【51CTO.com綜合報道】

九宮八陣圖之云垂陣——UTM

云垂陣：云附於地，始則無形，變?yōu)橄桫B，其狀乃成，鳥能突出，云能晦異，千變?nèi)f化，金革之聲。

UTM身居云垂陣,進(jìn)可攻退可守，變化中彼此聲息相通，心心相印，縱橫合擊，勢如破竹。

UTM產(chǎn)品基于統(tǒng)一威脅管理目標(biāo)設(shè)計，用于全方位解決企業(yè)綜合網(wǎng)絡(luò)安全問題。產(chǎn)品提供全面的防火墻、病毒防護(hù)、入侵檢測、入侵防護(hù)、惡意攻擊防護(hù)，同時提供VPN和流量整形功能，在綜合安全防護(hù)基礎(chǔ)上，提供附加網(wǎng)絡(luò)增值功能。

“內(nèi)力”提升，UTM不再是傳說

1面臨的挑戰(zhàn)

隨著網(wǎng)絡(luò)中應(yīng)用的越發(fā)復(fù)雜，企業(yè)內(nèi)部除病毒傳播、系統(tǒng)漏洞、黑客攻擊等傳統(tǒng)威脅外，木馬、拒絕服務(wù)攻擊、垃圾郵件、帶寬濫用等問題也日益嚴(yán)重，并且在攻擊方式、攻擊目標(biāo)上亦呈多樣化發(fā)展趨勢，具備單一功能的安全技術(shù)已無法防御如此復(fù)雜的網(wǎng)絡(luò)威脅，可集成多種安全功能于一身的UTM產(chǎn)品，在快速發(fā)展并被越來越多用戶認(rèn)可的同時，也面臨著重要挑戰(zhàn)。

1.1應(yīng)用層深度檢測

應(yīng)用層深層檢測的真正目的，不僅僅是對病毒的防御，還包括對溢出攻擊、惡意腳本、SQL注入攻擊、P2P應(yīng)用、網(wǎng)絡(luò)游戲等惡意攻擊和網(wǎng)絡(luò)濫用行為的檢測及防御。同時，作為部署在網(wǎng)關(guān)位置的UTM產(chǎn)品，在進(jìn)行深層檢測時必須確保不出現(xiàn)誤判，如果深層檢測出現(xiàn)了誤判，那么依據(jù)錯誤檢測所做的防御措施會給用戶的正常業(yè)務(wù)帶來嚴(yán)重影響。

1.2UTM性能的提高

對于市場上的UTM產(chǎn)品而言，集成的防火墻、VPN、防病毒、入侵防護(hù)等功能實際上只是在設(shè)備中做了簡單的疊加，一旦開啟多功能時，各種功能模塊對計算資源的搶奪就直接導(dǎo)致了整體性能的急劇下降。盡管很多廠商也采取了諸如提高硬件配置，甚至采用ASIC硬件加速某些功能的手段，但收效并不顯著。某些品牌的UTM產(chǎn)品，標(biāo)稱防火墻性能上G，入侵防護(hù)、防病毒好幾百兆，雖然在測試中也能達(dá)到，但必需是開單項功能時的測試數(shù)據(jù)。一旦功能全開，性能可能會下降到幾十兆的地步，而原本標(biāo)稱幾十萬的并發(fā)連接則直奔幾千而去。

1.3UTM的協(xié)同運作能力

我們需要具備云安全防御技術(shù)及構(gòu)架更完整、可定制性更強的UTM產(chǎn)品。除整合更多功能外，各功能模塊之間的協(xié)同運作能力也將上升到新的高度。對于中小企業(yè)用戶來說，新型的安全產(chǎn)品無論是在功能方面還是在性能方面都將更加細(xì)化和靈活。并且由于標(biāo)準(zhǔn)的兼容，產(chǎn)品之間可以組合使用，發(fā)揮完全一體化的效應(yīng)。

