白皮书
文档命名:LinkTrust_PWP_UTM_005_CN_807_PM_GUOZQ_070213_P 文档编号:2907005807P
目录
版权声明 (1)
支持信息 (3)
第一章前言 (4)
简介 (4)
本书适用对象 (4)
手册章节组织 (4)
系统手册 (5)
第二章版本信息 (6)
软件版本 (6)
第三章安全解决方案构架 (7)
我们所面临的应用层安全问题 (7)
LinkTrust UTM的安全解决方案构架 (8)
第四章系统功能列表 (10)
接入和工作模式 (10)
透明接入 (10)
NAT模式 (10)
路由模式 (11)
混合模式 (11)
功能强大的NAT (12)
支持PPPOE/宽带接入方式 (13)
支持 DHCP服务器、客户端和中继功能 (13)
IEEE 802.1Q的VLAN (14)
基于深度检测的防火墙功能 (14)
基于多种域的访问控制 (14)
基于地址对象的访问控制 (14)
基于时间的访问控制 (15)
基于安全策略的访问控制 (15)
状态检测包过滤技术 (15)
策略路由 (16)
基于IP地址与MAC地址绑定的包过滤 (16)
高效的IPS功能 (16)
协议的深度检测 (16)
异常流量防护 (17)
强劲的Anti-X功能 (18)
病毒防护 (18)
协议防护 (19)
垃圾邮件过滤技术 (20)
强大的X-Analyzer安全风险事件关联分析 (21)
全面的VPN功能 (23)
支持IPSec VPN连接 (23)
支持PPTP VPN连接 (24)
支持L2TP VPN连接 (24)
支持SSL VPN连接 (25)
多端口并发VPN隧道功能 (26)
多样化身份认证方式 (26)
有效的带宽管理 (27)
高可用性 (28)
高可管理性 (28)
丰富的配置管理手段 (28)
精细化的角色分级管理 (29)
丰富的日志与强大审计分析能力 (30)
多样化的告警方式 (30)
强大的系统监控能力 (31)
丰富的调试工具 (31)
一体化的系统升级和特征库升级 (31)
系统内核的在线升级能力 (31)
X-Update —— 统一的特征库升级 (32)
第五章典型应用 (33)
之一:作为IPS网关 (33)
之二:作为邮件过滤网关 (34)
之三:作为防病毒网关 (35)
之四:作为安全隔离设备 (37)
之五:支持全方位的VPN连接 (38)
之六:VPN星型部署 (39)
之七:复杂网络拓朴 (39)
典型解决方案之一:中小型企业的应用 (40)
典型解决方案之二:大中型企业的应用 (41)
典型解决方案之三:分布型企业的应用 (42)
典型解决方案之四:校园网安全部属应用 (43)
典型解决方案之五:SOHU一族安全部属应用 (44)
第六章遵从标准 (46)
附录:安氏领信通讯录 (47)
北京公司 (47)
上海分公司 (47)
广州分公司 (47)
成都分公司 (47)
图目录
图3-1 LinkTrust UTM安全解决方案 (8)
图4-1 LinkTrust UTM工作在NAT模式下的情况 (11)
图4-2 LinkTrust UTM工作在路由+网桥混合模式下 (12)
图4-3 用户使用LinkTrust UTM通过 ADSL连接Internet (13)
图4-4 LinkTrust UTM上设定的域间安全策略 (15)
图4-5 LinkTrust UTM能够支持的部分P2P协议情况 (17)
图4-6 LinkTrust UTM 上SMTP协议病毒防护的设置 (19)
图4-7 Anti-X选项设置查看界面(HTTP协议) (20)
图4-8 X-Analyzer中对单位时间内服务器黑名单连接数的统计 (22)
图4-9 X-Analyzer中对检测到的POP3的统计 (22)
