UTM产品简述

UTM是统一威胁管理（Unified Threat Management）的缩写。UTM安全网关是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个专用设备中，构成一个标准的统一安全管理平台。   

UTM安全网关应该具备的基本功能包括网络防火墙、网络入侵检测／防御、VPN和网关防病毒等功能，这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。UTM安全网关也可能包括其它特性，例如内容过滤、安全审计、安全管理、日志、服务质量（QoS）、高可用性（HA）和带宽管理等。

网御根据多年信息安全实践经验以及对用户未来需求的把握，建立了“下一代安全架构（NSA：Next-generation Security Architecture）”的技术理念，在产品开发中以“弹性架构的安全平台”作为安全设备的技术框架和基础设施，该平台规范了底层硬件、平台软件、安全应用和高可靠的标准接口，为包括安全网关在内的各类安全网关提供了基础的操作系统和二次开发平台。网御针对“弹性架构的安全平台”，专门成立了新技术研究所，并巨资引入业内领先的技术和人才，进行持续数年的研发，才取得了技术上的突破。该平台目前已成为网御防火墙、VPN、IPS、UTM等系列安全网关产品的基础平台。彻底解决了传统安全产品开发周期长、可靠性低、适应范围窄等关键问题，体现了产品技术平台化、模块化的发展趋势，为网御UTM安全网关的快速开发和发展打下了坚实的技术基础。

基本功能

细粒度的高性能网络访问控制

在网御UTM安全网关中，通过深度防护规则实现网络访问控制，深度防护规则包含源地址、目的地址、源端口、源MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控制子选项，对于不符合规则的访问，系统可以拦截并发出日志告警。

▪  支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制。

▪  支持状态检测功能，支持连接状态非优先匹配和连接状态优先匹配两种状态检测模式；不仅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制，还支持基于的访问控制。

▪  支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等协议的透明代理，支持自定义端口的透明代理功能，支持基于透明代理的深度内容过滤；支持FTP多线程透明代理控制。 

▪  支持透明DNS代理服务，支持DNS二级服务器的透明代理；

▪  支持IP/MAC地址绑定，支持IP/MAC地址对的自动探测和唯一性检查；支持IP/MAC的批量绑定。

▪  支持基于客户端的本地认证、远程Web认证，以及Radius等第三方认证；支持基于USBKEY的证书方式认证。

▪  可以根据IP、协议、网络接口、时间定义、端口、P2P应用的带宽分配策略；支持最小保证带宽和最大限制带宽；支持多种带宽定义，包括最小保证带宽和最大限制带宽；支持分层带宽控制，可分4层进行控制，保证细粒度管理水平；支持带宽优先级管理，可为不同用户、应用、策略分配不同的优先级。

性能和功能完美匹配的病毒防御

网御和江民科技在病毒防御方面深入技术合作，网御UTM安全网关的病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化，由网御和江民科技共同组建的网络病毒攻防实验室为该引擎提供专用病毒规则库，使安全网关的病毒检测率和处理性能获得质的突破：在保持高病毒检测率的同时，系统性能下降不超过20%，是业界第一个建议用户把网络访问控制、病毒防御、入侵防御等全部功能同时开启使用的安全网关产品。

▪  可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御，支持自定义非标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。

▪  支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描。

▪  采用自有知识产权的病毒防御引擎（包括病毒检测引擎和病毒分析引擎），采用国内知名病毒厂商特征库，可检测不少于20万种病毒，支持根据用户需求自定义病毒特征。

▪  可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等，采用不同的病毒防御策略。

▪  可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒

▪  可以对当前主流的蠕虫做检测与阻断，例如：RedCode、Slammer、sober等。

▪  内置病毒库，支持病毒库本地升级，病毒库可实时在线升级。

▪  支持基于病毒防护策略设置阻断、清除、记录日志，发送电子邮件报警等，基于关联安全标准(Correlative Secure Criterion），可以和其他安全设备和系统联合响应。

精准高效的入侵防御

网御公司拥有一支高水平的产品研发和攻防团队，公司设有专门的攻防实验室、安全技术实验室，以及专业信息安全服务团队，每日阅读各类网络安全新闻、搜集新发布的攻击程序，分析系统与应用的漏洞，仿真、分析、发掘攻击的特定行为，寻找新的攻击特征，并反映到攻击特征库中，保证了攻击特征的及时更新。

网御UTM安全网关系列产品经过多年的研发和持续的改进，在蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御方面具备了完善的检测、阻断、限流、审计报警等防御手段，完全满足用户的各种应用需要。

