【正文】 性能也是單一廠家解決方案的收獲之一，因?yàn)樵陂_發(fā)代碼的時(shí)候研發(fā)人員就了解采用什么樣的硬件 以及如何最大地發(fā)揮其作用。 UTM就是 這種 能夠 有效地 幫助我們 解決問題的工具。 ? 內(nèi)容檢測(cè)的 革命 如果 在網(wǎng)絡(luò)安全的領(lǐng)域有什么東西不變的話，那就是對(duì)網(wǎng)絡(luò)資源的攻擊是永遠(yuǎn)不斷地升級(jí)的。另外，單一廠家的解決方案更能夠充分地發(fā)揮專用的硬件加速系統(tǒng)的作用。 單一 廠家的解決方案能夠 對(duì)整個(gè)系統(tǒng)的執(zhí)行過程了如指掌，從而避免了大量重復(fù) 性的工作。即使有部分可以經(jīng)過硬件優(yōu)化，也不意味第三方代碼提供商愿意為此進(jìn)行修改，以滿足 UTM廠商的需求。這需要對(duì)源代碼進(jìn)行修改，而這恰恰對(duì)于由多個(gè)廠家提供的 UTM 解決方案來說是不現(xiàn)實(shí)的。這個(gè)性能對(duì)于日益增長(zhǎng)的局域網(wǎng)和廣域網(wǎng)帶寬來說是非常必要的。 當(dāng)流量旁路系統(tǒng)的其他部分，而直接由網(wǎng)絡(luò)處理器轉(zhuǎn)發(fā)時(shí)，網(wǎng)絡(luò)處理器首先從 CPU 下載會(huì)話處理的指令，然后就在本地處理數(shù)據(jù)包，只給CPU 提交必要的狀態(tài)信息，通過狀態(tài)信息的通信替代所有數(shù)據(jù)包的通信， CPU 的負(fù)載減輕了，性能得到顯著的改善。它可以迅速地重組數(shù)據(jù)包 ，而這個(gè)過程是入侵檢測(cè)技術(shù)所必需的。它處理很多基本維護(hù)工作，比如會(huì)話表的維護(hù)、常見的 TCP 包處理、加密 /解密和網(wǎng)絡(luò)地址翻譯（ NAT）相關(guān)的任務(wù)。 采用內(nèi)容處理器的高級(jí) UTM架構(gòu) ? 網(wǎng)絡(luò)處理器 網(wǎng)絡(luò)處理器是對(duì)網(wǎng)絡(luò)流量進(jìn)行高速處理的硬件設(shè)備。 VPN 的建立和密鑰維護(hù)都是非常消耗系 統(tǒng)資源的，因此，它們是最適用用于硬件加速的。但是實(shí)際上，固化的部分是掃描邏輯結(jié)構(gòu)，而非特征值，對(duì)新的安全威脅可以通過升級(jí)特征庫(kù)來解決，這樣升級(jí)攻擊特征就變得非常容易，攻擊特征可以像軟件一樣進(jìn)行升級(jí)。 內(nèi)容處理器能夠加速防病毒和 IPS，因?yàn)檫@兩種安全功能都需要將數(shù)據(jù)內(nèi)容與庫(kù)文件進(jìn)行比對(duì)。內(nèi)容處理器專門進(jìn)行協(xié)議識(shí)別和解析，可以快速重組數(shù)據(jù)包，掃描發(fā)現(xiàn)可疑的內(nèi)容。 ? 內(nèi)容處理器 內(nèi)容處理器是經(jīng)過定制的處理器，可以用來實(shí)現(xiàn)將已知的威脅特征庫(kù)（如病毒庫(kù)、 IPS 庫(kù)等）與內(nèi)存中待檢測(cè)對(duì)象進(jìn)行匹配。這兩種處理器與通用處理器（ CPU）配合使用來處理復(fù)雜的業(yè)務(wù)。通過智能集成，每一部分都對(duì)提高 UTM設(shè)備的性 能和功能有貢獻(xiàn)。而系統(tǒng)全部自行開發(fā)的廠家就不會(huì)受到這種束縛，充分地發(fā)揮硬件平臺(tái)的加速功能，從而將 UTM產(chǎn)品推向大型網(wǎng)絡(luò)或提供更為全面的解決方案。 隨著 UTM的概念擴(kuò)展到 VPN、 Web 過濾、反垃圾郵件等功能，性能問題將更為嚴(yán)重。與路由器和防火墻相同， ASIC 技術(shù)能夠通過并行處理有效地提高吞吐量。優(yōu)化方式之一就是減少數(shù)據(jù)流處理的冗余步驟，使之不必反復(fù)重新重組和分片。而采用單一供應(yīng)商整體式設(shè)計(jì)思路的公司來講，其所付出的辛勤汗水得到了報(bào)酬。 UTM的不同實(shí)現(xiàn)方法 當(dāng) UTM設(shè)備初次亮相時(shí)，性能的噩夢(mèng)就困擾著它。 