網(wǎng)絡(luò)安全設(shè)備2——DDOS、流量監(jiān)控、審計、上網(wǎng)行為、NGFW、UTM

編輯：admin 2025-05-08 瀏覽：291 次

目錄一覽：

馬赫是什么意思？1馬赫速度到底有多快？相當(dāng)于每小時多少公里？ “音爆”是怎樣產(chǎn)生的？為什么我們看不到聲音，卻能看到音爆？

【轉(zhuǎn)】接上篇——

安全設(shè)備篇（7）——抗DDOS產(chǎn)品

DDOS攻擊隨著互聯(lián)網(wǎng)的快速發(fā)展，日益猖獗，從早期的幾兆、幾十兆，到現(xiàn)在的幾十G、幾十T的流量攻擊，形成了一個很大的利益鏈。DDOS攻擊由于容易實(shí)施、難以防范、難以追蹤，成為最難解決的網(wǎng)絡(luò)安全問題之一，給網(wǎng)絡(luò)社會帶來了極大的危害。同時，拒絕服務(wù)攻擊也將是未來信息戰(zhàn)的重要手段之一。

DOSDDOS

DOS是英文“denial-of-serviceattack”的縮寫，中文意思是“拒絕服務(wù)攻擊”，亦稱洪水攻擊，是一種網(wǎng)絡(luò)攻擊手法，其目的在于使目標(biāo)電腦的網(wǎng)絡(luò)或系統(tǒng)資源耗盡，使服務(wù)暫時中斷或停止，導(dǎo)致其正常用戶無法訪問。

DDOS是英文“distributeddenial-of-serviceattack”的縮寫，中文意思是“分布式拒絕服務(wù)攻擊”，與DOS的區(qū)別在于，當(dāng)黑客發(fā)動攻擊時，會使用網(wǎng)絡(luò)上兩個或兩個以上被攻陷的電腦作為“僵尸”向特定的目標(biāo)發(fā)動“拒絕服務(wù)”式攻擊。

DDoS攻擊現(xiàn)象

1.被攻擊主機(jī)上有大量等待的TCP連接。

2.網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假。

3.制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊。

4.利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時處理所有正常請求。

5.嚴(yán)重時會造成系統(tǒng)死機(jī)。

DDOS攻擊方式

DDOS攻擊有兩種形式：帶寬消耗型以及資源消耗型。它們都是透過大量合法或偽造的請求，占用大量網(wǎng)絡(luò)以及器材資源，以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的。

帶寬消耗型攻擊

DDOS帶寬消耗攻擊分為兩個不同的層次：洪泛攻擊或放大攻擊。

資源消耗型攻擊

通過攻擊，將被攻擊機(jī)器的系統(tǒng)內(nèi)存和處理器資源耗盡。

DDOS的類型及常見攻擊方式

DDOS攻擊主要分為三類：流量型攻擊；連接型攻擊；特殊協(xié)議缺陷。有以下常見攻擊：

IPFlood

SynFlood

Udp反射Flood

DnsQueryFlood

DnsReplyFlood

HttpFlood

HttpsFlood

SipInviteFlood

SipRegisterFlood

NtpRequestFlood

NtpReplyFlood

ConnectionFlood

CC攻擊

httpslowheader慢速攻擊

httpslowpost慢速攻擊

Https-ssl-dos攻擊

DnsNX攻擊

Dns投毒

ICMPFlood

死亡之Ping

淚滴攻擊

UDP洪水攻擊（UserDatagramProtocolfloods）

抗DDOS產(chǎn)品防御方式

拒絕服務(wù)攻擊的防御方式通常為擴(kuò)大帶寬、入侵檢測，流量過濾和多重驗(yàn)證，旨在堵塞網(wǎng)絡(luò)帶寬的流量將被過濾，而正常的流量可正常通過。

大多數(shù)防火墻，IPS產(chǎn)品都附帶了抗DDOS攻擊的功能，但是，由于它們本身對數(shù)據(jù)的處理機(jī)制，造成不能夠準(zhǔn)確的檢測出DDOS攻擊數(shù)據(jù)包和正常數(shù)據(jù)包，因此，它們對DDOS攻擊的處理方式和專業(yè)的抗DDOS攻擊設(shè)備還是有很大不同的。實(shí)際網(wǎng)絡(luò)中最常使用的就是抗DDOS防火墻。

安全設(shè)備篇（8）——流量監(jiān)控

網(wǎng)絡(luò)流量監(jiān)控在網(wǎng)絡(luò)管理、入侵監(jiān)測、協(xié)議分析、流量工程等領(lǐng)域有著廣泛應(yīng)用，網(wǎng)絡(luò)流量監(jiān)控是網(wǎng)絡(luò)流量特征歸納、網(wǎng)絡(luò)行為分析的重要基礎(chǔ)，是網(wǎng)絡(luò)安全最重要的組成部分。

流量監(jiān)控重要性

內(nèi)網(wǎng)各個主機(jī)之間的通訊，都是通過數(shù)據(jù)包來完成的，在數(shù)據(jù)包中標(biāo)識了通訊內(nèi)容、通訊協(xié)議、發(fā)送源地址以及發(fā)送目的地址信息，可以通過分析這些數(shù)據(jù)，了解當(dāng)前網(wǎng)絡(luò)的運(yùn)行情況，在第一時間排查故障。一些常見的病毒入侵、網(wǎng)絡(luò)性能問題、網(wǎng)絡(luò)異常行為都可以通過分析數(shù)據(jù)包來發(fā)現(xiàn)故障源頭。

流量監(jiān)控常用技術(shù)

基于主機(jī)內(nèi)嵌軟件監(jiān)測

基于主機(jī)內(nèi)嵌軟件的流量監(jiān)測，在主機(jī)內(nèi)安裝流量監(jiān)測軟件以完成流量監(jiān)測任務(wù)。通過軟件套接字嵌入軟件截獲往返通信內(nèi)容。該方式能夠截獲全部通信報文，可以進(jìn)行各種協(xié)議層的分析，但不能看到全網(wǎng)范圍的流量情況。

基于流量鏡像協(xié)議分析

流量鏡像（在線TAP）協(xié)議把網(wǎng)絡(luò)設(shè)備的某個端口（鏈路）流量鏡像給協(xié)議分析儀，通過7層協(xié)議解碼對網(wǎng)絡(luò)流量進(jìn)行檢測。協(xié)議分析是網(wǎng)絡(luò)監(jiān)測最基本的手段，特別適合網(wǎng)絡(luò)故障分析，但是只針對單條鏈路，不適合全網(wǎng)監(jiān)測。

基于硬件探針監(jiān)測

硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時將它串接在需要捕獲流量的鏈路中，通過分流鏈路上的數(shù)字信號獲取流量信息。一個硬件探針監(jiān)測一個子網(wǎng)的流量信息（通常是一條鏈路）。對于全網(wǎng)的監(jiān)測需要采用分布式方案，在每條鏈路部署一個探針，再通過后臺服務(wù)器和數(shù)據(jù)庫，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長期報告。該方式，能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但受限于探針的接口速率，一般只針對1000M以下的速率，著重單條鏈路的流量分析。

基于SNMP協(xié)議的流量監(jiān)測

基于SNMP協(xié)議的流量監(jiān)測，通過網(wǎng)絡(luò)設(shè)備MIB收集一些具體設(shè)備及流量信息有關(guān)的變量。包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出包數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等，類似方式還包括RMON。該方式，使用軟件方法實(shí)現(xiàn)，不需要對網(wǎng)絡(luò)進(jìn)行改造或增加部件、配置簡單、費(fèi)用低。但是只包括字節(jié)數(shù)、報文數(shù)等最基本的內(nèi)容，不適用于復(fù)雜的流量監(jiān)測。

