【正文】 量進(jìn)行分析，可以查詢實(shí)時(shí)流量和歷史流量，這不僅可以幫助管理者更好地評(píng)估網(wǎng)絡(luò)狀況，還能夠通過異常流量分析，發(fā)現(xiàn)潛伏的網(wǎng)絡(luò)威脅。能否供給在線升級(jí)，以及在線升級(jí)的頻度，是考慮廠家實(shí)力和技巧水平的重要指標(biāo)。（3）病毒庫(kù)和入侵防御特征庫(kù)的在線升級(jí)：跟防火墻不同，UTM的病毒庫(kù)、入侵特征庫(kù)、反垃圾郵件庫(kù)必須及時(shí)進(jìn)行更新，這樣才能具有最新的安全防護(hù)能力，因此需要對(duì)UTM定期進(jìn)行升級(jí)。（2）集中管理能力：UTM應(yīng)該具有基于組的集群管理功能，當(dāng)在一個(gè)網(wǎng)絡(luò)中部署多臺(tái)UTM設(shè)備時(shí)，可以通過集中管理中心來對(duì)設(shè)備組進(jìn)行配置，這樣經(jīng)過一次配置，組內(nèi)所有的UTM設(shè)備可以整體生效。（1）易用性：由于UTM包含了眾多的安全特性，因此能否方便快捷地部署，成為了用戶的首要訴求。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級(jí)別。 天清漢馬 UTM設(shè)備圖從定義上來講，UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(cè)/防御和網(wǎng)關(guān)防病毒功能。本設(shè)備主要適用于中小型企業(yè)、中小辦公機(jī)構(gòu)及多分支機(jī)構(gòu)，另外對(duì)于大型企業(yè)、電信企業(yè)骨干網(wǎng)等可以作為防火墻等網(wǎng)絡(luò)安全設(shè)備的有效補(bǔ)充。統(tǒng)一威脅管理設(shè)備UTM統(tǒng)一威脅管理(Unified Threat Management)， 2004年9月，IDC首度提出“統(tǒng)一威脅管理”的概念，即將防病毒、入侵檢測(cè)和防火墻安全設(shè)備劃歸統(tǒng)一威脅管理(Unified Threat Management，簡(jiǎn)稱UTM)新類別。　　入侵檢測(cè)系統(tǒng)IDS的核心價(jià)值在于通過對(duì)全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整，而入侵防御系統(tǒng)IPS的核心價(jià)值在于對(duì)數(shù)據(jù)的深度分析及安全策略的實(shí)施—對(duì)黑客行為的阻擊；入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對(duì)內(nèi)部攻擊行為無能為力?！　《鵀榱藢?shí)現(xiàn)對(duì)外部攻擊的防御，入侵防御系統(tǒng)需要部署在網(wǎng)絡(luò)的邊界?！　漠a(chǎn)品應(yīng)用角度來講：為了達(dá)到可以全面檢測(cè)網(wǎng)絡(luò)安全狀況的目的，入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部的中心點(diǎn)，需要能夠觀察到所有網(wǎng)絡(luò)數(shù)據(jù)。入侵防御系統(tǒng)關(guān)注的是對(duì)入侵行為的控制?！　∧壳盁o論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測(cè)系統(tǒng)的可能。一般來說，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。而IDS只是存在于你的網(wǎng)絡(luò)之外起到報(bào)警的作用，而不是在你的網(wǎng)絡(luò)前面起到防御的作用。 IDS旁路部署方式 IDS和IPS的區(qū)別和選擇IPS對(duì)于初始者來說，是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。下圖為華三SecPATH IPS設(shè)備部署方式，（1）IPS在線部署方式部署于網(wǎng)絡(luò)的關(guān)鍵路徑上，對(duì)流經(jīng)的數(shù)據(jù)流進(jìn)行27層深度分析，實(shí)時(shí)防御外部和內(nèi)部攻擊。進(jìn)行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。在這種情況下，IPS技術(shù)應(yīng)運(yùn)而生，IPS技術(shù)可以深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)惡意報(bào)文進(jìn)行丟棄以阻斷攻擊，對(duì)濫用報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。（5）對(duì)Library、Registry、重要文件和重要的文件夾進(jìn)行防守和保護(hù)。用戶程序通過系統(tǒng)指令享用資源 (如存儲(chǔ)區(qū)、輸入輸出設(shè)備、中央處理器等)。（3）有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對(duì)通過網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)路內(nèi)部的有害代碼實(shí)行有效阻止。正如入侵偵查系統(tǒng), 入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對(duì)照識(shí)別異常。NIPS工作在網(wǎng)絡(luò)上，直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)無關(guān)。（3）應(yīng)用入侵防御(AIP)：IPS產(chǎn)品有一個(gè)特例，即應(yīng)用入侵防御（Application Intrusion Prevention，AIP），它把基于主機(jī)的入侵防御擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為，整體提升主機(jī)的安全水平。