【正文】 絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往 Inter，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機上的代理服務(wù)才能訪問 Inter。n 由于 DMZ網(wǎng)絡(luò)是一個與內(nèi)部網(wǎng)絡(luò)不同的網(wǎng)絡(luò)， NAT（網(wǎng)絡(luò)地址變換）可以安裝在堡壘主機上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。 堡壘主機（ Bastion Host）n 在防火墻體系中，堡壘主機位于內(nèi)部網(wǎng)絡(luò)的最外層，是網(wǎng)絡(luò)上最容易受到非法入侵的設(shè)備n 因此必須要致力于堡壘主機的安全，而且在運行期間對堡壘主機的安全給予特別的注意。n 構(gòu)建堡壘主機的要點如下：n 選擇合適的操作系統(tǒng)，關(guān)閉不需要的服務(wù)和功能；n 確定堡壘主機的安裝位置，最好處于一個獨立的網(wǎng)絡(luò)中，如 DMZ；n 確定堡壘主機提供的服務(wù)；n 保護堡壘主機產(chǎn)生的系統(tǒng)日志；n 監(jiān)測和備份堡壘主機的數(shù)據(jù)。四、防火墻的發(fā)展趨勢n 目前防火墻在安全性、效率和功能方面的矛盾還是比較突出，未來要求是高安全性和高效率，使用專門的芯片負責(zé)訪問控制功能、設(shè)計新的防火墻技術(shù)架構(gòu)；n 數(shù)據(jù)加密技術(shù)的使用，使合法訪問更安全；n 混合使用包過濾技術(shù)、代理服務(wù)器技術(shù)和其他一些新技術(shù)；n 分布式防火墻；n 對數(shù)據(jù)包的全方位的檢查。五、網(wǎng)絡(luò)安全的新技術(shù) — UTMn 隨著網(wǎng)絡(luò)的日益發(fā)展和繁多的應(yīng)用軟件的不斷更新，使得 “復(fù)雜性 ”已成為企業(yè) IT管理部門工作的代名詞。n 如今流行的傳統(tǒng)安全產(chǎn)品是 狀態(tài)檢測防火墻、入侵檢測系統(tǒng)和基于主機的防病毒軟件 ，但它們面對新一代安全威脅時卻有些力不從心：n 從用戶角度來說，雖然安裝了防火墻，但是還避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵擾。n 從入侵檢測單個產(chǎn)品來看，在提前預(yù)警方面存在著先天的不足，且精確定位和全局管理方面還有很大的空間。 n 雖然很多用戶在單機、終端都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補丁管理以及合規(guī)管理等方面。典型的網(wǎng)絡(luò)安全部署示意圖UTM定義n UTM： Unified Threat Management（統(tǒng)一威脅管理）n IDC對 UTM安全設(shè)備的定義是：由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能。n UTM 將多種安全特性集成于一個硬設(shè)備里，構(gòu)成一個標準的統(tǒng)一管理平臺n 這和單純地在防火墻中整合其它安全功能不同，因為UTM更注重的是 “對設(shè)備和對威脅的管理 ”，它致力于將各種各樣的網(wǎng)絡(luò)安全威脅消彌于無形之中，以達到防患于未然的終極目標。UTM的功能n UTM設(shè)備應(yīng)該具備的基本功能包括： 網(wǎng)絡(luò)防火墻 、 網(wǎng)絡(luò)入侵檢測 和 網(wǎng)關(guān)防病毒n 這幾項功能并不一定要同時都得到使用，但它們應(yīng)該是 UTM設(shè)備自身固有的功能。n UTM安全設(shè)備也可能包括其它功能特性n 例如安全管理、日志、策略管理、服務(wù)質(zhì)量（QoS）、負載均衡（ LB）、高可用性（ HA）和報告帶寬管理等。UTM的功能（續(xù)）UTM的典型技術(shù)n 完全性內(nèi)容保護（ CCP）n 完全性內(nèi)容保護 (Complete Content Protection, 簡稱CCP)提供對 OSI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的實時保護。