基于Netflow的流量監(jiān)測

基于Netflow的流量監(jiān)測，提供的流量信息擴(kuò)大到了基于五元組（源IP地址、目的IP地址、源端口、目的端口、協(xié)議號）的字節(jié)數(shù)和報文數(shù)統(tǒng)計，可以區(qū)分各個邏輯通道上的流。該監(jiān)測方法，通常需要在網(wǎng)絡(luò)設(shè)備上附加單獨(dú)的功能模塊實(shí)現(xiàn)。

基于鏡像端口的流量監(jiān)測

端口鏡像（PortMirroring）能夠把交換機(jī)一個或多個端口（VLAN）的數(shù)據(jù)鏡像到一個或多個端口。當(dāng)沒有設(shè)置鏡像端口針對本地網(wǎng)卡進(jìn)行監(jiān)控時，所能捕獲的僅僅是本機(jī)流量以及網(wǎng)絡(luò)中的廣播數(shù)據(jù)包、組播數(shù)據(jù)包，而其他主機(jī)的通訊數(shù)據(jù)包是無法獲取的。對于交互式網(wǎng)絡(luò)來說，可以在交換機(jī)或路由器上設(shè)置鏡像端口，指定交換機(jī)多個或所有端口鏡像到一個端口，這樣通過連接該端口并監(jiān)控，就可以捕獲多個端口的總流量數(shù)據(jù)。該方式能夠很容易獲取全網(wǎng)的流量數(shù)據(jù)，但對于分析系統(tǒng)的接收性能以及網(wǎng)絡(luò)帶寬要求較高。

流量監(jiān)控的意義

流量監(jiān)控有利于及時了解整個網(wǎng)絡(luò)的運(yùn)行態(tài)勢、網(wǎng)絡(luò)負(fù)載情況、網(wǎng)絡(luò)安全狀況、流量發(fā)展趨勢、用戶行為模式、業(yè)務(wù)與站點(diǎn)的接受程度，為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要依據(jù)，有利于管理人員進(jìn)行網(wǎng)絡(luò)性能分析、異常檢測、鏈路狀態(tài)監(jiān)測、容量規(guī)劃等工作。

流量監(jiān)控為流量分析提供了基礎(chǔ)數(shù)據(jù)（流量分析主要從帶寬、網(wǎng)絡(luò)協(xié)議、基于網(wǎng)段的業(yè)務(wù)、網(wǎng)絡(luò)異常流量、應(yīng)用服務(wù)異常等五個方面進(jìn)行流量分析）。在一個復(fù)雜的網(wǎng)絡(luò)環(huán)境中，必須保證重要應(yīng)用的帶寬需求，通過基于帶寬的網(wǎng)絡(luò)流量分析，能夠及時明確帶寬使用情況，帶寬不足時，可以盡快解決。針對不同網(wǎng)絡(luò)協(xié)議進(jìn)行流量監(jiān)控和分析，如果某一協(xié)議在一個時間段內(nèi)出現(xiàn)超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現(xiàn)。大多數(shù)組織，將不同業(yè)務(wù)系統(tǒng)通過VLAN進(jìn)行邏輯隔離，流量系統(tǒng)可以針對不同的VLAN進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，以監(jiān)控業(yè)務(wù)系統(tǒng)是否異常。

安全設(shè)備篇（9）——安全審計產(chǎn)品

什么叫安全審計

網(wǎng)絡(luò)安全審計（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程，它是提高系統(tǒng)安全性的重要手段。

安全審計分類

網(wǎng)絡(luò)安全審計從審計級別上可分為3種類型：系統(tǒng)級審計、應(yīng)用級審計和用戶級審計。

系統(tǒng)級審計

系統(tǒng)級審計主要針對系統(tǒng)的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設(shè)備、登入后運(yùn)行程序等事件信息進(jìn)行審查。典型的系統(tǒng)級審計日志還包括部分與安全無關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。這類審計卻無法跟蹤和記錄應(yīng)用事件，也無法提供足夠的細(xì)節(jié)信息。

應(yīng)用級審計

應(yīng)用級審計主要針對的是應(yīng)用程序的活動信息，如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯、刪除記錄或字段等特定操作，以及打印報告等。

用戶級審計

用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認(rèn)證操作，用戶所訪問的文件和資源等信息。

常見安全審計產(chǎn)品

根據(jù)系統(tǒng)審計對象和審計內(nèi)容的不同，常見的審計產(chǎn)品包括：網(wǎng)絡(luò)安全審計、數(shù)據(jù)庫安全審計、日志審計、運(yùn)維安全審計等。

網(wǎng)絡(luò)安全審計設(shè)備

1.網(wǎng)絡(luò)安全審計設(shè)備主要審計網(wǎng)絡(luò)方面的相關(guān)內(nèi)容。針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。

2.滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護(hù)措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險防范。

3.通常采用旁路部署模式，通過在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設(shè)備。

數(shù)據(jù)庫安全系統(tǒng)

1.數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為。

2.審計對數(shù)據(jù)庫的各類操作，精確到每一條SQL命令，并有強(qiáng)大的報表功能。

3.通常采用旁路部署模式，通過在核心交換機(jī)上設(shè)置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設(shè)備。

日志審計設(shè)備

1.日志審計產(chǎn)品集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對信息系統(tǒng)日志的全面審計。

2.日志審計產(chǎn)品通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，及時發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業(yè)務(wù)的不間斷運(yùn)營安全。

3.通常旁路模式部署。通常由設(shè)備發(fā)送日志到審計設(shè)備，或在服務(wù)器中安裝代理，由代理發(fā)送日志到審計設(shè)備。

運(yùn)維安全審計系統(tǒng)（堡壘機(jī)）

1.在一個特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自內(nèi)部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露，而運(yùn)用各種技術(shù)手段實(shí)時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、記錄、分析、處理的一種技術(shù)手段。

2.運(yùn)維安全設(shè)計系統(tǒng)主要是針對運(yùn)維人員維護(hù)過程的全面跟蹤、控制、記錄、回放，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤回放。

3.通常采用旁路模式部署。使用防火墻對服務(wù)器訪問權(quán)限進(jìn)行限制，只能通過堡壘機(jī)對網(wǎng)絡(luò)設(shè)備/服務(wù)器/數(shù)據(jù)庫等系統(tǒng)操作。

安全審計作用

安全審計對系統(tǒng)記錄和行為進(jìn)行獨(dú)立的審查和估計，主要作用如下：

1.對可能存在的潛在攻擊者起到威懾和警示作用，核心是風(fēng)險評估。

2.測試系統(tǒng)的控制情況，及時進(jìn)行調(diào)整，保證與安全策略和操作規(guī)程協(xié)調(diào)一致。

3.對已出現(xiàn)的破壞事件，做出評估并提供有效的災(zāi)難恢復(fù)和追究責(zé)任的依據(jù)。

5.協(xié)助系統(tǒng)管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。

安全設(shè)備篇（10）——上網(wǎng)行為管理

員工隨意使用網(wǎng)絡(luò)將導(dǎo)致很多問題，例如：工作效率低下、網(wǎng)速越來越慢、安全隱患不斷、信息和機(jī)密外泄、網(wǎng)絡(luò)違法行為。

什么是上網(wǎng)行為管理

上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用。其包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。

亟待解決的五大難題

缺乏有效統(tǒng)計方法，不了解網(wǎng)絡(luò)的使用情況

對于網(wǎng)絡(luò)的使用情況、有限的公網(wǎng)出口帶寬的占用情況、用戶最常發(fā)生的網(wǎng)絡(luò)訪問行為、TOP10用戶最常訪問的網(wǎng)站等，IT管理者無法掌握真實(shí)情況，只能靠部分員工的反映和抱怨，通過簡單記錄一些IP的訪問情況，查詢和審計非常不方便。