（1）基于主機(jī)的入侵防御(HIPS)：HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。（2）延遲：現(xiàn)在網(wǎng)絡(luò)的應(yīng)用種類非常復(fù)雜，許多應(yīng)用對(duì)延遲非常敏感(例如音頻、視頻等)而網(wǎng)絡(luò)中加入NIPS必然會(huì)增加傳輸延遲，所以較低的延遲對(duì)NIPS來說也是不可或缺的。 某產(chǎn)品信息（2）國(guó)外廠家：思科、Juniper Cisco FirePOWER 8000 系列設(shè)備Cisco入侵防御系統(tǒng)產(chǎn)品手冊(cè)： （1）吞吐量：作為用戶選擇和衡量NIPS性能最重要的指標(biāo)之一，吞吐量是指NIPS在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率。一款優(yōu)秀的網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)該具備以下特征：（1）滿足高性能的要求，提供強(qiáng)大的分析和處理能力，保證正常網(wǎng)絡(luò)通信的質(zhì)量；（2）提供針對(duì)各類攻擊的實(shí)時(shí)檢測(cè)和防御功能，同時(shí)具備豐富的訪問控制能力，在任何未授權(quán)活動(dòng)開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給企業(yè)帶來的損失；（3）準(zhǔn)確識(shí)別各種網(wǎng)絡(luò)流量，降低漏報(bào)和誤報(bào)率，避免影響正常的業(yè)務(wù)通訊；（4）全面、精細(xì)的流量控制功能，確保企業(yè)關(guān)鍵業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)；（5）具備豐富的高可用性，提供BYPASS（硬件、軟件）和HA等可靠性保障措施；（6）可擴(kuò)展的多鏈路IPS防護(hù)能力，避免不必要的重復(fù)安全投資；（7）提供靈活的部署方式，支持在線模式和旁路模式的部署，第一時(shí)間把攻擊阻斷在企業(yè)網(wǎng)絡(luò)之外，同時(shí)也支持旁路模式部署，用于攻擊檢測(cè)，適合不同客戶需要；（8）支持分級(jí)部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求。入侵防御系統(tǒng)(Intrusionprevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。下圖為IDS入侵檢測(cè)系統(tǒng)報(bào)警過程， 網(wǎng)絡(luò)端口（光、電口），控制端口基本功能：（1）監(jiān)督并分析用戶和系統(tǒng)的活動(dòng)（2）檢查系統(tǒng)配置和漏洞（3）檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識(shí)別代表已知攻擊的活動(dòng)模式（5）對(duì)反常行為模式的統(tǒng)計(jì)分析（6）對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動(dòng)。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報(bào)警。 事件產(chǎn)生器的功能是從整個(gè)計(jì)算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。（3）混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)都有不足之處，會(huì)造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測(cè)系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。（2）基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。每個(gè)設(shè)備檢測(cè)器都能提供多檔性能，滿足從45Mbps到千兆位的帶寬要求。（1）國(guó)內(nèi)廠家：華為、啟明星辰、網(wǎng)御星云、天融信下圖為華為某IDS設(shè)備圖 華為NIP 2100D其具體參數(shù)如下： 2100D信息 啟明星辰NS100信息（2）國(guó)外廠家：Cisco、Juniper、CheckpointCisco 入侵檢測(cè)系統(tǒng)4200系列設(shè)備檢測(cè)器，Cisco IDS 4200系列設(shè)備檢測(cè)器包括三型產(chǎn)品：Cisco IDS 42Cisco IDS 4235和Cisco IDS 4（5）檢測(cè)率：指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能夠正確報(bào)警的概率。（2）效率：從檢測(cè)機(jī)制處理數(shù)據(jù)的速度以及經(jīng)濟(jì)角度來考慮，側(cè)重檢測(cè)機(jī)制性能價(jià)格比的改進(jìn)。它不僅要求處理速度快，而且要求傳播、反應(yīng)檢測(cè)結(jié)果信息的時(shí)間盡可能少。（4）容錯(cuò)性（Fault（相對(duì)困難）入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。 ● DMZ（Demilitarized Zone，非武裝軍事區(qū)）入侵檢測(cè)IDS入侵檢測(cè)系統(tǒng)(IDS)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。 ● Trust（內(nèi)部） ● 網(wǎng)絡(luò)的出口和入口處 防火墻拓?fù)湮恢茫?）