與安全網關進行聯動。在不影響轉發性能的前提下大幅增強安全網關的檢測能力。

多層次的高可用性設計

基于聯想擁有的大型計算機高可靠設計專利技術，利用電信骨干網可靠性運營維護專業經驗，網御UTM安全網關通過在物理層、鏈路層、網絡層、實體層等多個層面實現多元化冗余設計，可有效地保障產品在用戶網絡應用中的高可用性。

?  高可用性設置

?  支持冗余電源。

?  支持多WAN口備份和負載均衡。

?  支持端口聚合，實現端口備份和零成本擴展帶寬。

?  支持雙機熱備，且切換時間小于1秒鐘。

?  支持2～8臺多機集群。

?  支持在掉電源、死機、網口故障、網線故障、網絡鏈路不通等情況下的HA切換，切換時間小于3秒。

?  支持虛擬IP地址和虛擬MAC地址，當出現安全網關切換的時候，不存在IP地址、MAC地址的變化，最大限度的對內部主機透明。

?  支持高可用環境下的配置信息同步，支持配置手工、自動同步和命令同步等方式。

簡單易用的管理模式

?  面向對象的虛擬化安全網關引擎，提供最彈性化的管理方式。每一對實體安全網關/IDS都可配置不同的規則集，每一個規則集所包含的規則，都可依據來源/目的端IP地址或是時間范圍來決定對應的處理方式。

?  支持Web圖形界面、命令行界面管理。

?  支持SSH遠程、串口本地管理。

?  用等信息的監控。

?  支持SNMP 協議，可通過第三方網絡管理軟件進行管理。

?  支持配置文件的備份、下載、恢復和上載，支持配置文件的部分備份和恢復。備份數據可讀，可打印，導出時數據可加密存儲。

?  支持本地和遠程系統升級。

強大的審計功能

對網絡管理人員來說，基于安全網關的檢測和防御情況提供豐富且完善的報表，不但可掌握單位網絡的實際狀況，也能防患于未然。

?  實時統計儀表盤功能。顯示網絡安全事件的分類比率，以及平均流量和目前的流量。

?  實時事件列表功能。詳細的表達出目前正在發生的網絡安全事件，包含了嚴重程度、攻擊者和受害者的IP地址、發生的時間、安全網關對此事件的反應。

?  實時流量監視器。實時的顯示出目前流經過安全網關的流量大小，以及常用應用程序(HTTP, SMTP, POP, FTP, …)所占用的流量。

?  系統狀態監視功能。監視安全網關的處理器和內存利用率，方便網管人員監控設備。

?  樣板報表功能。安全網關內建了最常用的八種報表，可縮短搜尋的時間，提高了便利性。樣板報表還包括了依據攻擊種類和嚴重程度排名的趨勢圖，直觀地提供網管人員最佳的參考。

?  支持最為靈活的定期報表系統， 可依使用者指示的時間將預先設定的報表或是自訂的報表，依設定的格式(HTML、PDF、CVS)和指定的方法（如郵件)傳送給指定的使用者。

?  使用者自行定義特征碼。彈性的格式方便使用者定義出有效的特征。

統一的集中管控

通過部署網御安全管理系統軟件，可實現對網御UTM安全網關的集中管理，有利于快速完成多臺安全網關設備的部署實施工作，并方便管理員對多臺安全網關進行管理維護。網御安全管理系統可以實現以下功能：

?  根據設備心跳信息，自動發現在線安全設備

?  支持以拓撲地圖形式呈現用戶網絡部署情況，并可以進行自動拓撲布局調整，呈現設備運行狀況

?  可通過瀏覽器遠程登錄安全設備的管理界面，進行配置和管理

?  集中監視設備運行狀態、資源占用情況、設備告警情況、設備在線用戶信息、網絡連接狀態等

?  支持監控任務訂制，監控任務后臺自動運行，設備歷史運行狀態呈現與分析

?  實時監控設備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進行響應

?  支持集中的日志采集、存儲、查詢、統計、在線分析等審計功能

產品特色

防病毒專利

網御作為國內領先的網關類設備供應商，最先于2001年提出了網關防病毒技術框架，結合其他產品的網關防御技術積累，歷時三年研究，于2004年取得了網絡防病毒專利（專利號：01109178.9），同時與國內知名防病毒廠商成立聯合實驗室，保障可持續性安全服務。網御使用具有自主知識產權的病毒掃描引擎，結合了特征值檢測和啟發式檢測，從而幫助用戶快速、準確查殺網絡中的病毒等惡意代碼。

私有云防護

網御UTM安全網關通過與已部署的防病毒網關、UTM等設備聯合抓取文件特征，匯集至私有云防護務器定時收納合并，云防御服務器動態更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有與之相連的安全網關設備中，使其他設備具有相同的未知威脅特征，同時使其具備更高的處理性能，共同形成整體可信架構云防御體系。

