天清汉马USG一体化安全网关
技术白皮书
北京启明星辰信息安全技术有限公司
Beijing Venustech Cybervision Co., Ltd
版权声明
北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天清汉马”为启明星辰信息技术有限公司的注册商标,不得侵犯。
免责条款
本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈
如有任何宝贵意见,请反馈:
信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100094 电话:010-********
传真:010-********
您可以访问启明星辰网站:https://www.doczj.com/doc/ae2285958.html,获得最新技术和产品信息。
目录
1 概述 (3)
2 安全网关技术发展方向 (4)
2.1 UTM是安全网关发展的方向 (4)
2.2 UTM与NGFW的关系 (5)
2.3 UTM产品发展技术方向 (6)
2.3.1 向深层过滤发展、支持更多应用协议 (6)
2.3.2 新的算法,满足一体化设计要求 (6)
2.3.3 高性能的分布式运算硬件平台 (7)
2.3.4 终端边界融合,实现纵深防御 (7)
2.4 多核将成为UTM的最佳承载平台 (8)
3 产品综述 (10)
3.1 产品综述 (10)
3.2 特点说明 (10)
3.3 产品系列简介 (13)
4 体系架构说明 (14)
4.1 产品构成 (14)
4.2 硬件结构 (14)
4.3 软件结构 (16)
4.4 管理结构 (18)
5 关键技术 (20)
5.1 多核智能驾驭技术 (20)
5.2 基于行为分析的合法性检查技术 (21)
5.3 基于标签的融合式综合匹配技术 (23)
5.4 事件关联分析技术与归并处理机制 (24)
5.5 应用层协议类型识别技术 (25)
5.6 高速深层检测技术 (27)
5.7 智能内容过滤技术 (30)
5.8 数据监控NetFlow技术 (32)
5.9 非法连接过滤技术 (33)
5.10 完美融合终端安全 (34)
6 产品资质 (36)
1概述
诞生20多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重,在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术语里,有一个名词叫做“安全域”,其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界,定义出各自的安全领域。举个简单的例子,在PC上安装了相关的杀毒软件,PC本身就是一个最简单的安全域。对于单位用户,安全域往往由若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网络的边界等。
防火墙是过去解决网络边界安全的重要网关设备,它主要工作在网络层之下,通过对协议、地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的攻击。
近年来,安全威胁呈现了“多、快、高”的发展趋势。“多”是指安全事件数量多,据国际CERT组织统计,2000年的安全事件数量不足2万,而2007年的数量已经逼近100万;“快”是指安全威胁入侵的蔓延速度快、发现漏洞后攻击出现的时间快,最新的蠕虫病毒可以在几分钟之内就蔓延到全球范围,新的漏洞公布后几个小时就出现针对漏洞的攻击行为或工具;“高”是指安全威胁的层次越来越高,目前的威胁多数已经从网络层发展到应用层,包括入侵、蠕虫、P2P滥用等。
面对安全威胁的发展趋势,防火墙已经显得无能为力,它无法检测出封装在有效数据内的恶意威胁与攻击,也无法检测和控制对企业网络资源进行滥用的IM、P2P软件。在这种情况下,融合多种安全能力,能够针对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现深层控制的UTM设备应运而生。
2安全网关技术发展方向
2.1UTM是安全网关发展的方向
UTM(Unified Threat Management)统一威胁管理设备是指通过安全策略的统一部署,融合多种安全能力,针对对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现深层控制的高可靠、高性能、易管理的网关安全设备。
UTM概念最早出现在2002年,当时由于混合网络威胁的出现,为了满足用户对防火墙、IDS、VPN、反病毒等产品的集中部署与管理需求,一些安全厂商提出将多种安全技术整合在同一个产品当中,这便是UTM的雏形。2004年,IDC正式提出UTM的概念。
网络建设者通常需要在网络边际上面对五、六家厂商的安全产品,这带来诸多不便,尽管这些产品各自解决不同的安全问题,但是串接在网关处,不仅带来兼容性问题,而且性能也受到影响,总体安全性不理想。实质上,接入安全的实施正在由原来简单的防火墙式的边界防御向立体化的边界防御转移,在包过滤技术之上,融合了多种威胁控制管理措施的安全网关,即UTM,能够大大降低安全系统构建的复杂性,简化产品集成、配置和服务支持的工作量,符合用户未来的应用心理和需求,是未来安全网关发展的方向。
UTM出现以来,许多用户甚至安全厂商对UTM存在不少认识上的误区,认为只要把一系列安全产品简单相加就是UTM了。这种认识只强调了UTM概念的外延,仅仅看到了UTM的表象。
事实上,从产品设计或技术实现的角度来看,UTM并不能简单地理解为多种高端技术和设备的集大成者。如果仅仅是把多项功能模块生硬地堆积在一起,则很可能产生兼容性、性能等瓶颈,并不能实现UTM 的设计初衷。UTM是一种革命性的一体化的设计,不但综合了各项功能需求,还要能够降低用户购买成本,同时在统一处理的前提下,更好地把握产品性能和稳定性。
就安全网关类产品而言,UTM既然不是单项产品的简单相加,那么两者自然也不能简单地相互替代。一切都取决于用户的实际需求。用户面临什么威胁,就要着力解决什么问题。如果用户的网络架构比较简单,只有内部网络,传统
的产品和方案也许就可以解决问题,没有必要再购买UTM。而目前大部分用户面临着来自互联网的混和威胁,则需要集成多种功能的UTM。用户进行安全建设应考虑自身需求的特殊性,如果网络所面临的威胁只来自于一个方面,那么单项产品是能满足安全需要的;反之,对于大多数用户网络面临的安全威胁纷繁复杂,安全需求非常高,UTM则是更理想的选择。
对于非安全网关类产品而言,UTM与它们更多的是互补关系,都是整体安全解决方案的一部分。例如与入侵检测类产品的关系,UTM是串联网关式的防御阻断类产品,入侵检测是旁路监听式检测类产品;它们的部署方式和所起作用不同,尤其是网关产品要解决可靠性稳定性和防止误报的问题,检测产品要解决敏感性完整性和防止漏报的问题;他们之间不能互相取代,各自在发挥独特的重要作用,使得网络安全保障形成一个有效体系。在这个大的体系中,UTM 的出现将使得串联网关式的多种产品得到有效的整合,在网络边界树起了强大的立体防线,用户不再需要在网络边际上部署一连串的安全设备,在管理和成本上都将为用户带来极大的效益。
对于UTM未来的发展趋势,统一化、标准化是必然的道路。尽管各大安全厂商的技术和产品各有千秋,但用户面临的问题却具有极大的共性,几乎都来源于具有标准化特征的互联网,用户的现实需求必将推动UTM同业者共同实现UTM的标准化。
同时,UTM还将实现更完善的、软硬一体的模块化。未来的网络必然会不断出现新的威胁,用户可能需要适时在UTM中增加新模块,以解决新的安全问题。这就要求UTM能够实现便捷的升级,让用户不必大动干戈地改造网络,而只是通过增加新的功能模块、升级软件系统,就能增强防御能力。
2.2UTM与NGFW的关系
近期,在业界又出现了一个新的网关类型NGFW,并被部分厂商描述为网关的演进方向。那么,什么是NGFW?NGFW和UTM又有什么关系呢?