图4-10 X-Analyzer中对检测到的邮件处理统计汇总简要报表 (23)
图4-11 LinkTrust UTM通过 L2TP拨号到子网拓扑 (25)
图4-12 LinkTrust UTM采取认证服务器的方式来实现认证 (27)
图4-13 LinkTrust UTM对上行56K下行200K的带宽管理 (28)
图4-14 LinkTrust UTM对POP3的实时监控情况 (30)
图4-15 X-Update中许可证状态的详细情况 (32)
图5-1 作为IPS网关 (34)
图5-2 作为邮件过滤网关 (35)
图5-3 作为防病毒网关 (37)
图5-4 作为安全隔离设备 (38)
图5-5 支持多种VPN的LinkTrust UTM在特有透明模式工作下的VPN (39)
图5-6 VPN星型部署 (39)
图5-7 复杂网络拓扑--—增加HA模式 (40)
图5-8 中小型企业应用网络拓扑 (41)
图5-9 大中型企业应用网络拓扑 (42)
图5-10 分布型企业应用网络拓扑 (43)
图5-11 校园网安全部署应用网络拓扑 (44)
图5-12 SOHU一族部署应用网络拓扑 (45)
表目录
表1-1 手册章节组织说明 (4)
表1-2 系统手册说明 (5)
表6-1 LinkTrust UTM 产品主要标准 (46)
版权声明
1.权利归属
本文档中的LinkTrust Unified Threat Management的所有权和运作权等版权
法及有关法律规定的权利和一切商业权益均归安氏领信科技发展有限公司
(下称LinkTrust),LinkTrust提供的服务将完全按照其发布的本声明以
及相关的操作规则严格执行。因LinkTrust Unified Threat Management所产
生的一切知识产权归安氏领信公司,并受版权、商标、标签和其他财产所
有权法律的保护。
2.其它产品说明
本文档中所提及的所有其他名称是各自所有者的品牌、产品、商标或注册
商标。
3.授权声明
任何组织和个人对LinkTrust产品的拥有、使用以及复制、修改等涉及版权
法等有关法律所规定的权利都必须经过LinkTrust书面同意和有效授权。
4.管理
用户对信息和服务的使用是根据所有适用于LinkTrust的国家法律、地方法
律和国际公约或协定。
5.特别提示
?使用本产品之风险由使用者自行承担。LinkTrust 对使用本产品不
提供任何明示或默示的担保或保证,包括但不限于商业适售性、
特定目的之适用性及未侵害他人权利等担保或保证;
?LinkTrust 在任何情况下均不就因使用或不能使用本软件而发生的
损失(包括但不限于营业利润损失、业务中断、业务信息、文
档、数据丢失或其他经济损失)承担赔偿责任,即使已通知本公
司有可能发生该损失的亦是如此。本产品并不是对现有的和将来
的所有种类的病毒或漏洞均有效,本公司不保证本产品会对目前
或将来的任何种类病毒或漏洞皆有效;
?从本公司获得的任何信息或建议,无论是书面或口头形式,除非
另有约定或协议,将不构成本声明之外的任何担保或保证。
6.有限责任
LinkTrust 仅就产品说明书中说明的范围承担责任,LinkTrust 对引起使用或
传播的任何损害(包括直接的、间接的、偶然的、特殊的或继起的损害)
不负任何责任(即使已经建议LinkTrust这些损害的可能性)。
7.法律适用
使用LinkTrust产品适用LinkTrust所在国家的法律法规、国际公约或协定。
8.目的
本声明仅为文档信息的使用,非为广告或产品背书目的。
9.争议处理
?本声明受中华人民共和国法律管辖并按其解释;
?用户与LinkTrust之间因使用本产品所引起的争议由双方当事人协商解决或由有关部门调解;协商或调解不成的,依照中华人民共
和国法律相关规定予以解决。
支持信息
祝贺您拥有安氏领信产品!