無法做到細(xì)致的訪問控制

因?yàn)樾枰@取外部信息和資源，公司需要與Internet實(shí)現(xiàn)互聯(lián)，通過Email等軟件系統(tǒng)，內(nèi)網(wǎng)員工不僅可以與合作伙伴、第三方單位保持溝通，而且外網(wǎng)用戶也可以通過Internet訪問公司內(nèi)部的網(wǎng)站、FTP下載服務(wù)器等。

但是如果沒有完善的互聯(lián)網(wǎng)訪問權(quán)限控制手段，而僅僅依靠傳統(tǒng)的防火墻等設(shè)備，將無法有效管控內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)訪問行為。內(nèi)網(wǎng)員工在上班時間使用QQ、MSN、微信等聊天，瀏覽各種網(wǎng)站（甚至黃色、反動網(wǎng)站），BBS、論壇發(fā)帖（包括不負(fù)責(zé)任的反動言論等），在線炒股、網(wǎng)絡(luò)游戲娛樂等，不僅降低了工作效率，甚至通過Email泄露機(jī)構(gòu)機(jī)密信息，給機(jī)構(gòu)帶來直接經(jīng)濟(jì)損失，還可能引起不必要的法律糾紛。

無法有效管理帶寬流量，業(yè)務(wù)系統(tǒng)帶寬需求

公司現(xiàn)有的公網(wǎng)出口帶寬通常都比較有限。一個帶寬2M的Internet出口，即使有兩個內(nèi)網(wǎng)用戶全速下載BT、網(wǎng)盤等，其他用戶和業(yè)務(wù)系統(tǒng)的訪問和開展都會極其緩慢，甚至完全不可用。而IT管理者一方面無法有效的獲知公司現(xiàn)有帶寬資源的使用情況和利用率，同時對于各種P2P等非業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)訪問行為也無法有效管控。

無法保證客戶端的端點(diǎn)安全性

類似于木桶原理，內(nèi)網(wǎng)網(wǎng)絡(luò)安全的等級取決于安全最薄弱的環(huán)節(jié)。如果有內(nèi)網(wǎng)員工的終端設(shè)備使用陳舊的操作系統(tǒng)、不更新操作系統(tǒng)補(bǔ)丁、不安裝指定的殺毒/防火墻軟件、甚至不更新，反而使用和安裝公司不允許的軟件，都將造成該終端設(shè)備成為內(nèi)網(wǎng)的安全短板。如果用戶使用該終端設(shè)備肆意訪問互聯(lián)網(wǎng)，來自Internet的病毒、木馬、惡意程序等極易感染和侵害該終端，從而進(jìn)一步感染和泛濫到整個內(nèi)網(wǎng)，影響更多用戶的網(wǎng)絡(luò)使用和業(yè)務(wù)的開展。

無法對用戶網(wǎng)絡(luò)行為進(jìn)行有效監(jiān)控和審計

上網(wǎng)行為管理的作用

有效管理用戶上網(wǎng)

通過細(xì)致的權(quán)限控制，有效管理用戶的上網(wǎng)行為。如：對于內(nèi)網(wǎng)員工的訪問行為，上網(wǎng)行為管理系統(tǒng)通過內(nèi)置的URL庫，關(guān)鍵字過濾等方式進(jìn)行管控；對于采用ssl方式加密的網(wǎng)頁，如釣魚網(wǎng)站等，通過證書驗(yàn)證鏈接，并使用黑白名單進(jìn)行管控；對于文件的上傳和下載，通常會限制類型和大小；對于郵件地址的后綴進(jìn)行管控；將用戶的IP和MAC進(jìn)行綁定等。

有效管理帶寬和流量網(wǎng)