启明星辰认为,NGFW与UTM在技术层面并不存在重大差异。对这两类产品准确的描述是:UTM更多的是从管理角度阐述下一代网关应具备的功能和作用,而NGFW 更倾向于技术细节的阐述。这两个名词,分别由国际两大咨
询机构IDG和Gartner所定义,无论名称叫什么,其内在实质均代表了安全网关的演进方向,且基本思路一致。
从这个意义上说,NGFW就是一种具象化的、更偏重行为管理的UTM。
2.3UTM产品发展技术方向
UTM的技术实现方式主要有三种:一种是在防火墙的基础上增加防病毒、IPS等功能;一种是在IPS的基础上增加防火墙、防病毒等功能;还有一种从UTM的实际意义出发,进行统一规划和设计。前两种方式大多是防火墙厂商或IPS厂商在原来技术和设备基础上不断添加新的技术和设备,整体设计思路并不完备,很容易受到原来设计思路的限制,各个功能模块的安全等级也并不对等,由此产生的UTM并不理想。而按照一体化思想进行统一设计的UTM将朝如下方面发展:
2.3.1向深层过滤发展、支持更多应用协议
当前,攻击行为呈现多层次化;与以往不同的是攻击不再以网络层为主,信息本身的安全越来越被人们所重视。这些攻击包括:非法信息传输、病毒传播、恶意软件的传播与注入、资源滥用、利用服务器漏洞进行应用层攻击等;这种现状要求安全设备具有更加全面的检测能力,不仅仅对信息载体(网络层面数据)进行分析,更要对信息本身进行全面的分析,只有这样才能有效的识别出高层次的攻击行为。
另外,很多恶意者已经不单单利用传统的HTTP、MAIL协议进行攻击了,即时通讯软件协议以及其他应用于互联网的协议也成为了恶意者实施攻击的承载协议,对这些协议进行完善的内容过滤显得越来越必要,新型的UTM产品将逐步出现可防范利用这些协议进行攻击的功能。
2.3.2新的算法,满足一体化设计要求
为了解决简单叠加的松耦合状态,也就是一个数据流通过UTM设备时要串行的通过多个安全功能模块的分析检查,导致产品整体性能不高的问题,就要采用一体化设计思想,使各个模块间以紧耦合方式存在,众多安全功能可以并行工作,则会大大提高系统的整体性能。
但UTM类产品的多功能特性为一体化设计带来困难,因为多功能模块数据结构差别巨大,算法亦有很大差别。必须设计出新的更加智能的算法,可以适用于UTM产品的各个模块。这样才能保证一体化设计的高效率和攻击分析的高准确性。
2.3.3高性能的分布式运算硬件平台
UTM产品的多功能、快速更新等特点决定了网络处理器或ASIC不完全适合作为其硬件平台。相对而言具有广普运算能力的通用CPU更加适合UTM产品需要,但UTM需要更高性能的CPU。而最近2年,两大主力厂商Intel与AMD在处理器发展道路上都遇到了同样的问题:频率提升越来越困难。在高频产品行不通的时候,双核/多核技术几乎是未来提升处理器性能的唯一解决方案。多核心技术也就自然而然的成为了UTM产品硬件平台的有效选择。
但并不仅仅是更换硬件这么简单,为了适用于多核心硬件平台,软件应该具有分布运算能力,否则无法有效发挥多核心硬件的效能,而分布式软件的开发难度较大,对厂家的技术能力要求非常高。因此采用多核心硬件技术,开发更加复杂的分布式软件系统是UTM类产品开发的一条机遇与挑战并存的路径。
2.3.4终端边界融合,实现纵深防御
计算机和网络技术的发展,让网络安全的势态出现了变化,用户在关注传统网关安全的同时,越来越重视终端和内部网络的安全。但目前终端和边界的防护通常是孤立起来考虑,互相之间难以形成有效的配合,将网关安全和终端安全产品组合在一起,形成更加有效、易用的纵深防御体系,这种安全的新思维逐渐成为趋势。
这种组合或者融合的安全理念,不管是对UTM还是对终端防护,都有着重要的意义:一方面,随着接入方式的多样化和移动办公的日益普遍,终端正在成为新的网络边界,风险也随之而来,我们需要能在网关处掌控终端的安全状况;另一方面,在网关处也面临着诸多像ARP攻击、P2P防控之类的难题,这些问题的根源都在内网,通过网关进行控制治标不治本,只有从终端入手,才能做到精确的控制。
同终端安全产品进行融合,既能增强UTM已有的防护能力,又能将防御
面积从网关扩展到终端,实现完整的纵深防御,因此必然是UTM下一步的发展方向。
2.4多核将成为UTM的最佳承载平台
经过近十几年的发展,中国的信息安全产业发展很快,用户的需求也已经比较成熟,各行业用户对安全建设非常重视,这对信息安全产品提出了更高的、更深的要求。信息安全建设有一个明显的趋势就是“从脆弱性安全向结构性安全转变”,这要求信息安全建设要站在网络和应用整体角度来考虑。而从网络设备角度看,路由器、交换机等网络设备通常都采用专有硬件平台,具备电信级的可用性和可靠性,而安全设备通常基于X86平台构建,在可用性和可靠性上难以同路由器、交换机设备相比,这就降低了整个网络的可用性与可靠性。UTM 作为安全网关设备,在网络中处于非常关键的边界位置,网络安全设备在这个体系里面也就成为一个短板。