n 這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查）等技術(shù)先進，它具備在千兆網(wǎng)絡(luò)環(huán)境中，實時將網(wǎng)絡(luò)層數(shù)據(jù)負載重組為應(yīng)用層對象的能力，而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析。n CCP還可探測其它各種威脅，包括不良 Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙。UTM的典型技術(shù)（續(xù)）n ASIC 加速技術(shù)n ASIC芯片是 UTM產(chǎn)品的一個關(guān)鍵組成部分。它是為提供千兆級實時的應(yīng)用層安全服務(wù)的平臺，它是專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計的體系結(jié)構(gòu)所必不可少的。n ASIC芯片集成了硬件掃描引擎、硬件加密和實時內(nèi)容分析處理能力，提供防火墻、加密 /解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。UTM的典型技術(shù)（續(xù)）n 定制的操作系統(tǒng)（ OS）n 專用的強化安全的 OS提供精簡的、高性能防火墻和內(nèi)容安全檢測平臺。n 基于內(nèi)容處理加速模塊的硬件加速，加上智能排隊和管道管理， OS使各種類型流量的處理時間達到最小，從而給用戶提供最好的實時系統(tǒng)，有效實現(xiàn)防病毒、防火墻、 VPN、反垃圾郵件、 IDP等功能。UTM的典型技術(shù)（續(xù)）n 緊密型模式識別語言 (CPRL)n 緊密型模式識別語言（ Compact Patten Recognition Language, 簡稱 CPRL）是針對完全的內(nèi)容防護中大量計算程式所需求的加速而設(shè)計的。n 狀態(tài)檢測防火墻、防病毒檢測和入侵檢測的功能要求，引發(fā)了新的安全算法包括基于行為的啟發(fā)式算法。 通過硬件與軟件的結(jié)合，加上智能型檢測方法，識別的效率得以提高。 UTM的典型技術(shù)（續(xù)）n 動態(tài)威脅管理檢測技術(shù)n 態(tài)威脅防御系統(tǒng)（ Dynamic Threat Prevention System, 簡稱 DTPS）是由針對已知和未知威脅而增強檢測能力的技術(shù)。n DTPS將防病毒、 IDS、 IPS和防火墻等各種安全模塊無縫集成在一起，將其中的攻擊信息相互關(guān)聯(lián)和共享，以識別可疑的惡意流量特征。 DTPS通過將各種檢測過程關(guān)聯(lián)在一起，跟蹤每一安全環(huán)節(jié)的檢測活動，并通過啟發(fā)式掃描和異常檢測引擎檢查，提高整個系統(tǒng)的檢測精確度。UTM的主要優(yōu)勢n 能夠防御混合型攻擊n 降低了復(fù)雜性n 避免了軟件安裝工作和服務(wù)器的增加n 減少了維護量n 應(yīng)用的靈活性n 集中的安全日志管理n 整合帶來成本降低UTM主要存在的問題n 性能： 由于 UTM自身的檢測是多方面的，而且這些檢測結(jié)果還要用于阻斷 /通行的判斷，因此，目前 UTM設(shè)備的 HA能力普遍要弱于防火墻和路由器。n 穩(wěn)定性： 在目前條件固定的情況下， UTM安全設(shè)備的穩(wěn)定性相對于單功能的安全設(shè)備仍然要低一些，也就是說UTM安全設(shè)備的穩(wěn)定性要求更難達成。n 安全性： UTM將所有的安全功能置于一臺設(shè)備之內(nèi)，使得 UTM可能會成為網(wǎng)絡(luò)中的單點故障；而一旦 UTM被成功侵入或突破，整個網(wǎng)絡(luò)也將被完全暴露在打擊之下。n 功能： UTM中的單個安全功能也許不是同類中最好的。小結(jié)n 防火墻概述n 防火墻的主要技術(shù)n 防火墻的體系結(jié)構(gòu)n 網(wǎng)絡(luò)安全的新技術(shù)： UTMn 主要參考書n 《 網(wǎng)絡(luò)安全 》 （第 2版），胡道元，閔京華編著n 《 密碼編碼學(xué)與網(wǎng)絡(luò)安全 原理與實踐 》 （第四版），William Stallings 著n 《 防火墻與因特網(wǎng)安全 》 ， William ，戴宗坤 等譯 作業(yè)謝謝觀看 /歡迎下載BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH