联想网御UTM产品白皮书V4.0

　　UTM产品简述

　　1.1 什么是UTM

　　UTM是统一威胁管理(Unified Threat Management)的缩写。UTM设备是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

　　UTM设备应该具备的基本功能包括VPN、网络防火墙、网络入侵检测/防御和网关防病毒等功能，这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性，例如内容过滤、安全审计、安全管理、日志、服务质量(QoS)、高可用性(HA)和带宽管理等。下图显示了UTM 系统平台上可能综合的多项安全功能。UTM(United Threat Management)意为统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备中，构成一个标准的统一安全管理平台。

　　1.2 UTM的优点

　　整合所带来的成本降低

　　将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低，这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

　　降低信息安全工作强度

　　由于UTM安全产品可以一次性的获得以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以无论在部署过程中可以大大降低强度。另外，UTM安全产品的各个功能模块遵循同样的管理接口，并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。同等安全需求条件下，UTM安全设备的数量要低于传统安全设备，无论是厂商还是网络管理员都可以减少服务和维护工作量。

　　降低技术复杂度

　　由于UTM安全设备中装入了很多的功能模块，所以为提高易用性进行了很多考虑。另外，这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说，使用UTM产品可以提高这些组织应用信息安全设施的质量。

　　联想网御UTM产品介绍

　　2.1 产品概述

　　作为国内领先的专业的安全厂商，联想网御在服务用户的过程中很早就认识到传统安全设备的局限性。早在2001年，我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品，并申请了发明专利(专利号: 011091789)。近年来一直在技术上努力创新，针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化，并寻找合适的高性能硬件平台。同时，由于UTM防火墙涉及技术非常全面，既有网络层、传输层安全也有应用层安全技术，既有软件技术也有硬件技术，不可能由一家公司独立完成，必须广泛合作，尤其是和业界领先厂商合作。2005年，联想网御专门赴美国硅谷技术考察，并且成功地和多家顶级安全软硬件厂商展开深入合作。终于在2006年成功推出了成熟的UTM防火墙产品。目前，联想网御已经拥有提供业界最优秀UTM防火墙产品的能力，产品线覆盖百兆、千兆以及万兆级UTM防火墙。

　　联想网御UTM产品采用了独特的高性能、高安全性、高可靠性的操作系统，提高了自身安全性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。联想网御UTM防火墙使用了专门的ASIC内容处理加速芯片，大大提高了系统的内容处理能力，为特征匹配，加解密，启发式扫描提供了硬件加速。联想网御UTM防火墙在各个安全引擎中运用了新的算法和技术，针对病毒检测，内容分析等海量扫描活动使用了高效的启发式扫描;针对传统包过滤无法检测的威胁，采用了完全内容检测技术;针对未知的攻击行为，使用了实时动态保护技术。

　　2.2 产品优势

　　基于ASIC芯片的硬件平台

　　联想网御ASIC芯片包括内容层处理芯片(CP)和网络层处理器(NP)两种ASIC芯片技术。联想网御ASIC-CP芯片是专门用来处理内容层数据，与传统的单纯采用CPU来处理数据相比性能更为优越。它的独特算法可以实现在VPN通道上高速扫描病毒，以保障正常的通讯。联想网御ASIC-NP芯片是用来加速网络层数据处理的。它能够达到极高的处理性能和安全性，性价比有很强的优势。3200UTM的防火墙吞吐量可达到小包20Gbps处理能力。

　　基于多平面架构的虚拟系统

　　联想网御UTM采用联想网御独创的VSP通用安全平台，将系统平台分为通用控制平面、数据平面、系统服务平面和硬件抽象平面，系统功能与资源管理分别工作在不同的空间平面。通过此种架构实现的虚拟网关功能，将一台UTM划分为若干个逻辑设备。基于角色的管理允许不同的管理员仅管理被授权的虚拟系统，支持多达256个虚拟网关。支持各种工作模式(路由、NAT、透明、混合)，配合多广域网出口功能，极大地提高了对网络环境的适应性，可完全满足极为复杂的运营商网络环境。