▪  可以检测和阻断RedCode、Slammer、sober，Zotob、nimda等多种国内外流行的蠕虫病毒，并可通过会话数管理防御未知蠕虫病毒的攻击。

▪  可检测和阻断Sub7、netbus、bandook、Doly、GateCrasher等多达200多种国内外主流的后门程序。

▪  可以检测和阻断灰鸽子、Storm、Duntek等多达200多种国内外主流的木马。

▪  可以检测和阻断IECodec、Spybuddy等多达400多种国内外主流的间谍软件。

▪  可以检测和阻断CGI、Unicode等间谍软件，而且还包括多达200多种Web攻击。

▪  不但可以检测和阻断ARP攻击、UDPFlooding、SynFlooding 等网络层拒绝服务攻击，而且还可以处理CC，DNS Query Flooding等多种应用拒绝服务攻击。

▪  可检测可抵御的DDoS攻击多达100多种。

▪  对所有的攻击行为不但可以检测和阻断，同时支持审计、报警、限值带宽等防御手段。

完善的应用监控

网御UTM安全网关不仅具有网络入侵防御和网络病毒防御功能，同时还具有丰富的应用监控功能。可以根据不同的时间、群组，来对即时聊天软件、网游、P2P软件等下达严格的管理策略。

网御UTM安全网关对应用的识别基于应用行为和数据特征，而不是基于端口号，有效地提升了应用的识别率，避免了误判。尤其对P2P应用中的加密传输，网御UTM安全网关基于应用行为识别与主动探测相结合的方式，有效地克服了加密后无法识别的业内难题。

通过精确的识别，网御UTM安全网关对IM软件实现了细粒度的控制，不但可以控制登陆，而且对文字聊天，文件传输，音频、视频都可以实现分类控制。

▪  能够基于软件行为、数据内容，而不是基于协议端口号，来识别常见的P2P和IM软件应用。

▪  可识别、控制BT、Edonkey等常见P2P下载软件。

▪  可识别、控制PPlive等常见P2P视频软件。

▪  不但可识别、控制而且可限流、可控制会话数、可限值带宽、可审计。

▪  内建检测加密P2P的模块，可以阻挡加密P2P软件。

▪  根据不同需求，进行多层次IM软件控制，不仅可禁止实时聊天程序，还可对它的。登陆、聊天、传输文件、实时语音、实时视频等进行分项管理。

▪  网络管理者可以依据源地址、目的地址、VLAN群组等设定P2P、IM策略。

私有云防御技术

私有云防护解决方案作为网关设备上的核心技术革新，通过安全网关与云中心联动、安全网关与安全网关之间信息共享，大大强化了安全网关的防护能力，真正实现了全网动态防御。

网御安全网关私有云主要采用动态分析手段捕获未知0 day攻击，利用虚拟机和内核监控手段，将样本投放到虚拟机中运行，监控并记录其运行的本地行为，如注册表的修改、系统文件的修改和网络信息。记录下样本运行态的信息，判定样本的类别，感染程度以及危害等级。

并针对APT的四类主要威胁（PE类木马、溢出格式、嵌入或独立脚本、URL访问）通过静态分析、虚拟执行、动态监控等技术手段进行分析鉴定。

0day/1day漏洞监测

▪  支持检测已知和未知的漏洞

▪  对于特定漏洞可以给出相关的漏洞编号（例如CVE编号）

▪  对于漏洞同时支持静态和动态两种方式进行检测

自学习能力

▪  对于动态分析过的文件避免二次分析。

▪  对于已有的检测结果可以进行更精确的修正。

▪  对于首次未检测到的目标可在后续学习过程中检测到。即能够在不更新特征库的情况下可获得不断增强的检测能力

针对性的环境模拟能力

▪  私有云系统采用虚拟化技术搭建，达到对系统的安全保护和快速恢复，通过对虚拟机的负载均衡，可并发同时分析多个任务，为快速分析样本提供基础。

▪  环境模拟包括国内常见的软件的安装，如Word、wps、Adobe reader 、QQ。

▪  能够对移动介质模拟 ，利用文件夹模拟磁盘，并hook修改磁盘类型。

▪  模拟游戏、杀软进程等用来触发一些对抗和窃取密码等行为。

▪  模拟常见的网络请求，比如DNS解析，用来触发下一步连接和发送指令。

高效漏洞识别技术

静态启发识别，由于利用漏洞溢出文档时，无论是未知漏洞还是已知漏洞都会使用一段代码，跳转到攻击者精心构造的可执行代码中,这段代码就是Shellcode，可以获取权限或进行其他恶意攻击。通过对Shellcode的识别，从而对溢出类型的文档进行静态识别，不仅能够识别已知漏洞构造的恶意文档，也能识别一些未知漏洞的文档。