1.4UTM的易用性

網(wǎng)關(guān)的易用不只體現(xiàn)在管理、維護(hù)、配置上，還體現(xiàn)在設(shè)備的部署上，對網(wǎng)絡(luò)的兼容性上。UTM產(chǎn)品確實需要在產(chǎn)品開發(fā)過程中貫徹“易用”這一原則，使產(chǎn)品能夠具有長期的生命力。

2解決之道

2.1應(yīng)用層深度檢測

2.1.1應(yīng)用感控技術(shù)

應(yīng)用感控技術(shù)不同于傳統(tǒng)的基于端口和協(xié)議的狀態(tài)包過濾技術(shù)，這種技術(shù)能通過流量識別網(wǎng)絡(luò)上的應(yīng)用程序，基于應(yīng)用ID進(jìn)行智能識別與控制，同時，可以辨別出來自同一網(wǎng)站的不同應(yīng)用并且可以啟用服務(wù)質(zhì)量選項為這些應(yīng)用優(yōu)先分配帶寬。

2.1.2Web主動過濾技術(shù)

Web過濾是指上網(wǎng)監(jiān)控功能，具備內(nèi)容過濾的安全網(wǎng)關(guān)通過多重過濾與保護(hù)，對內(nèi)容和網(wǎng)址進(jìn)行監(jiān)控，對內(nèi)容不良的網(wǎng)站實行過濾，從而實現(xiàn)對網(wǎng)絡(luò)內(nèi)部人員上網(wǎng)進(jìn)行監(jiān)控URL的屏蔽列表。

2.2UTM性能的提高

2.2.1PSE預(yù)檢技術(shù)和優(yōu)化匹配技術(shù)

數(shù)據(jù)在進(jìn)入設(shè)備后，除協(xié)議異常的流量流向異常檢測模塊外。主要的流量都交給PSE預(yù)檢引擎。PSE預(yù)檢引擎能夠極高速的分離出清白流量和可疑流量，再將可疑流量交由特征優(yōu)化匹配引擎進(jìn)行進(jìn)一步處理。融合引擎的技術(shù)原理如下圖

PSE預(yù)檢技術(shù)時一種將現(xiàn)有特征庫進(jìn)行數(shù)據(jù)抽象，形成體積遠(yuǎn)小于原特征的PSE庫，然后利用這個PSE庫的預(yù)檢來加速網(wǎng)絡(luò)處理的技術(shù)。實際上，類似的處理方法，我們在日常生活中經(jīng)常會用到。就好像平常我們?nèi)ラT口接幾個人，實際上我們對要接的人的身高、相貌、衣著等等都有個心理準(zhǔn)備。那么，貓貓狗狗，這個不是人，不用看了；前面來了個外國人，這個也不用看了；又過來個2米多高的，這個也不用看了；我們要接的都是男的，女的也不用看了。我們會自覺不自覺的直接采用少量特征對大多數(shù)目標(biāo)進(jìn)行排除，只有少數(shù)差不多的目標(biāo)才會詳細(xì)的加以驗證。 PSE預(yù)檢技術(shù)也是如此，經(jīng)過抽象處理的PSE庫，所需檢測時間不到常規(guī)的10%。那么，做個簡單計算，當(dāng)網(wǎng)絡(luò)中可疑流量只占到20%時（這在實際中已經(jīng)很高了），采用PSE預(yù)檢處理可以將性能提升高達(dá)70%。當(dāng)然，在同等網(wǎng)絡(luò)情況下，PSE庫構(gòu)建得越小，往往可疑流量就越高，這之間的平衡是需要仔細(xì)斟酌的。

在PSE預(yù)檢完成后，對于可疑流量再進(jìn)一步的交給特征優(yōu)化匹配引擎進(jìn)行處理。為什么叫特征優(yōu)化匹配引擎？我們首先需要知道，在網(wǎng)絡(luò)上處理惡意流量，盡量跟傳統(tǒng)的殺毒軟件一樣要用到特征匹配技術(shù)，但是對工作流程的需求有極大的不同。傳統(tǒng)殺毒軟件面對的是完整的文件，而諸如UTM這樣的網(wǎng)絡(luò)設(shè)備面對的是數(shù)據(jù)流，更準(zhǔn)確一點說，是多個數(shù)據(jù)包，形成威脅的特征值可能分散在多個數(shù)據(jù)包中。作為一個網(wǎng)關(guān)設(shè)備，我們不能將所有數(shù)據(jù)包都先緩存下來，檢測完畢再進(jìn)行轉(zhuǎn)發(fā)。否則必然造成網(wǎng)絡(luò)的擁塞。這就要求在做特征匹配時，必須根據(jù)網(wǎng)絡(luò)流的這種需求對匹配進(jìn)行優(yōu)化。相關(guān)優(yōu)化方法有很多，其中相對高效的一種是基于自動機原理的優(yōu)化匹配方法。

