【文章內(nèi)容簡介】 全操作系統(tǒng)）面向網(wǎng)絡(luò)處理和安全處理的要求，集中主要資源用于網(wǎng)絡(luò)處理和安全處理，使系統(tǒng)具有極強的實時處理、網(wǎng)絡(luò)吞吐和安全防護能力。 天清漢馬 USG 防火墻為客戶提供前瞻的安全能力，在業(yè)界率先通過了 IPv6 Ready Phase II 認證，支持 IPv6 環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、 OSPF 動態(tài)路由、 FTP、 ALG 等基本安全控制，支持 IPv6/v4 雙協(xié)議棧部署，為用戶提供過渡網(wǎng)絡(luò)的安全解決方案。 主要功能 ? 智能內(nèi)容過濾 169。啟明星辰 第 頁 共 47 頁 14 內(nèi)容分析子系統(tǒng)要充分 發(fā)揮當前處理器所具備的多核能力。一個大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費者應(yīng)該使用一個大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核以及 SMP 情況下，為了充分發(fā)揮硬件的計算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。 但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當協(xié)議棧多線程的時候，必須使 用專門的線程實現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進行處理。這樣問題也就出現(xiàn)了：那個環(huán)形緩沖區(qū)的讀指針不再正確。這是因為，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進行拷貝以后再分發(fā)，而是直接對其指針進行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊列的讀指針來申明當前緩沖區(qū)以消費完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時多線程同時進行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了 。 為此，天清漢馬 USG 防火墻 采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對緩沖區(qū)的形式作一個變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當成環(huán)形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。注意這里提到的兩個緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。 捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說 2k 字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序?qū)⑦@個緩沖單元掛到已使用緩沖隊列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時候從已使用緩沖隊列的頭部取下一個數(shù)據(jù)單元進行消費，消費完成以后直接將這個數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標分發(fā)機制。 169。啟明星辰 第 頁 共 47 頁 15 ? 一體化引擎設(shè)計 同傳統(tǒng)防火墻不同，天清漢馬 USG 防火墻涵蓋了防火墻、 VPN、 入侵檢測、防病毒 等多種安全能力，因此在軟件中也 包含 了 多項的分析處理引擎 。 如何融合 這些 分析處理引擎， 降低 關(guān)鍵業(yè)務(wù)單元 的 性能消耗成為軟件結(jié)構(gòu)設(shè)計首要考慮的問題。 啟明星辰在天清漢馬 USG 防火墻 的軟件結(jié)構(gòu)設(shè)計上引入了一體化的設(shè)計理念。即將入侵檢測、防病毒、防垃圾郵件、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進行一體化設(shè)計，以達到性能最優(yōu)的目的。 普通疊加式 UTM 采用疊加式分析處理引擎 因為模式匹配是分析處理引擎的關(guān)鍵性能消耗單元，因此，分析處理引擎的一體化首先是模式匹配單元的融合。對于不同的功能模塊，模式匹配是基于不同特征庫的，因此模式匹配的融合主要是特征庫的統(tǒng)一。 ? 非法連接過濾 將系統(tǒng)獲 取的網(wǎng)絡(luò)數(shù)據(jù)按標準的以太數(shù)據(jù)結(jié)構(gòu)、 IP 數(shù)據(jù)結(jié)構(gòu)、 TCP/UDP 數(shù)據(jù)結(jié)構(gòu)，并進行 TCP 的會話查找，每條會話相對應(yīng)源和目的 MAC 地址、源和目的 IP 地址、源和目的端口地址、連接次數(shù)等。 