已知漏洞识别主要利用文档格式解析，针对已知漏洞的格式信息构造条件进行检测，目前已经支持超过40种文档格式溢出漏洞的识别。

海量已知病毒识别能力

启明星辰和网御星云私有云系统拥有大于8000万的海量知识库，实现了对大量已知的恶意程序的过滤。系统级别检测引擎引入了模拟执行虚拟机技术、解包技术、溢出检测技术、基于PE结构IAT的检测算法。采用虚拟机技术进行脱壳解决加壳变换问题，同时采用更深的基于特定算法的匹配规则，比如：PE结构相关的特征IAT、节名等方法用更少的特征检测更多的已知病毒，同时具有对简单免杀操作如修改部分程序的几个字节或PE入口点等方法具有很好的未知查杀能力。网御星云私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等，对文件是否包括恶意行为进行判定，形成自动化分析报告，并与安全网关进行联动。在不影响转发性能的前提下大幅增强安全网关的检测能力。

多层次的高可用性设计

基于联想拥有的大型计算机高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验，网御UTM安全网关通过在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，可有效地保障产品在用户网络应用中的高可用性。

▪  高可用性设置

▪  支持冗余电源。

▪  支持多WAN口备份和负载均衡。

▪  支持端口聚合，实现端口备份和零成本扩展带宽。

▪  支持双机热备，且切换时间小于1秒钟。

▪  支持2～8台多机集群。

▪  支持在掉电源、死机、网口故障、网线故障、网络链路不通等情况下的HA切换，切换时间小于3秒。

▪  支持虚拟IP地址和虚拟MAC地址，当出现安全网关切换的时候，不存在IP地址、MAC地址的变化，最大限度的对内部主机透明。

▪  支持高可用环境下的配置信息同步，支持配置手工、自动同步和命令同步等方式。

简单易用的管理模式

▪  面向对象的虚拟化安全网关引擎，提供最弹性化的管理方式。每一对实体安全网关/IDS都可配置不同的规则集，每一个规则集所包含的规则，都可依据来源/目的端IP地址或是时间范围来决定对应的处理方式。

▪  支持Web图形界面、命令行界面管理。

▪  支持SSH远程、串口本地管理。

▪  用等信息的监控。

▪  支持SNMP 协议，可通过第三方网络管理软件进行管理。

▪  支持配置文件的备份、下载、恢复和上载，支持配置文件的部分备份和恢复。备份数据可读，可打印，导出时数据可加密存储。

▪  支持本地和远程系统升级。

强大的审计功能

对网络管理人员来说，基于安全网关的检测和防御情况提供丰富且完善的报表，不但可掌握单位网络的实际状况，也能防患于未然。

▪  实时统计仪表盘功能。显示网络安全事件的分类比率，以及平均流量和目前的流量。

▪  实时事件列表功能。详细的表达出目前正在发生的网络安全事件，包含了严重程度、攻击者和受害者的IP地址、发生的时间、安全网关对此事件的反应。

▪  实时流量监视器。实时的显示出目前流经过安全网关的流量大小，以及常用应用程序(HTTP, SMTP, POP, FTP, …)所占用的流量。

▪  系统状态监视功能。监视安全网关的处理器和内存利用率，方便网管人员监控设备。

▪  样板报表功能。安全网关内建了最常用的八种报表，可缩短搜寻的时间，提高了便利性。样板报表还包括了依据攻击种类和严重程度排名的趋势图，直观地提供网管人员最佳的参考。

▪  支持最为灵活的定期报表系统， 可依使用者指示的时间将预先设定的报表或是自订的报表，依设定的格式(HTML、PDF、CVS)和指定的方法（如邮件)传送给指定的使用者。

▪  使用者自行定义特征码。弹性的格式方便使用者定义出有效的特征。

统一的集中管控

通过部署网御安全管理系统软件，可实现对网御UTM安全网关的集中管理，有利于快速完成多台安全网关设备的部署实施工作，并方便管理员对多台安全网关进行管理维护。网御安全管理系统可以实现以下功能：

▪  根据设备心跳信息，自动发现在线安全设备

▪  支持以拓扑地图形式呈现用户网络部署情况，并可以进行自动拓扑布局调整，呈现设备运行状况

▪  可通过浏览器远程登录安全设备的管理界面，进行配置和管理

▪  集中监视设备运行状态、资源占用情况、设备告警情况、设备在线用户信息、网络连接状态等

▪  支持监控任务订制，监控任务后台自动运行，设备历史运行状态呈现与分析

▪  实时监控设备的各类告警信息，并可采用声音、邮件、短信、弹出窗口等多种方式进行响应

▪  支持集中的日志采集、存储、查询、统计、在线分析等审计功能

产品特色

防病毒专利

网御作为国内领先的网关类设备供应商，最先于2001年提出了网关防病毒技术框架，结合其他产品的网关防御技术积累，历时三年研究，于2004年取得了网络防病毒专利（专利号：01109178.9），同时与国内知名防病毒厂商成立联合实验室，保障可持续性安全服务。网御使用具有自主知识产权的病毒扫描引擎，结合了特征值检测和启发式检测，从而帮助用户快速、准确查杀网络中的病毒等恶意代码。