2.2.2內(nèi)容檢測技術(shù)

貫穿于UTM整體的一條主線實際是高級檢測技術(shù)。先進(jìn)的完全性內(nèi)容保護(hù)采用了完全內(nèi)容檢測技術(shù)，即對0SI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的進(jìn)行實時保護(hù)。與其他單純檢查包頭或“深度包檢測”的安全技術(shù)不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查）等技術(shù)先進(jìn)。

2.3UTM的協(xié)同運作能力

2.3.1主動云防御

云安全防御技術(shù)融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。實現(xiàn)立體全面的防護(hù)。

2.3.2產(chǎn)品間的協(xié)同防護(hù)

UTM產(chǎn)品的協(xié)同防護(hù)要以安全策略為中心，綜合運用檢測、防護(hù)、報警、響應(yīng)等工具，對可能發(fā)生的威脅進(jìn)行立體防御。如：防火墻模塊和終端產(chǎn)品聯(lián)動可進(jìn)行終端的準(zhǔn)入控制、IPS模塊與終端產(chǎn)品聯(lián)動可進(jìn)行內(nèi)網(wǎng)終端入侵行為的及時阻斷、VPN模塊與終端產(chǎn)品聯(lián)動可進(jìn)行遠(yuǎn)程終端的接入認(rèn)證等。

2.4UTM的易用性

2.4.1一鍵配置

一鍵配置功能讓管理人員可以通過WEB界面，對每個按鍵對應(yīng)的工作模式進(jìn)行重新定義。例如，在實際的一個案例中，用戶將‘低’定義為調(diào)試模式，不做任何攔截策略，用于在網(wǎng)絡(luò)出現(xiàn)聯(lián)通性故障時調(diào)試使用。“中”定義為常規(guī)運營模式，根據(jù)事先定義的策略對惡意流量進(jìn)行攔截，同時進(jìn)行上網(wǎng)行為管理。而“高”則根據(jù)用戶的《信息系統(tǒng)應(yīng)急預(yù)案》，定義成除了ERP、Web、郵件和財務(wù)應(yīng)用外的完全阻斷模式。當(dāng)發(fā)生安全事件，需要啟動信息系統(tǒng)應(yīng)急預(yù)案時，不必再單獨配置UTM設(shè)備，只需簡單的按下“高“鍵即可。而應(yīng)急狀態(tài)解除后，也僅需按下“中”鍵即可恢復(fù)常規(guī)運營。為了防止按鍵被誤按，三色按鍵右方設(shè)計了安全開關(guān)，平常將旋轉(zhuǎn)開關(guān)置于“鎖“的位置即可。三個按鈕雖然是固定死的，但是它代表的策略是動態(tài)變化的，是能夠定制的。

“一鍵配置”功能，在多功能安全集成產(chǎn)品的易用性方向上可謂是革命性的一步，是中小企業(yè)用戶，以及大型企事業(yè)用戶分支機構(gòu)的上佳選擇。