　　基于特征库升级的安全服务

　　联想网御UTM将多项安全服务与高性能设备结合在一起，可自动升级病毒库、间谍软件库和IPS攻击特征库，可以覆盖3000多种攻击或威胁，提供24x7特征库自动升级更新，以保障用户的业务免受影响。提供的四种升级服务包括防病毒服务、入侵检测和防御服务、Web过滤服务和反垃圾邮件服务。免费支持的服务包括Email技术支持、硬件保修服务、VSP操作系统升级等，确保用户维持安全环境，保持企业的资源安全，防御最新的混合式威胁。

　　基于CSC协议标准的关联安全

　　联想网御 UTM支持CSC(Correlative Security Criterion)关联安全标准，实现与内网安全管理系统的联动。当某个内网主机违反安全策略，或未经授权的主机接入网络时，内网安全管理系统可自动发现并发出阻断指令，UTM自动阻止非法主机的网络访问。从而，UTM与内网安全管理系统共同为用户打造了从内网主机到网络边界，从主机应用到网络的全网安全管理解决方案。

　　联想网御UTM产品功能描述

　　3.1 防火墙

　　联想网御UTM基于状态检测包过滤技术，可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层(网络层)和第四层(传输层)进行数据过滤。

　　联想网御UTM预置了常用网络服务的端口信息，如HTTP使用的TCP80端口、FTP使用的TCP21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务和端口加入组，在策略中统一调用。

　　除了传统防火墙都具备的根据IP地址、端口进行过滤的功能，联想网御UTM也可以针对不同的时间段制定不同的安全策略。例如工作时间(如周一至周五每天9:00-18:00)不允许内网用户使用QQ、MSN等工具聊天，而其它时间则允许使用，便可通过联想网御UTM基于时间的策略自动实现。

　　联想网御UTM还可以实现方便的用户身份认证，在用户试图访问网络资源时自动弹出认证对话框，输入正确的用户名和密码才能继续访问，没有相关用户权限的访问将被联想网御UTM阻止。联想网御UTM也可以为不同用户赋予不同级别的访问权限，如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作，其他用户只能通过Web方式访问管理员发布出来的信息。

　　联想网御UTM支持多种用户身份认证方式，既可以在联想网御UTM建立本地用户帐号，也可以直接调用其它用户认证服务器上的用户信息，实现全网统一身份验证策略。联想网御UTM支持Radius、LDAP、SecurID、Windows域等多种用户身份认证。对于具有同样权限的用户，可以将他们加入用户组中，在策略里统一调用。

　　通过对IP地址、端口、用户、时间等参数的灵活组合，便可制定出各种适合实际网络安全需求的防火墙策略来，使得用户的安全策略可以得到切实的执行。

　　联想网御UTM的防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。所有的会话都会维持在联想网御UTM的会话表中，还可以供管理员分析和排错使用。

　　联想网御UTM能够对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，并通过DSCP值对流量进行控制，使网络效率达到最优化。

　　3.2 虚拟专用网

　　IPSec VPN

　　联想网御UTM 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件，也可以使用联想网御VPN客户端软件和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。

　　由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN通道的建立速度和数据加/解密的处理时间，达到了极高的VPN处理速度。 内容处理器以独特的设计方式，解决了防火墙设备处理高速加密数据流的瓶颈问题，并通过简单易用的WEB管理提供给用户人性化的管理界面。高性能的VPN加密处理 (DES，3DES，AES，MD5，SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络，无须考虑设备处理速度的影响，256位的AES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。而今，迅速发展的广域网技术使公网的带宽成倍的增长，同时又为企业VPN网络提供了广阔的发展空间。