安氏领信客服中心
安氏领信科技发展有限公司
北京:010-********-1600
上海:021-********
如果您希望得到更多的关于安氏领信产品的报价、产品信息以及技术支持
等信息,请您查阅我公司网站:https://www.doczj.com/doc/854915198.html,。如果从www网
站上仍然得不到您所需要的信息,请致电我公司技术支持部,联系方式参
见本手册附录。
第一章 前言
简介
《LinkTrust UTM白皮书》是LinkTrust Unified Threat Management(以下简
称LinkTrust UTM)手册中的一本,该手册主要是介绍LinkTrust UTM安
全解决方案的构架、基本功能的描述、典型的应用环境等。
本书适用对象
本手册适用于负责支持、维护的安全管理员,了解所购买的LinkTrust
UTM版本及其相关信息。
使用本手册的读者,最好做过系统管理员的工作。
手册章节组织
本手册按照以下章节编排:
第一章前言描述本书适用的读者,手册章节组
织、支持信息及相关参考手册等。
第二章版本信息描述LinkTrust UTM产品版本信息。
第三章安全解决方案构架描述LinkTrust UTM产品安全解决方
案构架。
第四章系统功能列表描述LinkTrust UTM系统所提供的基
本功能。
第五章典型应用描述LinkTrust UTM典型的应用环
境。
第六章遵从标准描述LinkTrust UTM产品遵从的标
准。
附录:安氏领信通讯录与LinkTrust UTM系统相关的其它附
加信息。
表1-1 手册章节组织说明
系统手册
下表列出了LinkTrust UTM系统的所有手册及相应说明:
手册手册说明
LinkTrust UTM安装手册本手册详细介绍安装LinkTrust UTM
所需的准备工作、设备安装细节、系
统启动、基本配置、运行维护、安装
过程中的故障排除。
LinkTrust UTM配置参考手册本手册详细描述LinkTrust UTM的入
门使用、体系结构、系统管理、基本
配置方法、系统维护等。
LinkTrust UTM命令行手册本手册分类介绍LinkTrust UTM产品
所支持的操作指令、各操作指令含
义、相关参数说明和配置实例。
LinkTrust UTM发布说明本手册主要是介绍LinkTrust UTM软
件方面的版本信息,以及产品总体功
能、新增功能等相关描述。
LinkTrust UTM 白皮书本手册简要描述LinkTrust UTM安全
体系构架、所支持的功能列表和典型
应用实例等信息。
表1-2 系统手册说明
第二章 版本信息
LinkTrust UTM (简称LinkTrust UTM)是安氏领信科技发展有限公司基于多
年对网络安全各方面的深刻理解,并积极跟进业界最新技术发展而开发出
的一款集防火墙、防病毒、防垃圾邮件、VPN、内容过滤、流量整形、
IPS、行为审计等技术于一身的统一威胁管理系统。
软件版本
LinkTrust UTM系统最新的软件版本是V8.0.7 版。
第三章 安全解决方案构架
本章描述当今网络所面临的安全问题和LinkTrust UTM所能提供的安全解
决方案构架。
我们所面临的应用层安全问题
如今,随着网络拓扑日益复杂,用户对网关过滤设备在应对复杂网络拓扑
的适应性方面提出了更高的要求。传统的三端口(内网/外网/DMZ)防火
墙模型早已不适应复杂多变的网络拓扑,而且网络安全也不再是外部网络
和内部网络之间的事情。根据IDC相关的调查报告显示,只有30%的攻击
发生在外部网络和内部网络之间,其他的70%攻击行为发生在内部网络,
因此网络安全要同时考虑外部网络和内部网络的安全的,两者并重处理,
结合防护是很有必要的。
随着网络规模的不断扩张,用户对处于大规模网络拓扑环境下的网关过滤
设备也提出了更高的管理要求,对于一个具有成千上万用户、同时处理多
种业务的大型网络而言,一个灵活、可扩展的管理框架也凸显其重要性,
它不但可以降低管理开销,更能降低因为大规模网络拓扑所带来的安全管
理风险。
传统的安全解决方案主要侧重于网络层的攻击检测和防护,这类攻击主要
集中在欺骗、DoS等其他协议层的攻击。为了阻止这种类型的攻击,大部
分用户部署了防火墙、IDS和VPN等网络安全设备,事实证明这些安全设
备的确能够很好地处理协议层的攻击,改善企业的网络安全状况。但是随
着CodeRed、Nimda等蠕虫病毒蔓延和爆发,整个安全业界和相关用户的
关注重心逐渐转向如何防御应用层攻击,例如那些嵌入在邮件中的病毒和
蠕虫等方面。
根据近几年的网络攻击来看,在所有的网络攻击行为中,63%的攻击行为
与两种蠕虫病毒有关: CodeRed和Nimda。这两种病毒的破坏能力是空前
的,一旦爆发将会导致整个局域网、大型广域网的瘫痪;以Nimda为例,
在它的爆发期间,许多大公司不得不几天到几周不等地切断他们到互联网
的连接以避免这种病毒蔓延。这种病毒造成的损失是巨大的, CodeRed造
成的直接或间接经济损失大概在25亿美元左右,而Nimda造成的损失更
在30亿美元左右。从全球范围来看,2001年恶意代码所造成的经济损失
大约在120-130亿美元之间。然而,随着电子商务的不断推广和基于网络
的协同作业的日益普及,一旦诸如CodeRed和Nimda之类的病毒爆发,必
将会给上述用户带来不可估量的影响或损失。
另外一个吸引安全业界和用户眼球的安全问题也随着网络的普及而逐渐浮
出水面——垃圾邮件;虽然垃圾邮件并不能与病毒、蠕虫那样具有明显的
破坏效果,但是其影响却是长期而深远的。
根据国内最近的垃圾邮件监控报告,平均每周大概产生6亿封垃圾电子邮
件,假设人工处理每封邮件从而确认该邮件是否是垃圾邮件的作业需要5
秒钟,这样每周就大概需要3×1010秒(8.4×105小时)来处理这些邮件,
如果按30元/小时来计算,那么光是鉴别垃圾邮件这一项,我们就要每周
为此付出25,000,000元;如果在考虑浪费的网络带宽等其他因素在内,那
我们的损失就不仅是这些了。如果推广到全球来言,那么这方面的损失就
是个天文数字了。
总之,当今网络现状中或多或少存在着复合型威胁、病毒入侵、垃圾邮件
泛滥、P2P等占用大量带宽的应用、黑客攻击等安全方面的问题。这些问
题会使得传统安全设备(如防火墙、IDS等)难以胜任,而且多个单一的
安全设备(防火墙、IPS、网关防病毒、垃圾邮件网关等)会造成管理复
杂、投入高的一系列问题,因此,业界都迫切需要一种安全产品:能够对
多种安全威胁进行集中处理,并降低用户成本,同时降低应用的复杂性和
繁杂的操作过程,并减少后期的维护量,也使安全政策容易统一定义,和
保持安全规则的一致性。随着这些需求的迫切需要和技术的快速发展,能
够满足这些条件的UTM也就应运而生,安氏领信的LinkTrust UTM就是
其中的一员。
LinkTrust UTM的安全解决方案构架
图3-1 LinkTrust UTM安全解决方案
安氏领信的 LinkTrust UTM能够完美地处理来自协议层的安全威胁,为了
能够更好地解决上面所提到的安全威胁——基于应用层的安全问题。我们
必须能够对应用层协议做深层次分析,以便根据不同的应用层协议提供相
应的安全解决方案。
众所周知,应用层的处理是资源密集型任务,它对CPU的计算能力、系统
总线和内存等多方面资源提出很高的要求。为了能够改善系统的处理能
力,我们通过以下几种技术来提升系统性能:
1.独立总线(Independent BUS)
传统的PC构架的硬件通常只有一根系统总线,所有网络接口卡共享一根总线与内存子系统通讯,这种处理方式在数据流量非常大的时候就会出现系统的不同网络接口卡争夺总线带宽问题,系统会发生严重丢包,双向流量严重不均衡,甚至不能进行正常响应。LinkTrust UTM采用高速多系统总线结构,为每个网络接口卡使用一根独立的高速系统总线(PCI-II),保证了在大流量情况下数据通畅传输,不会出现争夺总线带宽问题。
2.专用的Cleaned Flow顶级复合检查引擎协处理器
病毒检测、内容过滤等内容级的处理都属于资源密集型任务,对于通用处理器而言,其根本不可能满足千兆环境对性能的要求,为此我们采用了Cleaned Flow顶级复合检查引擎协处理器来协助通用处理器处理这些资源密集型任务。以DoubleCache支持的Cleaned Flow顶级复合检查引擎是LinkTrust UTM的核心技术之一。Cleaned Flow Engine提供了被市场多年来证明是行之有效的独立防御产品功能:防病毒、防火墙、地址翻译、防垃圾邮件、P2P防护、URL过滤、内容安全过滤、上网行为管理、入侵检测/防护、高可用性、VPN、带宽管理、Anti-X服务、安全事件分析、多媒体通信安全、即时消息过滤、用户认证授权、远程安全接入等,覆盖了ISO 协议模型从2到7层的威胁检查抵御与管理。
3.新一代的防垃圾邮件技术
如今信息社会中电子垃圾邮件到处充塞泛滥,而传统的防垃圾邮件技术不能有效的过滤掉所有的垃圾邮件,LinkTrust UTM采用了独创的业界领先的行为识别技术和邮件来源回溯技术。该技术是安氏领信根据多年来从事网络安全的经验和技术积累,在经过了多年的防垃圾邮件技术研究后推出的新一代防垃圾邮件技术,可对多种可能的垃圾邮件发送行为进行深入探测,从而精确的区分每一封垃圾邮件和正常邮件,从而为用户塑造一个干净清新的电子邮件世界。
4.VPN加速协处理器
VPN的加/解密对于CPU开销是非常大的,为此我们对特定型号采用了专用VPN 加速协处理器来协助通用处理器处理繁重的加/解密运算任务,以期获得更高的处理能力。
5.高效的流杀毒技术
传统的网关病毒防护技术是基于代理技术的,在数据进出代理的时候都要将数据包还原成文件后进行病毒扫描,再发送出去,纵观整个过程其缺点是很明显的:效率低延时高,扫描的协议有限,扫描速度慢;由于基于代理技术,应用环境受限,在处理大文件时候基本不可用。LinkTrust UTM 采用的作为核心技术之一的流扫描技术则有相当明显优势,它采用的引擎是Cleaned Flow顶级复合检查引擎,完全透明部署,可支持Trunk模式下的流扫描,病毒过滤不需要任何IP地址,其高速的流扫描能力使内容处理更快,大幅改善用户使用体验。
第四章 系统功能列表
本章主要描述LinkTrust UTM所提供的主要功能。
接入和工作模式
LinkTrust UTM拥有多种工作和接入模式,用户可以根据自己的网络情况
采取相应的工作模式来进行灵活的部署。
透明接入
当LinkTrust UTM处于透明模式时相当于一个二层交换机,可以实现局域
网之间基于数据链路层的连接,在网络中传送由MAC控制信息、LLC控
制信息和网络层分组成的数据帧。LinkTrust UTM在进行桥接功能的同
时,还能实现包过滤功能,可以对通过防火墙的数据包进行安全检测,并
且根据一定的安全策略对某些数据包进行拦截,从而保证在完成桥接功能
的同时,维护网络的安全性。这种特性使LinkTrust UTM具有了极佳的环
境适应能力,使许多用户无需改变原有网络拓扑就可以实现全方位的安全
解决方案,降低因为增加网络安全设备而导致的管理开销。
NAT模式
当接口处于NAT工作模式下时,LinkTrust UTM系统会将自身所接收到的
IP包包头中的两个组件(源IP地址和源端口号)进行转换。LinkTrust
UTM系统用相应目的地安全域接口的主IP地址,替换发送该IP数据包的
原始源 IP 地址,用另一个由系统自身生成的端口号替换该IP数据包中的
原始源端口号。当回复IP包到达LinkTrust UTM系统时,它将会反向转换
该回复IP包包头中的两个组件:目的地地址和端口号,它们被转换回初始
值。IP包最终被转发到正确的目的地址。
图4-1 LinkTrust UTM工作在NAT模式下的情况
路由模式
当接口工作在路由模式时,LinkTrust UTM系统在不同网段之间转发IP数
据流时不执行任何NAT操作,除非有基于策略的NAT规则存在;当IP数
据流穿过LinkTrust UTM系统时,IP包包头中的IP地址和端口号保持不
变。与NAT工作模式不同,不需要为了允许入站会话到达主机而在处于路
由模式的接口上配置MIP或VIP 地址。与透明工作模式不同,当接口处于
路由工作模式下时,必须为该接口配置IP地址,而且工作于路由工作模式
下的不同接口上指派的IP地址,必须位于不同子网中。
接口处于路由工作模式时,可在策略级别选择性地执行NAT操作,而不是
在接口级别应用 NAT功能。通过为特定流量指定NAT 的策略,可以实现
对IP数据流量选择性的NAT操作。
混合模式
在很多用户网络中,网络基础设施的建设是先于网络安全建设进行的,当
用户打算进行网络安全建设时,往往会发现由于初期的网络设计不周全而
导致一些关键应用是依赖于网络拓扑的,因此在对这些关键应用进行安全
防护时,安全设备必须采用透明模式接入,而对另外一些应用可能就要采
用路由模式接入,这样在同一个网关设备上就需要透明模式和路由模式共
存,如果这两种工作模式不能混合在一起同时工作,那用户网络将会出现
由于被割裂而无法实施安全设备接入的困局。同时,LinkTrust UTM 支持
NAT工作模式。LinkTrust UTM甚至可以提供路由+透明+NAT混合模式,
可以保证不会因为引入安全需求而破坏用户现有网络的完整性,方便
LinkTrust UTM接入各种复杂的网络环境以满足用户网络多样化的部署需
求。
图4-2 LinkTrust UTM工作在路由+网桥混合模式下
功能强大的NAT
在IP v4地址短缺的今天,NAT成了网络设备必不可少的一项功能。
LinkTrust UTM提供丰富的NAT支持,支持1:1的静态地址映射、N:M方
式的动态地址转换、N:1方式的动态地址转换、PAT方式的地址转换和基
于Round Robin方式的服务器负载均衡, 为用户提供完整的地址转换解决方
案。
1 :1的静态地址翻译,即内部地址和外部地址一对一的映射。经过静态地
址翻译的主机可以用翻译后的公网合法地址访问Internet,也可以用翻译后
的公网合法地址接受外部的访问请求。对公众网来说,与之通讯的对象完
全是LinkTrust UTM转换后的地址,可以有效地隐藏了组织机构内部的网
络拓扑结构和地址分配等重要信息。
N :M的动态地址翻译(N≥M、M≥1),即N个内部地址与M个外部
地址的动态随机映射。当这N个内网主机的某个用户需要对外访问时,
LinkTrust UTM系统将会从定义好的M个外部合法地址中动态分配抽取一
个没有使用的IP地址给用户,使用户得到合法的IP地址与外部访问。当
用户完成访问时,系统将回收这个IP地址,将它分配给另外一个用户使
用。对公众网来说,访问完全来自LinkTrust UTM转换后的地址,有效的
隐藏了内部网络的拓扑结构等重要信息,同时内部用户共享使用这些合法
地址,自身仍可以灵活的使用内部保留地址,有效的解决了合法IP地址不
足的问题。
N:1的动态地址翻译:这种方式其实是N :M的动态地址翻译的一种特殊
方式。
IP A + PORT M端口定向能力:IP B(C,D,E,…) + PORTN(O,P,Q…)方式的地址及端
口重定向,通过LinkTrust UTM外网卡绑定的某个外部合法地址IPA的某个
端口M映射多个内部地址IP B(C,D,E,…)的特定端口(O,P,Q…),这个外网卡上
绑定的用做重定向IP又叫做VIP。这样,外部对VIP某个端口的访问可以被
重定向到内部多台主机。既节省公网合法IP资源又可以隐藏内部服务器地
址。更重要的是,通过端口定向可以实现服务器负载均衡,同时也是一种
高效的隐藏企业内部服务器端口的方式,同时提高了一台服务器的使用效
率。
支持PPPOE/宽带接入方式
LinkTrust UTM的PPPOE功能专为ADSL拨号接入的用户而设计,利用
PPPOE协议,LinkTrust UTM可以方便的接入拨号网络,提供安全的网关
防护功能。用户可以进行自动拨号和自动重连,大大的方便了用户的使
用,保证了拨号接入网络的可用性。值得一提的是,LinkTrust UTM使用
PPPOE拨号接入后,可以自动检测到ISP为此用户网络分配的出口带宽,
并智能的调整LinkTrust UTM的带宽管理策略使之适应动态变化的总出口
带宽资源,实现用户网络价值的最大化。这使LinkTrust UTM充分满足
SOHO用户对网络安全的一体化需求,可极大地降低成本开销。
图4-3 用户使用LinkTrust UTM通过 ADSL连接Internet
支持 DHCP服务器、客户端和中继功能
LinkTrust UTM充分支持DHCP功能,包括DHCP服务器、DHCP客户端
和DHCP中继功能,可以为网络终端设备提供临时的IP地址、默认网关、
DNS服务器等网络配置。这可以使得局域网内用户不用手动设置IP地址即
可访问网络资源,方便用户接入到网络中来。
DHCP(动态主机配置协议)可以自动分配、配置、跟踪和更改网络中每
台主机的所有TCP/IP设置。此外,DHCP 还可以确保不使用重复地址、重
新分配未使用的地址,并且可以将某些IP地址设置为与指定主机绑定的静
态地址。
当LinkTrust UTM被设置为DHCP服务器时,它可以接收客户端发送的
DHCP请求,并回应正确的DHCP配置信息;当被设置为DHCP中继代理
时,它可以将接收和转发DHCP客户端与LinkTrust UTM上预先配置的
DHCP服务器之间的请求和响应;当被设置为DHCP客户端时,它会向
LinkTrust UTM上预先配置的DHCP服务器发出请求,从而获取相应的IP
地址信息。
DHCP服务器、DHCP客户端和DHCP中继均可以在指定的网络接口上服
务,但二者不能同时运行在同一接口设备上。
IEEE 802.1Q的VLAN
LinkTrust UTM提供对IEEE 802.1Q的支持,它可与三层网络设备配合无缝
接入,这使其在网络部署中更具灵活性。LinkTrust UTM还提供对透明模
式下的IEEE 802.1Q数据报文的透明处理。LinkTrust UTM支持高达4,094
个802.1Q VLAN子接口划分,结合多安全域划分手段为企业级内网管理问
题提供彻底解决方案。
基于深度检测的防火墙功能
基于多种域的访问控制
LinkTrust UTM基于先进的“安全域”、“功能域”等多种域结构,在国
内率先将基于接口的访问控制上升到基于域的访问控制,别具独特的风
格,具有划时代的意义。
LinkTrust UTM从体系结构上抛弃了传统防火墙的内外概念,从根本上解
决了传统防火墙防外不防内的局限,各个域间的默认安全级别是一样的,
之间的安全差异由用户来定制,具有极大的灵活性。LinkTrust UTM可以
根据企业的安全需求将不同接口(物理接口或虚拟接口)或功能划分成独
立的域,通过在这些域间加载独立的访问控制策略来限制不同信任度网络
之间的相互访问,也就是说,LinkTrust UTM提供了更加细粒度的安全控
制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到
LinkTrust UTM的控制,其它域也不会受其影响。安全裂缝被限制在自己
的域中,无法对其它区域造成威胁,进而保证了整个内网的安全。
目前LinkTrust UTM已经提供安全域、功能域及IDS域,同时提供了用户
自定义域接口,方便根据不同需求灵活定制。
基于地址对象的访问控制
为了改善LinkTrust UTM的可管理性,我们抽象出了地址对象这一概念,
其涵盖的范围包括一个Mac地址、一个子网网段或者是一个地址范围,地
址对象组是以上几种地址对象集合,这为安全对象的细粒度识别创造了灵
活的表达方式,极大的方便用户根据不同需求进行定制相应的策略。
基于时间的访问控制
为了能够更细致地进行访问控制,LinkTrust UTM提供了时间对象,它主
要定义两个时间约束,一个是工作日的约束,另一个是时间段的约束。方
便用户从时间上来做到精细控制内部需要的访问策略。LinkTrust UTM提
供了阻止主机黑名单功能,对那些LinkTrust UTM以外的Internet上的恶意
站点及不希望内部员工在上班期间访问的站点进行按照时间段阻止,同时
对内部滥用网络资源的IP进行按时间断阻止其向外访问。
基于安全策略的访问控制
LinkTrust UTM还提供了基于安全策略的访问控制。它可以监控所有通过
它进行转发的网络流量,并能够按照用户定义的访问控制策略,或系统默
认策略,来完成对网络访问的授权和监控操作。系统管理员可以通过创建
安全策略来控制不同网络区段之间或者某个网络区段内部的网络会话。
当一个数据包企图从一个域到另一个域,或是在两个位于同一域内部的不
同接口间进行传输时,LinkTrust UTM系统会根据策略集合判断是否允许