通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定精細(xì)的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。

防止機(jī)密信息泄露和法律違規(guī)事件

上網(wǎng)行為管理系統(tǒng)通過訪問審計和監(jiān)控，能夠有效防止信息通過Internet泄露，并建立強(qiáng)大的內(nèi)部安全威懾，減少內(nèi)部泄密行為。例如：通過郵件延遲審計，保證先審計再發(fā)送；對于webmail站點(diǎn)發(fā)送的郵件，全面記錄郵件正文及附件；對于BBS、論壇發(fā)帖根據(jù)關(guān)鍵字進(jìn)行過濾，已發(fā)布的內(nèi)容全面記錄；內(nèi)網(wǎng)員工訪問的url地址、網(wǎng)頁標(biāo)題、甚至整個網(wǎng)頁內(nèi)容，進(jìn)行完全的監(jiān)控和記錄。

安全設(shè)備篇（11）——下一代防火墻

什么是下一代防火墻

下一代防火墻，即NextGenerationFirewall，簡稱NGFirewall或NGFW。NGFW可以全面應(yīng)對應(yīng)用層威脅，通過深入分析網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。

NGFW與傳統(tǒng)FW的區(qū)別

應(yīng)用程序感知

NGFW與傳統(tǒng)防火墻最大的不同是：下一代防火墻可以感知應(yīng)用程序。傳統(tǒng)防火墻依賴常見的應(yīng)用程序端口，決定正在運(yùn)行的應(yīng)用程序以及攻擊類型。而NGFW并不認(rèn)為特定的程序必須運(yùn)行在特定的端口上，防火墻必須能夠在第二層到第七層上監(jiān)視通信，并且決定發(fā)送和接收信息。

身份感知

NGFW與傳統(tǒng)防火墻之間的另一個很大不同點(diǎn)是，后者能夠跟蹤本地通信設(shè)備和用戶的身份，它一般使用的是現(xiàn)有的企業(yè)認(rèn)證系統(tǒng)，如活動目錄、輕量目錄訪問協(xié)議等。信息安全人員通過這種方法，不僅能夠控制允許進(jìn)出網(wǎng)絡(luò)的通信類型，還可以控制特定用戶可以發(fā)送和接收的數(shù)據(jù)。

狀態(tài)檢測

雖然從狀態(tài)檢測的一般定義上來看，下一代防火墻并無不同，但它不僅能跟蹤第二層到第四層的通信狀態(tài)，而且能跟蹤第二層到第七層的通信狀態(tài)。這種不同可以使安全人員實(shí)施更多控制，而且可以使管理員能夠制定更精細(xì)的策略。

集成IPS

入侵防御系統(tǒng)（IPS）能夠根據(jù)幾種不同的技術(shù)來檢測攻擊，其中包括使用威脅特征、已知的漏洞利用攻擊、異?；顒雍屯ㄐ判袨榈姆治龅取?/p>

在部署了傳統(tǒng)防火墻的環(huán)境中，入侵檢測系統(tǒng)或入侵防御系統(tǒng)是經(jīng)常部署的設(shè)備。通常，這種設(shè)備的部署是通過獨(dú)立的設(shè)備部署的，或者通過一個設(shè)備內(nèi)部在邏輯上獨(dú)立的設(shè)備來部署的。但是在NGFW中，入侵防御或入侵檢測設(shè)備應(yīng)當(dāng)完全地集成。入侵防御系統(tǒng)本身的功能，與其在獨(dú)立部署時并無不同，NGFW中此功能的主要不同在于性能，以及通信的所有層如何實(shí)現(xiàn)對信息的訪問。