要“补长”这个短板,就需要安全设备采用专有的硬件平台,提高可靠性和可用性。目前专用硬件平台一般有NP、ASIC、多核三种。NP网络处理器架构具有比较高的灵活性,在性能方面由于x86架构在多安全策略环境下,NP性能下降得比较多,这使得NP不适合作为UTM的硬件架构;ASIC架构具有很高的性能,但是由于ASIC灵活性较差,仅能按照简单的策略进行数据处理,无法对应用层业务进行安全防护,因此无法推广到UTM设备上。由于UTM对于性能和功能都有很高的要求,若要在性能和功能之间寻找一种平衡,那么多核恰恰可以实现这个平衡。多核硬件平台的数据转发速度可以达到10Gbps以上,同时具备很强的灵活性,采用常用的底层编码工具就可以进行编程,不需要专门的硬件和代码工具,这使得多核成为UTM最佳的硬件平台。
在国外,部分UTM设备厂商从2005年开始就在朝多核方向发展,Sonicwall 等厂商目前已经推出比较成熟的多核UTM设备,现在几乎所有的国外UTM厂商也都在将硬件平台迁移到多核架构上。在国内,启明星辰公司从2006年起便投入多核技术的研究与产品化,推出了成熟商用的全系列UTM产品,这对国内多核技术的发展起到了很好的推动作用。
UTM的硬件平台向多核迁移的趋势已经非常明确,按照目前的速度,2010
年底之前市场上的UTM几乎全都可以迁移到多核硬件平台上。这将使UTM,甚至所有的信息安全设备都不再是信息安全建设的“短板”,对“脆弱性安全向结构性安全的转变”将起到重要的基础支撑作用。
3产品综述
3.1产品综述
作为中国UTM市场的领导者,启明星辰不断通过技术革新带给用户更高价值的UTM产品。天清汉马USG一体化安全网关采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计,集防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤、NetFlow等多种安全技术于一身,高性能、绿色低碳,同时全面支持虚拟防火期、IPv6、路由、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
除此之外,天清汉马USG一体化安全网关还融合了内网安全特性,能够为终端PC下发安全客户端,同步内网安全策略,并根据安全客户端的检查结果对终端PC进行准入控制。
天清汉马USG一体化安全网关采用了一体化的设计方案,在一个产品中协调统一地实现了接入安全需要考虑的方方面面,采用天清汉马USG一体化安全网关,可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维护管理而苦恼,天清汉马USG一体化安全网关是低成本、高效率、易管理的理想解决方案。
天清汉马USG一体化安全网关产品线丰富,可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。
自从天清汉马USG一体化安全网关推向市场以来,很快就凭借其强大的功能和在实际应用中优异表现,赢得了众多机构和用户的广泛赞誉。
3.2特点说明
天清汉马USG一体化安全网关具有如下特点:
完善的防火墙特性
?支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文
件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制
?支持流量管理、连接数控制、IP+MAC绑定、用户认证等
?支持虚拟防火墙
I PS-坚固的防御体系
?业界最完善的攻击特征库,包括50多类,超过2000项的入侵攻击特征?漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门
?应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥
?网络异常分析技术,全面防止拒绝服务攻击
业界领先的网络防病毒技术
?防范文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色
软件、ARP病毒,病毒库总计>600,000
?病毒类型根据危害程度划分为:流行库、高危库、普通库
?智能还原技术实现对常见压缩文件的查毒。
?同时具备国际和国内最佳的防病毒特征库,为用户提供最佳的病毒查杀
功能。
简单高效的内网安全
?统一的安全防护体系:安全边界延伸至终端,实现基于“网关”的网络
防火墙和基于“终端”的主机防火墙双重融合。