將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識庫中，該緩沖區(qū)按照索引標識、源和目的地址進行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進行累計計算。 當某一連接被釋放，主動要求釋放連接的一端發(fā)送 TCP FIN 數(shù)據(jù)包，監(jiān)視整個連接的釋放過程，如釋放正常完成，在知識庫中找到相對應(yīng)的 TCP 會話，將連接發(fā)生的次數(shù)減 1。這樣可以始終保證知識庫 中存放的是發(fā)生頻率最高的連169。啟明星辰 第 頁 共 47 頁 16 接。 該算法會以 1 秒鐘為單位時間，進行流量的統(tǒng)計，如果上 1 秒鐘的流量大于事先約定的閥值，那么立即進入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上 1 秒鐘的流量作為樣本，計算放行的概率。 作為拒絕服務(wù)攻擊的主要手段 SYN Flood 攻擊效果尤為顯著，通常 SYN Flood 的防范方式為應(yīng)用 SYN Cookie 機制。它的原理是 :在 TCP 服務(wù)器收到 TCP SYN 包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個 SYN 包計算出一個 cookie值，并加載在所回 應(yīng)的 SYN/ACK 包中，在收到 TCP ACK 包時， TCP 服務(wù)器在根據(jù)那個 cookie 值檢查這個 TCP ACK 包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進行處理未來的 TCP 連接 。 入侵檢測系統(tǒng) 產(chǎn)品綜述 天闐入侵檢測系統(tǒng) 是啟明星辰自主研發(fā)的 新一代威脅檢測、分析與管理產(chǎn)品 ，該 產(chǎn)品 在總結(jié) 傳統(tǒng)入侵檢測產(chǎn)品 （包括：入侵檢測系統(tǒng)、異常流量監(jiān)測設(shè)備、病毒類檢測設(shè)備等）不足的基礎(chǔ)上，結(jié)合大量用戶（尤其是行業(yè)用戶，如政府、金融、軍隊、能源、教育、媒體等）的實際使用效果和反饋，進行了大規(guī)模的改進和創(chuàng)新，在保證全面威脅檢測的同時， 強調(diào)用戶使用的體驗，實用、易用、在檢測威脅的同時方便用戶對威脅進行有效分析和處理、實現(xiàn)對威脅的閉環(huán)處理、降低 使 用人員的使用難度、降低實用人員的使用成本、提高使用人員的工作效率是本品的特色。 主要功能 ? 全面威脅檢測 天闐入侵檢測系統(tǒng) 對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、 DDoS、掃描探測、欺騙劫持、 SQL 注入、 XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行169。啟明星辰 第 頁 共 47 頁 17 為有非常準確高效的檢測效果，并通過簡單易懂的去技術(shù)化語言幫助用戶分析威脅，對威脅進行有效處理。 ? 智能威脅分析 天闐入侵檢測系統(tǒng) 內(nèi)置的智能分析引擎能夠?qū)?上報的事件進行關(guān)聯(lián)分析，識別出重要報警，提醒用戶關(guān)注，同時，對不重要的報警進行智能過濾，解決了傳統(tǒng)監(jiān)控設(shè)備（如 IDS）大量報警導(dǎo)致對威脅分析和處理 難 的問題。此外，分析報表采用對比分析的方法，讓使用者對近期的安全狀況一目了然，不再需要使用者在海量的日志數(shù)據(jù)中進行人工分析，減輕了使用者的工作量和難度，提 高 使用者的工作效率。 169。啟明星辰 第 頁 共 47 頁 18 ? 簡單威脅管理 天闐入侵檢測系統(tǒng) 強調(diào)使用的簡單，主要是指對威脅管理的簡單。威脅管理涉及到：威脅發(fā)現(xiàn)、威脅展示、威脅分析、威脅處理這四個部分，這四個部分組成了閉環(huán)的威脅管理。 天闐入侵檢測系統(tǒng) 采用全面的檢測技術(shù)保證威脅發(fā)現(xiàn) 的準確 性 ；采用多維度圖 、 表 、數(shù)據(jù) 結(jié)合的方法保證威脅展示的簡單 性 、充分 性； 同時通過智能分析過濾的方法過濾掉無需關(guān)注的事件，保證威脅展示的質(zhì)量；采用去技術(shù)化的向?qū)椭褂谜邔ν{進行分析和處理，此外，自動處理的機制也最大程度地降低了使用者的維護工作量。 