UTM的核心功能 ——防火墻、防病毒、入侵檢測(cè)，由于其開發(fā)商的勤奮努力，已經(jīng)成熟，開辟出了 UTM的新天地。 第二 種設(shè)計(jì)理念是設(shè)計(jì)一個(gè)單一整體式的體系結(jié)構(gòu)，它由一個(gè)基礎(chǔ)向上開發(fā)，逐漸地融合不同的安全技術(shù)。該 UTM廠家宣稱自己的產(chǎn)品采用的是各個(gè)不同技術(shù)領(lǐng)域中最好的軟件，即所謂 ―Best of Breed‖。如圖所示，采用不同廠商提供的軟件產(chǎn)品，然后把它們?nèi)诤显谝粋€(gè)平臺(tái)上。毋庸置疑的是， UTM 也將延續(xù)這個(gè)進(jìn)程。防火墻在最初的時(shí)候，也是由軟件構(gòu)成的，然后硬件化，再增加其他的網(wǎng)絡(luò)安全技術(shù)，比如 VPN。 防火墻的發(fā)展模式也與路由器相同，只是發(fā)展的層次增加了。如圖所示，在今天，大多數(shù)的路由器已經(jīng)是專用的硬件設(shè)備，采用的是定制化的處理器和專用芯片 (ASIC)。 網(wǎng)絡(luò)技術(shù)的進(jìn)化 為了探索 UTM 技術(shù)和專用硬件技術(shù)的演進(jìn)，有必要對(duì)比一下其他網(wǎng)絡(luò)技術(shù)的發(fā)展，可以發(fā)現(xiàn)重要的一點(diǎn)，專門的硬件最終滿足了客戶的需求。然而，這個(gè)困撓 UTM的問題現(xiàn)在可以解決了。 29 2. 硬件加 速技術(shù)白皮書 介紹 很多 IT 專業(yè)人士都已經(jīng)意識(shí)到了 UTM 所面臨的最大問題 ——多種安全服務(wù)會(huì)影響到系統(tǒng)性能?？蛻艨梢酝ㄟ^安全報(bào)告來關(guān)聯(lián)安全行為，更容易的阻擋惡意活動(dòng)，并提供安全事件的詳細(xì)日志。 為了提供綜合日志和報(bào)表系統(tǒng)以向客戶報(bào)告安全事務(wù)， Forti 公司向客戶提供可選的 FortiAnalyzer產(chǎn)品。 為了確保所有 Forti 安全平臺(tái)能使用最新的防病毒和攻擊特征、啟發(fā)式掃描和異常檢測(cè)引擎進(jìn)行更新，客戶可以將他們的 Forti 安全設(shè)備設(shè)置從 Forti 公司的 FortiGuard 網(wǎng)絡(luò)自動(dòng)更新升級(jí)。 Forti 安全平臺(tái)創(chuàng)造了完善的統(tǒng)一方法，以幫助客戶確保其處于任何位置上的 關(guān)鍵網(wǎng)絡(luò)的安全。如今， Forti 被國(guó)際研究機(jī)構(gòu) IDC 證實(shí)為統(tǒng)一威脅管理（ UTM）安全產(chǎn)品市場(chǎng)的領(lǐng)導(dǎo)者。通過檢查每一個(gè)異常檢測(cè)引擎的輸出結(jié)果，并與已知和學(xué)到的會(huì)話活動(dòng)相比較，誤報(bào)率便會(huì)大大降低。隨著流量信息的積累，系統(tǒng)開發(fā)出正常流量模板知識(shí)，當(dāng)有不良和異常流量流經(jīng) Forti 安全平臺(tái)，它們會(huì)很快被識(shí)別并阻擋。 行為檢測(cè)模塊將異常檢測(cè)帶到一個(gè)新的水平。 內(nèi)容檢測(cè)模塊分析應(yīng)用負(fù)載，尋找已知和未知的惡意內(nèi)容。協(xié)議頭數(shù)值的有效性被驗(yàn)證，溢出被阻止。所有的協(xié)議頭都需要對(duì)語法和語義的合法性及進(jìn)行檢驗(yàn)，帶有不良協(xié)議信息的包將被識(shí)別出來并阻擋。這樣就可以去掉那些重疊的分段、重復(fù)的分段、大小無效的包、偏移量無效的包 ——過濾許多基于碎片、不合法偏移量、 fragroute 逃避等的攻擊。它保存積累的狀態(tài)和會(huì)話信息，以確保每一個(gè)會(huì)話后續(xù)的包能被正確的發(fā)送和接收。這些攻擊包括： ○基于網(wǎng)絡(luò)的蠕蟲和木馬 ○野蠻攻擊 ○碎片 ○不良數(shù)據(jù)包 ○Crosssite 腳本 ○Directory Traversal ○拒絕服務(wù) ○信息查詢 ○會(huì)話劫持 ○欺騙 ○緩沖區(qū)溢出 ○無端注入 及其他。 