此次网络访问请求。
对于所有的通过LinkTrust UTM系统建立的会话请求,都必然存在一条策
略来授权此连接请求,这条策略可能是用户自己定义的,也可能是
LinkTrust UTM系统自身默认的。同时,如果相应域内的默认策略被设置
为阻止状态,可以配置一条策略来授权这种在域内部之间允许访问。
图4-4 LinkTrust UTM上设定的域间安全策略
状态检测包过滤技术
LinkTrust UTM采用了基于状态检测的包过滤技术,快速实现了基于源/目
的安全域或功能域、源/目的IP地址对象、服务对象、流量对象、多种处
理动作、用户和时间对象的细粒度访问控制。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的
连接通过,并在内存中记录下该连接的相关信息,生成状态表。LinkTrust
UTM采用了一个检查引擎(一个在网关上执行网络安全策略的引擎)。在不
影响网络正常工作的前提下,系统在网络层由检查引擎截获数据包并抽取
出与应用层状态有关的信息,维护一个动态的状态信息表并对后续的数据
包进行检查,并以此作为依据来确定是否允许数据通过,它可有效的发现并
阻断伪造数据包和地址欺骗等攻击。
而且,系统根据策略授权相关的网络连接、并将相关连接信息存储在连接
表中,对该连接的后续数据包,只要符合连接表就可以快速通过。这种方
式还有个好处就是在于不需要对每个数据包进行规则检查,而是通过连接
表来跟踪后续数据包,从而较大提升系统吞吐性能。
策略路由
在大型网络中,接入往往不只是由一个ISP提供的,很可能存在多个ISP
提供接入的情况。对于这种有多个外网出口的网络环境,如连接了公网的
教育网,如果内部的服务器希望被外面访问,则需要使用策略路由技术。
策略路由是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的
或源IP地址来决定,而是综合考虑多种因素决定。一般的策略路由功能只
能实现根据单个IP包中的源地址进行判断,在使用时并不方便。而
LinkTrust UTM可以根据更多的因素进行决定,如可以根据原来数据包的
信息(即数据包的发起方向)来决定以后的路由,在使用时更加灵活。
LinkTrust UTM提供的这种策略路由支持,使其能够同时处理多达10个
ISP接入的情况,极大地拓展了其适应能力。
基于IP地址与MAC地址绑定的包过滤
LinkTrust UTM所具有的IP与MAC地址绑定功能,以在LinkTrust UTM
系统上建立IP地址与MAC地址的绑定关系,这样可限定IP地址只能在一
台指定的工作站上使用,大大方便了网络的IP地址管理,而且便于定位查
找机器所在的位置。
高效的IPS功能
协议的深度检测
基于状态的LinkTrust UTM在跟踪连接状态时,可采用深度协议检测来监
控数据流。深度协议检测是利用应用层协议特征来实现检查的,它支持对
网络流量中包括点对点协议、实时通信协议、V oIP、网络游戏、文件类
型、流媒体、协议误用、蠕虫等应用层协议特征的设置,通过预定义应用
名称和相应端口的方式,方便用户选择和使用,更好的增强系统在应用层
方面的入侵检测和防御,做到了更细、更深、更强、更完善。
z对于P2P协议来说,支持对Apple Juice、Ares、Bit Torrent、Direct
Connect、Fast Track、Freenet、GnucleusLAN、Gnutella、GoBoogy、
Hotline、iMesh、MUTE、Napster、OpenFT、 Soribada、Soulseek、
Tesla、The Circle、百宝、电驴、酷狗、Poco和PP365、迅雷的识别和
阻断,并可配合流量整形进行带宽管理,有效降低网络带宽的资源滥
用。
z对于IM来说,支持对MSN、QQ、Yahoo、Jabber和AIM等的识别和
过滤,特别对于IM over HTTP Tunnel来说也可轻松识别和过滤,可有
效降低企业网中上班时间用户私聊。
z对于VOIP来说,支持对SKYPE、SIP、H.323、teamspeak和ventrilo
的过滤。