與用戶網(wǎng)絡(luò)結(jié)合：包括管理的難易度、自身的安全性、完善的售后服務(wù)、完整的安全檢查、結(jié)合用戶情況等。（2）企業(yè)的特殊要求：企業(yè)安全政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一。 正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。 如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。網(wǎng)絡(luò)端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口（1）防火墻的基本功能：防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。如果能夠提供更多數(shù)量的端口，則還可以借助虛擬防火墻實(shí)現(xiàn)多路網(wǎng)絡(luò)連接。NP則介于兩者之間，性能可滿足千兆需要，同時(shí)也具有一定的靈活性。X86架構(gòu)靈活性最高，新功能、新模塊擴(kuò)展容易，但性能肯定滿足不了千兆需要。目前NP的主要提供商是Intel和 Motorola，國(guó)內(nèi)基于NP技術(shù)開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關(guān)產(chǎn)品推出。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強(qiáng)大的編程能力，因而便于開發(fā)應(yīng)用，支持可擴(kuò)展的服務(wù)，而且研制周期短，成本較低。它可以構(gòu)建一種硬件加速的完全可編程的架構(gòu)，這種架構(gòu)的軟硬件都易于升級(jí)，軟件可以支持新的標(biāo)準(zhǔn)和協(xié)議，硬件設(shè)計(jì)支持更高網(wǎng)絡(luò)速度，從而使產(chǎn)品的生命周期更長(zhǎng)。（3）NP架構(gòu)：NP可以說是介于兩者之間的技術(shù)，NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計(jì)的處理器，其體系結(jié)構(gòu)和指令集對(duì)于防火墻常用的包過濾、轉(zhuǎn)發(fā)等算法和操作都進(jìn)行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對(duì)網(wǎng)絡(luò)流量進(jìn)行快速的并發(fā)處理。雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢(shì)，非常適合應(yīng)用于模式簡(jiǎn)單、對(duì)吞吐量和時(shí)延指標(biāo)要求較高的電信級(jí)大流量的處理。新一代的高可編程ASIC采用了更靈活的設(shè)計(jì)，能夠通過軟件改變應(yīng)用邏輯，具有更廣泛的適應(yīng)能力。（2）ASIC架構(gòu)：相比之下，ASIC防火墻通過專門設(shè)計(jì)的ASIC芯片邏輯進(jìn)行硬件加速處理。雖然PCI總線接口理論上 能達(dá)到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達(dá)到千兆速率。其產(chǎn)品功能主要由軟件實(shí)現(xiàn)，可以根據(jù)用戶的實(shí)際需要而做相應(yīng)調(diào)整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。（1）X86架構(gòu)：最初的千兆防火墻是基于X86架構(gòu)。 ● 以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包深度檢測(cè)防火墻 ● 惡意程序可以通過信任端口建立隧道穿過去 ● 沒有深度包檢測(cè)來發(fā)現(xiàn)惡意代碼 ● 對(duì)應(yīng)用層檢測(cè)不夠深入傳統(tǒng)火墻的弱點(diǎn) ● ● ● ● 目前的狀態(tài)檢測(cè)技術(shù)僅可用于TCP/IP網(wǎng)絡(luò)。 又稱動(dòng)態(tài)包過濾防火墻。 一個(gè)Telnet代理的例子： ● 難于配置 ● 只支持有限的應(yīng)用 ● 性能差 ● ● ●每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序；對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。 （2）應(yīng)用網(wǎng)關(guān)防火墻 ● 數(shù)據(jù)包流向：in或out ● TCP選項(xiàng)：SYN、ACK、FIN、RST等 ● 源、目的端口：FTP、HTTP、DNS等 ● 數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等 ● 對(duì)管理員要求高 ● 不能跟蹤TCP連接的狀態(tài) 【缺點(diǎn)】 高效、透明 【優(yōu)點(diǎn)】 也叫分組過濾防火墻。 （2）衡量標(biāo)準(zhǔn)：新建連接數(shù)主要用來衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力 （1）定義：指穿越防火墻的主機(jī)之間，或主機(jī)與防火墻之間，單位時(shí)間內(nèi)建立的最大連接數(shù)。 （2）衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來測(cè)試防火墻建立和維持TCP連接的性能，同時(shí)也能通過并發(fā)連接數(shù)的大小體現(xiàn)防火墻對(duì)來自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力 并發(fā)連接示意圖 （1）定義：指穿越防火墻的主機(jī)之間,或主機(jī)與防火墻之間，能