2.4.2集中管理

UTM的價值在于簡化管理，即以最精簡的單一設(shè)備來達(dá)到所需要的網(wǎng)絡(luò)管理水平，并具有快速遷移、集中管理、節(jié)省成本的優(yōu)勢。通過部署安全管理系統(tǒng)軟件，可實現(xiàn)對安全網(wǎng)關(guān)的集中管理，有利于快速完成多臺安全網(wǎng)關(guān)設(shè)備的部署實施工作，并方便管理員對多臺安全網(wǎng)關(guān)進(jìn)行管理維護(hù)。如：根據(jù)設(shè)備心跳信息，自動發(fā)現(xiàn)在線安全設(shè)備；支持以拓?fù)涞貓D形式呈現(xiàn)用戶網(wǎng)絡(luò)部署情況，并可以進(jìn)行自動拓?fù)洳季终{(diào)整，呈現(xiàn)設(shè)備運行狀況；可通過瀏覽器遠(yuǎn)程登錄安全設(shè)備的管理界面，進(jìn)行配置和管理；集中監(jiān)視設(shè)備運行狀態(tài)、資源占用情況、設(shè)備告警情況、設(shè)備在線用戶信息、網(wǎng)絡(luò)連接狀態(tài)等；支持監(jiān)控任務(wù)訂制，監(jiān)控任務(wù)后臺自動運行，設(shè)備歷史運行狀態(tài)呈現(xiàn)與分析；實時監(jiān)控設(shè)備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進(jìn)行響應(yīng)；支持集中的日志采集、存儲、查詢、統(tǒng)計、在線分析等審計功能。

2.5產(chǎn)品現(xiàn)狀及發(fā)展

面對UTM設(shè)備不可避免的性能損失，以及不同規(guī)模、不同需求的用戶，哪些UTM才是適合的？哪些方案才是可行的？UTM產(chǎn)品相對于單獨購置各種功能設(shè)備，可以有效的降低成本投入，這無疑為中小企業(yè)實施信息安全提供了一個非常具有吸引力的選擇。由于UTM的管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的要求，彌補中小企業(yè)在技術(shù)力量上的不足。這使得中小企業(yè)可以最大限度的降低對安全供應(yīng)商的技術(shù)服務(wù)，有利于中小企業(yè)用戶建立更加合理和真實的解決方案。

在未來，我們將看到構(gòu)架更完整、可定制性更強的UTM產(chǎn)品。除整合更多功能外，各功能模塊之間的協(xié)同運作能力也將上升到新的高度。對于中小企業(yè)用戶來說，新型的安全產(chǎn)品無論是在功能方面還是在性能方面都將更加細(xì)化和靈活。中小企業(yè)用戶可以購買到最大限度貼近自身需求的產(chǎn)品，從而使資金得到充分利用。而且在適合需要的情況下，用戶也可以選擇租用安全產(chǎn)品。并且由于標(biāo)準(zhǔn)的兼容，租用的產(chǎn)品也可以和企業(yè)已有的產(chǎn)品及將來購買的產(chǎn)品組合使用，發(fā)揮完全一體化的效應(yīng)。#p#

3如何選擇好的UTM產(chǎn)品

3.1網(wǎng)絡(luò)訪問控制

深度防護(hù)策略可很好的實現(xiàn)網(wǎng)絡(luò)訪問控制。深度防護(hù)策略包含源地址、目的地址、源端口、源MAC、流入網(wǎng)口、流出網(wǎng)口、訪問控制、時間調(diào)度、服務(wù)、是否為長連接等，對于不符合規(guī)則的訪問，系統(tǒng)可以攔截并日志告警。

3.2應(yīng)用的內(nèi)容識別控制

UTM需擁有完善的應(yīng)用識別特征庫，通過智能分析技術(shù)，將P2P、IM、炒股軟件和在線游戲等協(xié)議的應(yīng)用行為、加密方式、處理動作等特點整理成庫。當(dāng)流量經(jīng)過UTM時，UTM啟動過濾引擎，對流量進(jìn)行特征值的匹配。當(dāng)過濾引擎搜索到與之匹配的特征碼時，UTM即可應(yīng)用智能識別技術(shù)進(jìn)行細(xì)粒度控制或一鍵封鎖。

內(nèi)容過濾庫的處理上力求收集齊全、分類準(zhǔn)確、更新及時。通過采用網(wǎng)站全智能搜索引擎技術(shù)收集互聯(lián)網(wǎng)站點，并進(jìn)行智能分類、人工核驗的處理手段對網(wǎng)站進(jìn)行分類。應(yīng)最少支持50多種的URL類別，分別涉及色情、暴力、賭博、毒品、犯罪、病毒、體育、財經(jīng)、娛樂等網(wǎng)站分類，另外，由于在互聯(lián)網(wǎng)上每天都有大量新網(wǎng)站出現(xiàn)，UTM可通過在線升級的方式，使URL庫中的網(wǎng)站處于持續(xù)的更新狀態(tài)。