?增强的上网行为管理:将上网行为的控制与流量管理细化至主机进程
级,控制精度进一步提升。
?可靠的网络准入控制(NAC):实现基于主机进程、防病毒软件病毒库
版本、操作系统补丁等多个安全环节相结合的准入控制。
?全面的内网合规管理:提供终端安全加固、外设接入控制、补丁分发管
理、终端远程监控等多项终端合规管理。
?智能的内网攻击防护:网关与终端相配合提供高效的ARP攻击防范、
DOS攻击防范和病毒防范。
?简单的终端部署管理,客户端统一分发,安全策略统一配置,客户端集
中自动升级。
多种手段全面清除垃圾邮件
?自学习的贝叶斯算法智能区分垃圾邮件
?防邮件炸弹,提供单一邮件服务器发起的邮件连接数限制
?发送者认证、接收者认证及关键字检查
?黑名单、白名单、可追查性检查
?病毒扫描、附件类型和附件大小过滤、关键字过滤等
安全丰富的VPN使组网变得简单
?多VPN支持:GRE、IPSec、L2TP、SSL VPN
?丰富的应用:专用的VPN客户端、USBKEY、动态口令卡、图形认证
码
?灵活的部署:Hub-Spoken、Full-Mesh、DVPN、网关-网关的SSL VPN 完善的上网行为管理能力
?P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
?IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持
主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype
?流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、
PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
?网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联
众游戏大厅等的阻断
?股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断?基于云的URL过滤:基于云技术,为用户提供互联网网站的分类过滤
功能,并基于云模式实现实时更新。
强大的日志报表功能
?记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、
Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等
进行记录
?日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键
字等进行查询
?报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定
制企业LOGO,并可形成多种格式的报表文件。
方便的集中管理功能
?通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、
集中升级和拓扑展示。
3.3产品系列简介
天清汉马USG一体化安全网关具有丰富的产品型号,可以满足不同规模用户的需求。天清汉马USG产品线型号分布如下:
图https://www.doczj.com/doc/ae2285958.html,G产品线型号分布
4体系架构说明
4.1产品构成
天清汉马USG一体化安全网关主要由两部分组成:USG网关和天清集中管理与数据分析中心。
USG网关:即部署在网络出口,融合多种安全能力,针对恶意攻击、非法活动和网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设备。
天清集中管理与数据分析中心:主要功能分为集中管理功能与数据分析功能,集中管理是对USG系列的集中管理、统一监控和升级中心,通过它可以集中配置、监控和管理所管辖的多台USG网关,并按照一定的规则组织成层次结构,方便管理员对于整网USG网关的监控维护工作;数据分析是USG网关海量信息的后台处理中心。主要完成USG网关日志和流量信息的存储、分析、审计和处理功能。天清集中管理与数据分析中心不但能完成对全系列USG产品的同台管理,而且可实现启明星辰USG系列、USG-FW系列和NIPS系列产品的同台管理。
4.2硬件结构
随着Internet的迅速普及,一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷,且变化越来越快,危害越来越大;另一方面,随着网络应用的增加,对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线,究竟何种硬件架构最适合UTM产品?