橋接和路由模式

橋接或路由模式雖不是全新的特征，但NGFW的這種功能仍然很重要。在當(dāng)今的網(wǎng)絡(luò)中，通常部署很多的防火墻，但其中多數(shù)并未NGFW。為了更容易地過渡到NGFW，NGFW必須能夠以橋接模式（也稱為透明模式）連接，設(shè)備本身并不顯示為路由路徑的一部分，對任何一家特定的企業(yè)來說，在合適的時間，NGFW應(yīng)逐漸替換傳統(tǒng)防火墻，從而使用路由模式。

安全設(shè)備篇（12）——UTM

什么是UTM？

UTM是英文"UnifiedThreatManagement"的縮寫，中文意思是"統(tǒng)一威脅管理"，業(yè)界常稱之為安全網(wǎng)關(guān)。

統(tǒng)一威脅顧名思義，就是在單個硬件或軟件上，提供多種安全功能。與以往傳統(tǒng)的安全設(shè)備不同，傳統(tǒng)的安全設(shè)備一般只解決一種問題。

UTM常被定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備，它主要提供一項或多項安全功能，同時將多種安全特性集成于一個硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺。

常見功能

UTM設(shè)備應(yīng)該具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。各廠商會在UTM產(chǎn)品中增加應(yīng)用層防火墻和控制器、深度包檢測、Web代理和內(nèi)容過濾、數(shù)據(jù)丟失預(yù)防、安全信息和事件管理、虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)沼澤等功能，以迎合不同用戶需求，保持市場優(yōu)勢。

雖然UTM集成了多種功能，但卻不一定要同時開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模，UTM產(chǎn)品分為不同的級別。如果用戶需要同時開啟多項功能，則需要配置性能比較高、功能比較豐富的產(chǎn)品。

優(yōu)點(diǎn)

降低成本

UTM將多個安全設(shè)備的功能集于一身，大大降低了硬件成本、人員成本、時間成本。

降低工作強(qiáng)度

UTM提供了以往多種產(chǎn)品的功能，并且只要插接在網(wǎng)絡(luò)上就可以完成基本的安全防御功能，大大降低了安裝、配置、運(yùn)維的工作強(qiáng)度。

降低技術(shù)復(fù)雜度

缺點(diǎn)

抗風(fēng)險能力降低

雖然UTM提供了通過單一設(shè)備管理，實(shí)現(xiàn)多種安全功能的能力，同時也引入了一個不可避免的問題——單點(diǎn)故障，一旦該UTM設(shè)備出現(xiàn)問題，將導(dǎo)致所有的安全防御措施失效。UTM設(shè)備的安全漏洞也會造成相當(dāng)嚴(yán)重的損失。

內(nèi)部防御薄弱

由于UTM的設(shè)計原則違背了深度防御原則，雖然UTM在防御外部威脅非常有效，但面對內(nèi)部威脅就無法發(fā)揮作用了。然而，造成組織信息資產(chǎn)損失的威脅大部分來自于組織內(nèi)部，所以以網(wǎng)關(guān)型防御為主的UTM設(shè)備，目前尚不是解決安全問題的靈丹妙藥。

單一防御功能較弱

UTM本質(zhì)上是將防病毒、入侵檢測和防火墻等N個網(wǎng)絡(luò)安全產(chǎn)品功能集中于一個設(shè)備中，必然導(dǎo)致每一個安全功能只能獲得N分之一的處理能力和N分之一的內(nèi)存，因此每一個功能都較弱。

性能和穩(wěn)定性

盡管使用了很多專門的軟硬件技術(shù)用于提供足夠的性能，但是在同樣的空間下，實(shí)現(xiàn)更高的性能輸出，對系統(tǒng)穩(wěn)定性造成的影響不可避免。目前，UTM安全設(shè)備的穩(wěn)定程度與傳統(tǒng)安全設(shè)備相比，仍需不斷提高，且任重道遠(yuǎn)。

免責(zé)聲明：以上整理自互聯(lián)網(wǎng)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。（我們重在分享，尊重原創(chuàng)，如有侵權(quán)請聯(lián)系在線客服在24小時內(nèi)刪除）