3.3病毒防御

UTM設(shè)備采用自有知識產(chǎn)權(quán)的病毒防御引擎和國內(nèi)知名病毒廠商特征庫，可整體提升設(shè)備本身安全性、可擴展性。UTM設(shè)備主要針對HTTP,SMTP,FTP,POP3,IMAP等多種協(xié)議的病毒防御，并可自定義非標(biāo)準(zhǔn)端口的HTTP,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測。對當(dāng)前流行的過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒進(jìn)行檢測與阻斷。

3.4入侵防御

UTM入侵防御功能在蠕蟲、后門、木馬、間諜軟件、Web攻擊、拒絕服務(wù)等攻擊的防御方面應(yīng)具備完善的檢測、阻斷、限流、審計報警等多種防御手段，來滿足用戶的各種應(yīng)用需要。可檢測和阻斷RedCode、Slammer、sober，Zotob、nimda等多種國內(nèi)外流行的蠕蟲病毒，并可通過會話數(shù)管理防御未知蠕蟲病毒的攻擊；可檢測和阻斷Sub7、netbus、bandook、Doly、GateCrasher等上百種國內(nèi)外主流的后門程序；可檢測和阻斷ARP攻擊、UDPFlooding、SynFlooding 等網(wǎng)絡(luò)層拒絕服務(wù)攻擊，而且還可以處理CC，DNS Query Flooding等多種應(yīng)用拒絕服務(wù)攻擊。對所有的攻擊行為不但可以檢測和阻斷，同時需要審計、報警、限值帶寬等防御手段。

3.5異常流量管理

網(wǎng)絡(luò)中經(jīng)過改造的惡意數(shù)據(jù)包可能會造成企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)死機無法對外提供正常的服務(wù)；IP/Port掃瞄的行為將讓企業(yè)內(nèi)部的網(wǎng)絡(luò)架構(gòu)輕易被黑客得知；大量的異常流量數(shù)據(jù)包也可能造成企業(yè)核心路由器、交換機等因承載過重而死機。UTM設(shè)備內(nèi)建的異常檢測模塊，可以檢測各項偏離預(yù)期的網(wǎng)絡(luò)行為。對網(wǎng)絡(luò)流量異常檢測，不單只使用計數(shù)的方式，還使用專門的統(tǒng)計算法，可以準(zhǔn)確地檢測網(wǎng)絡(luò)流量的異常情形。自定義網(wǎng)絡(luò)流量異常的觸發(fā)參數(shù)，除了內(nèi)建網(wǎng)絡(luò)流量標(biāo)準(zhǔn)模式供比對以外，還另提供微調(diào)機制，供網(wǎng)絡(luò)管理人員針對所管理的網(wǎng)絡(luò)環(huán)境流量作進(jìn)一步的細(xì)微調(diào)校。

3.6應(yīng)用監(jiān)控管理

應(yīng)用監(jiān)控管理功能可以根據(jù)不同的時間、群組，對即時聊天軟件、網(wǎng)游、P2P軟件等下達(dá)嚴(yán)格的管理策略，應(yīng)用的識別應(yīng)基于應(yīng)用行為和數(shù)據(jù)特征，而不是基于端口號。對P2P應(yīng)用中的加密傳輸，要采用應(yīng)用行為識別與主動探測相結(jié)合的方式，來有效地克服了加密后無法識別的業(yè)內(nèi)難題。通過精確的識別，對IM軟件實現(xiàn)了細(xì)粒度的控制，不但可以控制登陸，而且對文字聊天，文件傳輸，音頻、視頻都可以實現(xiàn)分類控制。