私有云傳承自主動云防御，私有云是通過一套應對已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統與若干網關設備聯動實現的，屬于網關級的高級安全防御方案。

云服務越來越多的被人提及，也逐步的在被各個行業應用，其中大規模多級部署、集中分析、全網資源信息同步等優點也得到了更多人的認可，與此同時目前應用廣泛的公有云所存在的問題也越來越多的被提及，如信息的同步必須要有Internet連接才能實現；公網鏈路傳輸的安全性、穩定性也得不到保障；用戶信息在公有云上集中進行處理，存在信息泄露的安全風險，不適用于政府等機要單位。為此產生了私有云的概念，所謂“私有”是指信息只在可信的網絡范圍內實現共享，集合可信網絡的全網資源，利用分散的運行能力集合成統一結果，任何一個節點發現的威脅均可以通過私有云同步給全網共享，實現單點誘發全網同步，同時也很好的避免了公有云信息共享所存在的安全性問題。私有云解決方案利用文件黑名單、惡意代碼靜態檢測、虛擬加載執行、動態監測多種組合方式對一切可能用于攻擊的文件進行深度安全分析，從而有效檢測0 day格式溢出應對高級安全威脅，深度提取可執行樣本，并對未知威脅進行判別，同時將分析結果同步至聯動的安全網關，最終由安全網關策略實現訪問控制并提供詳細的行為報告，大幅度提升了安全網關的檢測能力，同時也保障了安全網關的轉發性能。

私有云應用場景

一鍵式配置

網御獨特的一鍵式配置，實現復雜設備的簡單管理，降低用戶的管理成本。

高－高安全等級：可定義嚴格的安全策略，如：只開通業務系統

中－中安全等級：可定義較嚴格的安全策略，如：放寬至WEB和Email

低－低安全等級：可定義寬松的安全策略，如：僅對病毒進行過濾

全開啟性能

UTM產品的全開啟性能是指同時開啟入侵防御和防病毒等主要安全模塊后的性能表現，所以想要突破UTM產品的性能瓶頸就必須從優化入侵檢測引擎和防病毒引擎兩部分入手。網御具有業界領先的入侵檢測引擎和防病毒引擎，同時采用ASIC硬件架構，使得UTM全部功能都打開整體性能下降小于30%。

典型部署

網絡訪問控制兼病毒防御解決方案

網御UTM安全網關可以部署在Internet和內部網絡之間，執行網絡訪問控制功能，防止外部用戶對內網核心資源的非法訪問，同時，也可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件。網御UTM安全網關的病毒過濾針對標準協議，與應用無關。無論用戶使用何種Email服務器和客戶端，只要使用的是標準的SMTP、POP3協議，網御UTM安全網關都可以對電子郵件中的病毒進行過濾，防止病毒通過郵件傳播。網御UTM安全網關還支持HTTP協議和FTP協議，對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。

病毒防御解決方案示意圖

入侵檢測解決方案 

將網御UTM安全網關部屬于防火墻之前，主要目的是防御來自于外網針對防火墻和內網的攻擊。防火墻往往是攻擊的對象重點，一旦防火墻遭到攻擊后，將會有很大的機會造成網絡中斷。且防火墻僅具有四層封包解析的功能，對于利用七層的黑客攻擊手法或是利用合法掩護非法的網絡行為便無法有效管控。通過IPS的保護，除了對于來自外網針對內網或防火墻的暴力攻擊能夠有效阻擋之外，對于所有進出的封包均進行詳細的七層分析，黑客利用合法方式進行非法存取的攻擊將無所遁形。

網絡入侵防御解決方案示意圖

應用監控解決方案 

企業單位在進行網路安全防護的時候往往只重視來自于外網的安全威脅，卻忽略了內網的安全防護。據統計目前企業所面臨的安全威脅有 40% 來自于內網，包含了帶寬的濫用，無意義的上網行為，機密信息外泄以及惡意軟件的使用等等。

在內網行為管理解決方案的網絡拓撲中將網御UTM安全網關部屬于路由器與內網之間，主要目的是防御來自于內網的攻擊，同時可針對于內網對于外網的存取應用進行管理。通過使用網御UTM安全網關，可辨識多種類別如 IM / VoIP / P2P / FTP 等已知的網路應用軟件。除了開放與禁止的網絡行為管理之外還可針對不同的應用予以不同的帶寬使用以及傳輸總量限制，可讓企業網路實施彈性管理，也不會因為防止網路攻擊而影響到正常的網路訪問，讓企業的網路帶寬投資得到最高的回報。