先進(jìn)的入侵檢測(cè) /防御技術(shù) ： ? 狀態(tài)檢測(cè) ? 內(nèi)容重組 ? 通信協(xié)議檢測(cè) ? 應(yīng)用協(xié)議檢測(cè) ? 內(nèi)容檢測(cè) 27 Forti 的異常檢測(cè)技術(shù)是通過分析整個(gè)數(shù)據(jù)包進(jìn)行的，它遠(yuǎn)比基于特征的 IDS 更強(qiáng)，包括包 頭、協(xié)議信息、應(yīng)用信息、包內(nèi)容和會(huì)話行為等。在每次測(cè)試完成后，引擎會(huì)檢查評(píng)估得出的威脅級(jí)別結(jié)果，如果得出的結(jié)果級(jí)別比相應(yīng)文件類型所允許的級(jí)別高，該文件流就會(huì)被貼上可疑的標(biāo)簽，并得到相應(yīng)的處理。這一模塊對(duì)包頭和可移植可執(zhí)行文件的引 入段進(jìn)一步掃描。對(duì)于那些很難檢測(cè)出來的病毒變種，特征檢查模塊還會(huì)加上額外的掃描程序。 特征檢查模塊用于掃描已知的威脅。例如，壓縮文件被解壓和檢查； Microsoft Word文檔會(huì)通過 MS Word 檢測(cè)引擎；可執(zhí)行文件會(huì)通過二進(jìn)制檢查引擎。如果找到匹配，會(huì)話就會(huì)被阻斷，并發(fā)出一個(gè)通知。 蠕蟲檢查模塊對(duì)文件流進(jìn)行多項(xiàng)檢查。 Forti 的文件分析模塊用 于識(shí)別與 HTTP、 FTP、 POP SMTP、 IMAP 數(shù)據(jù)流有關(guān)的文件類型。 先進(jìn)的防病毒掃描技術(shù) ： ? 文件分析 ? 蠕蟲檢測(cè) ? 文件類型分析 ? 特征檢查 26 ? 啟發(fā)式檢查 Forti 的防病毒掃描引擎結(jié)合了多種技術(shù)來檢測(cè)已知的和尚未開發(fā)出特征碼的新病毒。啟發(fā)式掃描技術(shù)用來增強(qiáng)防病毒、反垃圾郵件和其它相關(guān)的掃描活動(dòng)。而由多個(gè)不同廠商的安全部件（防病毒、 IDS、 IPS、防火墻）組合起來的安全方案缺乏協(xié)調(diào)檢測(cè)工作的能力，當(dāng)與Forti 的 DTPS 技術(shù)相比較時(shí)便體現(xiàn)出它們的弱點(diǎn)。 如果不能找到 特征的匹配，系統(tǒng)就會(huì)啟動(dòng)啟 發(fā)式掃描和異常檢測(cè)引擎，會(huì)話流量會(huì)得到進(jìn)一步的仔細(xì)檢查，以發(fā)現(xiàn)異常。 FortiGuard 網(wǎng)絡(luò)提供 實(shí)時(shí)更新，以保持 FortiGate 的防病毒、 IDS/IPS 特征以 及安全引擎為最新版本。特征模式 結(jié)合Forti 硬件加速的 CPRL 和 FortiASIC 是識(shí)別已 知攻擊最快的方法。通過跟蹤每 一安全組件的檢測(cè)活動(dòng)， DTPS 還能降 低誤報(bào)率，以提高 整個(gè)系統(tǒng)的檢測(cè)精確度。與許多其它安全公司將不同廠商的防病毒、 IDS、 IPS 和防火墻技 術(shù)組合在一起不同， Forti 能將各種安全模塊無縫集成在 一起，從而形成動(dòng)態(tài)威脅防御系統(tǒng)。 ? 動(dòng)態(tài)威脅防御系統(tǒng) Forti 的動(dòng)態(tài)威脅防御系統(tǒng) （ DTPS）是由 Forti 獨(dú)創(chuàng)的針對(duì)已知和未知威脅提升檢測(cè)能力的技術(shù)。正如圖形加速卡能加速?gòu)?fù)雜圖形的顯示一樣， FortiASIC 和 CPRL能對(duì)病毒和攻擊檢測(cè)進(jìn)行特征和模板匹配進(jìn)行加速。 Forti 擁有專利的緊湊模式識(shí)別語言（ Compact Pattern Recognition Language， 簡(jiǎn)稱 CPRL）與 FortiASIC 一起使用，提供比基于PC 工控機(jī)的安全設(shè)備高出數(shù)倍的性能。 只有通過重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。 