3.7VPN功能

UTM設(shè)備需要支持標(biāo)準(zhǔn)IPSec、SSL、GRE、PPTP 、L2TP等VPN。加密強度可分等級，加密算法應(yīng)包括DES、3DES、AES、IDEA、RC4?；谶h(yuǎn)程用戶接入的安全考慮，需采用USBKey方式的證書認(rèn)證，實現(xiàn)接入用戶的身份鑒別，實現(xiàn)基于角色（賬號）的權(quán)限管理和訪問控制。

3.8統(tǒng)一的集中管控

UTM設(shè)備應(yīng)具備專用的集中管理系統(tǒng)，有利于快速完成多臺UTM設(shè)備的部署實施工作，并方便管理員對多臺UTM設(shè)備進(jìn)行管理維護(hù)。在集中管理系統(tǒng)中用戶網(wǎng)絡(luò)部署情況以拓?fù)涞貓D形式呈現(xiàn)，并可以進(jìn)行自動拓?fù)洳季终{(diào)整。通過瀏覽器遠(yuǎn)程登錄UTM設(shè)備的管理界面，進(jìn)行配置和管理。實時監(jiān)控設(shè)備的各類告警信息，并可采用聲音、郵件、短信、彈出窗口等多種方式進(jìn)行響應(yīng)。

4網(wǎng)御星云的解決方案

網(wǎng)御是國內(nèi)最早自主研發(fā)安全網(wǎng)關(guān)產(chǎn)品的廠商之一，早在1999年，先后取得了“防火墻入侵檢測與響應(yīng)的方法（專利號021008515）”、“網(wǎng)關(guān)級計算機病毒防范的方法（專利號011091789）”等一系列發(fā)明專利成果。

網(wǎng)御根據(jù)多年信息安全實踐經(jīng)驗以及對用戶未來需求的把握，建立了“下一代安全架構(gòu)（NSA：Next-generation Security Architecture）”的技術(shù)理念，在產(chǎn)品開發(fā)中以“彈性架構(gòu)的安全平臺”作為安全設(shè)備的技術(shù)框架和基礎(chǔ)設(shè)施，該平臺規(guī)范了底層硬件、平臺軟件、安全應(yīng)用和高可靠的標(biāo)準(zhǔn)接口，為包括安全網(wǎng)關(guān)在內(nèi)的各類安全網(wǎng)關(guān)提供了基礎(chǔ)的操作系統(tǒng)和二次開發(fā)平臺。網(wǎng)御針對“彈性架構(gòu)的安全平臺”，專門成立了新技術(shù)研究所，并巨資引入業(yè)內(nèi)領(lǐng)先的技術(shù)和人才，進(jìn)行持續(xù)數(shù)年的研發(fā)，才取得了技術(shù)上的突破。該平臺目前已成為網(wǎng)御防火墻、VPN、安全網(wǎng)關(guān)、IPS、UTM等系列安全網(wǎng)關(guān)產(chǎn)品的基礎(chǔ)平臺。徹底解決了傳統(tǒng)安全產(chǎn)品開發(fā)周期長、可靠性低、適應(yīng)范圍窄等關(guān)鍵問題，體現(xiàn)了產(chǎn)品技術(shù)平臺化、模塊化的發(fā)展趨勢，為網(wǎng)御安全網(wǎng)關(guān)的快速開發(fā)和發(fā)展打下了堅實的技術(shù)基礎(chǔ)。

網(wǎng)御安全網(wǎng)關(guān)基于經(jīng)過防火墻、IPS等產(chǎn)品長期考驗的“彈性架構(gòu)的安全平臺”，在穩(wěn)定性、成熟度上具有先天的優(yōu)勢。網(wǎng)御安全網(wǎng)關(guān)將協(xié)議狀態(tài)分析、非緩存病毒檢測技術(shù)、基于狀態(tài)的流模式快速匹配、智能協(xié)議異常檢測、應(yīng)用軟件監(jiān)控等技術(shù)完美地結(jié)合在一起，配合實時更新的病毒特征庫和入侵攻擊特征庫，可有效防御基于網(wǎng)絡(luò)入侵行為，阻斷網(wǎng)絡(luò)病毒的傳播，并具有豐富的上網(wǎng)行為管理。在眾多國內(nèi)乃至全球安全廠商中，網(wǎng)御已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品市場和技術(shù)的領(lǐng)跑者。