要满足未来信息安全产品适应信息高速膨胀的发展趋势,提升开放平台的硬件性能,即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下,多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU,而是在网络、安全设备上最新使用的基于MIPS64的多核SoC(System on Chip)处理器,此类多核SoC处理器目前可支持到16核,并随着安全计算需求的不断增加而继续提升。
相比X86、NP、ASIC硬件平台,SoC多核平台的最大优势是保留了X86平台的高灵活性(这一点对于安全设备的应用层检测非常关键),同时具备与ASIC平台相当的高处理性能。同时,通过增加核数,使线性提升硬件计算能力成为了可能,更重要的是功耗也随之得到了控制(图2)。
图2.不同硬件架构比较
多核架构在支撑灵活性和高性能的同时,带来的另一个卓有成效的经济效益是低碳、节能。
对信息安全产品而言,减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核,核与核之间可以协同工作,同时在各个核周边还集成了丰富的安全协处理硬件,如硬件加密、正则匹配和应用加速等,高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用,对于X86通用硬件平台,需要1颗甚至多颗高频率CPU,同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等,一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试,多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。
在高效能、低炭排放的同时,多核架构带给信息安全产业的另一个优势为
高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度,硬件的简化促使故障率可以降低到1%以下(X86平台故障率通常为5%以上),达到电信级标准。
图3.天清汉马USG基于MIPS64的多核硬件架构
为了满足云计算的安全趋势,2010年启明星辰USG全系列产品全面切换为基于MIPS64的多核SoC硬件架构,为用户网络提供更加安全、高效、可靠、环保和节能的安全网关产品。
4.3软件结构
UTM作为网关类产品,究竟什么样的软件结构更有利于提升整体性能?那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证,得出网关类产品性能消耗50%来自于模式匹配,25%来自于协议重组、25%来自于报文重组的结论。
图4.网关分析处理引擎性能消耗分析
UTM作为统一威胁管理类产品,功能涵盖了入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等多项功能,那么必然包含多项的分析处理引擎,如何融合分析处理引擎,合并性能消耗关键业务单元成为UTM产品软件结构设计首要考虑的问题。
基于以上研究数据,启明星辰在天清汉马USG一体化安全网关的软件结构设计上引入了一体化的设计理念。即将入侵防御、防病毒、防垃圾邮件、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计,以达到性能最优的目的。
图5.普通叠加式UTM采用叠加式分析处理引擎
因为模式匹配是分析处理引擎的关键性能消耗单元,因此,分析处理引擎的一体化首先是模式匹配单元的融合。对于不同的功能模块,模式匹配是基于不同特征库的,因此模式匹配的融合主要是特征库的统一。
图6.天清汉马USG一体化分析处理引擎
天清汉马USG一体化安全网关实现了特征库的统一,通过对病毒特征库、
入侵特征库、内容过滤特征库、垃圾邮件特征库等统一进行格式化和归并处理,并采用标签的方式转发到不同模块的处理引擎进行分项处理。完全实现了分析处理引擎的一体化设计,极大的提高了多功能模块同时运行时的运行效率。
图7.天清汉马USG总体软件结构
天清汉马USG一体化安全网关本着安全高效原则,采用“检测与控制相分离,引擎特征相统一”的一体化设计思想,最终形成了以上的总体软件结构。其中包括,人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库,网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处理模块,防火墙进行2-3层过滤,VPN负责接入控制;其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找;最后,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。
4.4管理结构
优秀的管理系统是产品能否有效利用的关键,天清汉马USG一体化安全网关提供了灵活且丰富的管理系统。包括简洁的单机管理器,也包括适合网关批量部署的分布式的集中统一管理中心;既提供了设备配置管理能力,又提供了
强大的数据分析能力。产品的管理结构具体如下图:
图8.天清汉马USG管理结构示意图
天清汉马USG一体化安全网关提供集中管理和单机管理相结合的双重管理机制。在USG网关软件中集成了Web Server和Manage agent功能,Web Server 提供本地单机方式的Web管理;Manage agent提供集中管理和数据分析中心的信息采集和发送任务。整个传输过程采用SSL加密机制。
天清汉马USG一体化安全网关的双重管理结构实现了“管理分层,功能分级”的管理思想,一方面USG网关自身的Web Server提供了单机的Web管理机制,用于进行详细的功能设置;集中管理功能通过内置在USG网关中的Manage agent获取系统状态信息、流量信息和版本信息,用于进行整体的设备状态显示。同时以分组的方式管理设备,以组为单位进行远程统一配置、升级等操作,并可以将管理的USG网关按照一定的规则进行组织成层次结构,便于用户逻辑的标识所管理的设备。