Forti 先進(jìn)的完全內(nèi)容檢測(cè)（ CCI）技術(shù)能夠掃描和檢測(cè)整個(gè) OSI 堆棧模型中最新的安全威脅。 ? ASIC 加速的完全內(nèi)容檢測(cè) 依靠基于包檢測(cè)的安全解決方案對(duì)于使用分段技術(shù)的新型安全威脅是無能為力的。 ? 加固的操作系統(tǒng)，不含第三方組件，保證了物理上的安全。 ? 動(dòng)態(tài)威脅防御提供先進(jìn)的威脅關(guān)聯(lián)技術(shù)。 ? IM/P2P 軟件控制，帶寬管理防止帶寬濫用。 ? 反垃圾郵件具備多種用戶自定義的阻擋機(jī)制，包括黑白名單和實(shí)時(shí)黑名單（ RBL）等。（包括間諜軟件） ? IPS 預(yù)置 3000 個(gè)以上的攻擊特征，并提供用戶定制特征的機(jī)制。 Forti 公司的 FortiGate 提供以下功能和好處： ? 集成關(guān)鍵安全組件的狀態(tài)檢測(cè)防火墻。聯(lián)絡(luò)會(huì)的時(shí)間和地點(diǎn)待定，供貨方可在工程計(jì)劃中提出建議。 (12) 工程聯(lián)絡(luò)會(huì)。 應(yīng)答：如果因?yàn)?自身設(shè)備的軟件有缺陷而要求東方有線升級(jí)所造成的硬件投資浪費(fèi)或新增硬件投資， Forti 公司全部負(fù)責(zé)。 (9)供貨方應(yīng)在建議書中詳細(xì)說明技術(shù)指導(dǎo)和技術(shù)支持的范圍和程度。 應(yīng)答：在保修期滿后， Forti 公司將繼續(xù)提供技術(shù)支持服務(wù)，售后服務(wù)流程，技術(shù)服務(wù)內(nèi)容請(qǐng)參見 附件《 Forti 技術(shù)支持服務(wù)參考手冊(cè) .pdf》 。 應(yīng)答：在保修期滿后， Forti 公司將繼續(xù)提供技術(shù)支持服務(wù)，售后服務(wù)流程，技術(shù)服務(wù)內(nèi)容請(qǐng)參見 附件《 Forti 技術(shù)支持服務(wù)參考手冊(cè) .pdf》 。 應(yīng)答： 在免費(fèi)保修期內(nèi)對(duì)東方有線合理的功能需求進(jìn)行完整開發(fā)但不另行收取任何費(fèi)用。 應(yīng)答： Forti 公司承諾 故障的響應(yīng)時(shí)間應(yīng)小于 5 分鐘，在 2 小時(shí)內(nèi)趕至故障現(xiàn)場(chǎng)進(jìn)行處置 (在市區(qū)范圍的接入點(diǎn)應(yīng)在 1 小時(shí)內(nèi)，在郊區(qū)范圍的接入點(diǎn)應(yīng)在 2 小時(shí)內(nèi) )；對(duì)于故障在 4 小時(shí)內(nèi)排除或使用替代方案恢復(fù)業(yè)務(wù)正常運(yùn)行 。 22 應(yīng)答：關(guān)于 售 后服務(wù)的流程、內(nèi)容、故障硬件的返修方案請(qǐng)參考附件《 Forti技術(shù)支持服務(wù)參考手冊(cè) .pdf》。 應(yīng)答：此次投標(biāo)方 提供系統(tǒng)軟、硬件 3 年的免費(fèi)保修維護(hù)期，提供在保修期內(nèi)的免費(fèi)軟件升級(jí)和 7 24 小時(shí)技術(shù)維護(hù)服務(wù)。 (3)保修維護(hù)期從東方有線對(duì)中標(biāo)系統(tǒng)及設(shè)備的項(xiàng)目終驗(yàn)通過之日起計(jì)算。由于軟件升級(jí)而引起的 相應(yīng)的硬件更換，由供貨方負(fù)責(zé)免費(fèi)更換。在業(yè)務(wù)正式運(yùn)行后，將在用戶現(xiàn)場(chǎng)設(shè)置專人專崗做技術(shù)支持服務(wù)。在業(yè)務(wù)正式運(yùn)行后，要求供貨方在用戶現(xiàn)場(chǎng)設(shè)置專人專崗做技術(shù)支持服務(wù)。 課程計(jì)劃 課程內(nèi)容描述 1. 系統(tǒng)配置 NAT/TP 模式 網(wǎng)絡(luò)連接 靜態(tài)路由 系統(tǒng)管理 GUI 配置 FortiGuard 更新 19 配置管理員接入 管