4.12009年IDC市場排名報告中:網(wǎng)御UTM產(chǎn)品排名第一

在中國UTM產(chǎn)品市場中，網(wǎng)御在所有廠商中排名第一，市場占有率達(dá)到20.8%。

4.2通用安全平臺VSP

網(wǎng)御專用安全操作系統(tǒng)VSP面向網(wǎng)絡(luò)吞吐和安全處理，采用基于組件的多平面架構(gòu)，整個系統(tǒng)分為控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面和硬件抽象平面。通過將硬件驅(qū)動與資源管理獨立為一個單獨的硬件抽象平面模塊，對上層軟件提供統(tǒng)一調(diào)用接口，對下層硬件統(tǒng)一定義驅(qū)動標(biāo)準(zhǔn)，適應(yīng)多種不同規(guī)格的硬件架構(gòu)，實現(xiàn)與多種專用芯片的無縫融合，可充分利用從IXP，PowerPC到NP、多核多線程CPU、內(nèi)容加速芯片等各種先進(jìn)硬件平臺的優(yōu)勢，使網(wǎng)御UTM產(chǎn)品在性能方面進(jìn)一步提高。

4.3統(tǒng)一安全引擎USE

網(wǎng)御安全網(wǎng)關(guān)采用高效的統(tǒng)一防御引擎USE。它將應(yīng)用協(xié)議分析、異常行為管理、入侵防御等多個子系統(tǒng)集成于單一平臺，構(gòu)造統(tǒng)一架構(gòu)，綜合并優(yōu)化各子系統(tǒng)，去除冗余，簡化數(shù)據(jù)處理流程，實現(xiàn)統(tǒng)一的安全引擎處理機制。

統(tǒng)一安全引擎示意圖

USE克服了傳統(tǒng)上各個安全引擎獨自為戰(zhàn)的缺點，通過高效的引擎集成技術(shù)，將各個安全功能有機地整合為一體，協(xié)議分析機、應(yīng)用識別、內(nèi)容檢測、異常分析等引擎協(xié)同工作，對于監(jiān)測的數(shù)據(jù)包，一次性拆包即可完成2-7層的檢測，同時采用聯(lián)想的專利技術(shù)——基于摘要索引的內(nèi)容處理加速算法，有效地提高了引擎的處理效率。

統(tǒng)一安全引擎通過多協(xié)議融合分析技術(shù)和事件關(guān)聯(lián)再分析技術(shù)，綜合內(nèi)容實體，時間因素，提高了安全事件的檢測率。USE采用標(biāo)準(zhǔn)化的技術(shù)，對內(nèi)提供統(tǒng)一服務(wù)接口，使安全功能易于擴展，充分滿足安全需求的快速發(fā)展；對外實現(xiàn)安全策略的統(tǒng)一配置，給用戶帶來可管理的等級化安全。

4.4可信架構(gòu)主動云防御技術(shù)

網(wǎng)御UTM產(chǎn)品通過與已部署的防病毒網(wǎng)關(guān)、IPS、防火墻等設(shè)備聯(lián)合抓取病毒源、攻擊檢測源和掛馬網(wǎng)站URL等特征，匯集至云防御服務(wù)器定時收納合并，云防御服務(wù)器動態(tài)更新病毒庫、攻擊特征庫、掛馬庫等并同步到所有網(wǎng)御安全網(wǎng)關(guān)設(shè)備中，使其他設(shè)備具有防病毒、IPS、防掛馬等功能，同時使其具備更高的處理性能，共同形成整體可信架構(gòu)云防御體系。

5總結(jié)

對于UTM產(chǎn)品的應(yīng)用，我們提倡根據(jù)用戶需求及網(wǎng)絡(luò)狀況進(jìn)行合理選型，在完善功能及性能的基礎(chǔ)上，大力發(fā)展各模塊協(xié)同運作能力。針對單點威脅，觸發(fā)多模塊協(xié)同防護(hù)將是我們發(fā)展的重點。