私有云防护

网御UTM安全网关通过与已部署的防病毒网关、UTM等设备联合抓取文件特征，汇集至私有云防护务器定时收纳合并，云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有与之相连的安全网关设备中，使其他设备具有相同的未知威胁特征，同时使其具备更高的处理性能，共同形成整体可信架构云防御体系。

私有云传承自主动云防御，私有云是通过一套应对已知/未知恶意代码攻击、0day/1day漏洞等攻击的鉴别系统与若干网关设备联动实现的，属于网关级的高级安全防御方案。

云服务越来越多的被人提及，也逐步的在被各个行业应用，其中大规模多级部署、集中分析、全网资源信息同步等优点也得到了更多人的认可，与此同时目前应用广泛的公有云所存在的问题也越来越多的被提及，如信息的同步必须要有Internet连接才能实现；公网链路传输的安全性、稳定性也得不到保障；用户信息在公有云上集中进行处理，存在信息泄露的安全风险，不适用于政府等机要单位。为此产生了私有云的概念，所谓“私有”是指信息只在可信的网络范围内实现共享，集合可信网络的全网资源，利用分散的运行能力集合成统一结果，任何一个节点发现的威胁均可以通过私有云同步给全网共享，实现单点诱发全网同步，同时也很好的避免了公有云信息共享所存在的安全性问题。私有云解决方案利用文件黑名单、恶意代码静态检测、虚拟加载执行、动态监测多种组合方式对一切可能用于攻击的文件进行深度安全分析，从而有效检测0 day格式溢出应对高级安全威胁，深度提取可执行样本，并对未知威胁进行判别，同时将分析结果同步至联动的安全网关，最终由安全网关策略实现访问控制并提供详细的行为报告，大幅度提升了安全网关的检测能力，同时也保障了安全网关的转发性能。

私有云应用场景

一键式配置

网御独特的一键式配置，实现复杂设备的简单管理，降低用户的管理成本。

高－高安全等级：可定义严格的安全策略，如：只开通业务系统

中－中安全等级：可定义较严格的安全策略，如：放宽至WEB和Email

低－低安全等级：可定义宽松的安全策略，如：仅对病毒进行过滤

全开启性能

UTM产品的全开启性能是指同时开启入侵防御和防病毒等主要安全模块后的性能表现，所以想要突破UTM产品的性能瓶颈就必须从优化入侵检测引擎和防病毒引擎两部分入手。网御具有业界领先的入侵检测引擎和防病毒引擎，同时采用ASIC硬件架构，使得UTM全部功能都打开整体性能下降小于30%。

典型部署

网络访问控制兼病毒防御解决方案

网御UTM安全网关可以部署在Internet和内部网络之间，执行网络访问控制功能，防止外部用户对内网核心资源的非法访问，同时，也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。网御UTM安全网关的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3协议，网御UTM安全网关都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。网御UTM安全网关还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。

病毒防御解决方案示意图

入侵检测解决方案 

将网御UTM安全网关部属于防火墙之前，主要目的是防御来自于外网针对防火墙和内网的攻击。防火墙往往是攻击的对象重点，一旦防火墙遭到攻击后，将会有很大的机会造成网络中断。且防火墙仅具有四层封包解析的功能，对于利用七层的黑客攻击手法或是利用合法掩护非法的网络行为便无法有效管控。通过IPS的保护，除了对于来自外网针对内网或防火墙的暴力攻击能够有效阻挡之外，对于所有进出的封包均进行详细的七层分析，黑客利用合法方式进行非法存取的攻击将无所遁形。

网络入侵防御解决方案示意图

应用监控解决方案 

企业单位在进行网路安全防护的时候往往只重视来自于外网的安全威胁，却忽略了内网的安全防护。据统计目前企业所面临的安全威胁有 40% 来自于内网，包含了带宽的滥用，无意义的上网行为，机密信息外泄以及恶意软件的使用等等。

在内网行为管理解决方案的网络拓扑中将网御UTM安全网关部属于路由器与内网之间，主要目的是防御来自于内网的攻击，同时可针对于内网对于外网的存取应用进行管理。通过使用网御UTM安全网关，可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网路应用软件。除了开放与禁止的网络行为管理之外还可针对不同的应用予以不同的带宽使用以及传输总量限制，可让企业网路实施弹性管理，也不会因为防止网路攻击而影响到正常的网路访问，让企业的网路带宽投资得到最高的回报。