漏洞 掃描 系統(tǒng) 產(chǎn)品 綜述 天鏡遵循啟明星辰在總結(jié)多年市場經(jīng)驗和客戶需求基礎(chǔ)上提出的“發(fā)現(xiàn) — 掃描 — 定性 — 修復(fù) — 審核”的安全體系構(gòu)建法則，綜合運用多種國際最新的漏洞掃描與檢測技術(shù)，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準確識別資產(chǎn)屬性、全面掃描安 全漏洞，清晰定性安全風(fēng)險，給出修復(fù)建議和預(yù)防措施，并對風(fēng)險控制策略進行有效審核，從而幫助用戶在弱點全面評估的基礎(chǔ)上實現(xiàn)安全自主掌控。 169。啟明星辰 第 頁 共 47 頁 19 產(chǎn)品系統(tǒng)結(jié)構(gòu) 天鏡基于安全的 Web 方式（ HTTPS： HTTP + SSL）進行管理和控制。天鏡的主要系統(tǒng)結(jié)構(gòu)以及系統(tǒng)各模塊與用戶、硬件平臺的交互關(guān)系如下圖所示： 169。啟明星辰 第 頁 共 47 頁 20 產(chǎn)品主要特點 以啟明星辰積極防御實驗室（ ADLABTM）為依托 ADLABTM 成立于 1999 年，是國內(nèi)規(guī)模最大、成立最早的網(wǎng)絡(luò)安全攻防實169。啟明星辰 第 頁 共 47 頁 21 驗室，也是啟明星辰核心專業(yè)技術(shù)隊伍之一。截止 2020 年 6 月， ADLABTM 共通過國際漏洞公布組織（ CVE）發(fā)布了 86 個安全漏洞，遙遙領(lǐng)先于國內(nèi)其他安全研究機構(gòu)。 ADLABTM 專注于網(wǎng)絡(luò)安全深層攻防技術(shù)和信息安全技術(shù)的研究，其漏洞研究成果積累和前瞻性的漏洞跟蹤能力，為天鏡產(chǎn)品的持續(xù)發(fā)展提供了核心動力，保證了天鏡產(chǎn)品漏洞庫的全面性、準確性、權(quán)威性和更新的及時性，能夠?qū)W(wǎng)絡(luò)安全突發(fā)事件進行應(yīng)急。 對微軟漏洞的持續(xù)跟進和檢查能力 啟明星辰是國內(nèi)唯一的被授權(quán)查看微軟原代碼的漏洞掃描產(chǎn)品廠商；并與微軟建立 MAPP（ Microsoft Active Protections Program）合作伙伴關(guān)系。 保持與國際、國內(nèi)標準的統(tǒng)一 天鏡是國內(nèi)第一個獲得 CVE1兼容性認證（ CVECompatible）的漏洞掃描產(chǎn)品，標志天鏡產(chǎn)品的技術(shù)實力和研發(fā)成果 得到了國際權(quán)威組織的充分認可 。 2020年，天鏡產(chǎn)品又引入 CVSS2標準，使得天鏡產(chǎn)品在漏洞評價上更加客觀并方便交流，與國際標準進一步接軌。 2020 年，天鏡產(chǎn)品兼容中國國家信息安全漏洞庫（ CNNVD），是國內(nèi)第一家支持國家漏洞庫的掃描器產(chǎn)品廠商。 獲得國內(nèi)權(quán)威機構(gòu)認證 天鏡已獲得了公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》（增強型）、中國 信息安全測評中心頒發(fā)的《信息技術(shù)產(chǎn)品安全測評證書》（ EAL3）、中國信息安全認證中心頒發(fā)的《中國國家信息安全產(chǎn)品認證證書》、國家保密局涉密信息系統(tǒng)安全保密測評中心頒發(fā)的《涉密信息系統(tǒng)產(chǎn)品檢測證書》以及中國人民解放軍信息安全測評認證中心頒發(fā)的《軍用信息安全產(chǎn)品認證證書》，標志著天鏡產(chǎn)品已獲得國內(nèi)各權(quán)威機構(gòu)的認可，各行業(yè)的用戶均可放心選用。 經(jīng)過多年市場驗證的成熟產(chǎn)品 “天鏡”漏洞掃描類產(chǎn)品自 2020 年推出以來，已經(jīng)在政府、金融、電信、軍隊、教育、企業(yè)、能源等各個行業(yè)得到了成功應(yīng)用，獲得了最廣泛的用戶認可。得益 于天鏡廣泛的用戶群，天鏡產(chǎn)品在不斷接受用戶反饋和需求研究的基礎(chǔ)上， 1 Common Vulnerabilities and Exposures，國際漏洞公布組織，網(wǎng)站： 2 Common Vulnerability Scoring System，是由 FIRST 維護的一個開放、免費的標準，它提供了一個統(tǒng)一的、開放式、標準化的 IT 安全漏洞評分方法，方便關(guān)注漏洞特性和評價的個人和組織進行有效溝通，網(wǎng)站： 169。啟明星辰 第 頁 共 47 頁 22 得到了長足的發(fā)展，這種積累也使得天鏡在同類產(chǎn)品中一直處于市場和技術(shù)的領(lǐng)先位置。 169。啟明星辰 第 頁 共 47 頁 23 主要 功能 資產(chǎn)發(fā)現(xiàn)與管理 天鏡能夠通過綜合運用多種手段（主機存活探測，智能端口檢測，操作系統(tǒng)指紋識別等）全面、快速、準確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機，準確識別其屬性，包括主機名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進一步脆弱性掃描做好準備。 同時，天鏡的資產(chǎn)管理功能能夠為用戶管理被掃