　　联想网御UTM的IPSec VPN主要具备以下特性：

　　² 支持标准的IPSec协议，能与思科等设备建立VPN隧道。

　　² 支持Gateway-to-Gateway网关至网关模式虚拟专网。

　　² 支持Client-to-Gateway移动用户模式虚拟专网。

　　² 支持手工密钥(Preshare key/X.509 V3数字证书)管理方式。

　　² 支持自动密钥(Preshare key/X.509 CA证书)管理方式。

　　² 支持PKI体系。

　　² 支持Hub-and-spoke

　　² 支持密钥生存周期可定制。

　　² 支持前项完美保护(PFS)。

　　² 支持VPN对端探测功能

　　² 支持多种加密与认证算法：

　　² 加密算法：DES、3DES、AES128、AES192、AES256等。

　　² 认证算法： MD5、SHA1等。

　　² 支持动态线路上使用DDNS建立VPN隧道

　　² 认证方式：支持 Xauth over Radius、x.509 数字证书认证、LDAP用户认证

　　² 支持子网重叠

　　² 通过防火墙策略控制 VPN 流量

　　联想网御UTM的IPSec VPN支持NAT穿越、星型部署、动态对等方等多种方式灵活部署，极大地拓展了联想网御UTM的应用范围。

　　PPTP

　　联想网御UTM设备支持点对点通道协议进行两个对等体之间的PPP通讯流量。Windows或Linux PPTP用户可以与配置作为PPTP服务器的联想网御UTM设备建立一个PPTP通道。您也可以将联想网御UTM设置将PPTP数据包转送到置于联想网御UTM设备之后的网络中的PPTP服务器。

　　L2TP VPN

　　基于L2TP的联想网御UTM VPN严格遵循通用技术标准要求，确保与其它系统或设备的互联互通。支持CHAP、MS-CHAP身份认证协议。

　　SSL VPN

　　SSL VPN(Secure Sockets Layer Virtual Private Network;安全套接层协议虚拟私有网络)是VPN应用于标准web浏览器的一种形式。SSLVPN不需要在终端用户的计算机设备中安装任何特殊的用户端软件，是基于web的电子邮件、公司与政府地址目录、文件共享、远程备份、远程系统管理与用户层的电子商务这些应用的理想选择。

　　² 无需安装客户端软件

　　² 支持低RC4(64位)、默认RC4(128位)、高AES(128/256位)和3DES加密算法

　　² 应用支持

　　在客户和网关之间建立安全隧道,支持Web模式和通道模式

　　通道模式支持任何应用

　　3.3 防病毒

　　联想网御UTM是使用ASIC芯片加速的硬件防病毒网关，可以提供高于同类产品4-6倍的防病毒性能，对于Web浏览这样的实时应用的性能影响也微乎其微。联想网御UTM采用基于特征的病毒扫描技术，正确率达到99.5%以上。联想网御UTM的病毒库100%覆盖业界权威的WildList病毒库，确保网络的安全性。病毒特征库可以通过Internet每日自动在线更新，确保用户处的联想网御UTM设备在第一时间获得过滤最新病毒的能力。另外，联想网御UTM还可以针对病毒的行为特征进行启发式扫描，对未知病毒也具备一定的防御能力。

　　联想网御UTM的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，联想网御UTM都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。联想网御UTM还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口)，联想网御UTM同样可以对其中的病毒进行过滤。

　　支持分片邮件的病毒扫描、支持通过VPN隧道数据的病毒扫描。

　　对于一段内容，如果既包含正常部分，又含有病毒代码，则联想网御UTM会将病毒代码过滤掉，正常部分仍然会继续传输，这样便可有效防止信息的丢失。例如，一封附件染毒的Email被发往内网某用户处，经过联想网御UTM扫描后，带有病毒的附件会被拦截，而“干净”的正文仍然会正确的发送到收件人的邮箱里，不会因为病毒扫描导致信件的丢失。

　　这封邮件中还会自动插入提醒信息，通知收件人由于附件带毒，所以被联想网御UTM删除。提示信息可以由管理员自己来设置。

　　除了可以过滤已知特征病毒之外，联想网御UTM还可以对管理员指定的文件名类型进行过滤。例如，通过过滤*.mp3文件可以有效阻止内网用户上网下载mp3歌曲;过滤avserver.exe文件也可以对震荡波(Sasser)病毒进行阻挡。

　　管理员还可以使用联想网御UTM对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽，便可在联想网御UTM上设置，超过50M大小的文件一律阻止。

　　Grayware(灰色软件)是针对具有扰人的行为模式、令人排斥或一般人难以察觉的应用程序的通称。灰色软件通常在用户浏览网页、下载文件、收取Email时偷偷潜入计算机，用户很难察觉。灰色软件通常都对计算机产生各种不良作用和安全威胁，它包括间谍软件(扫描计算机内的信息，泄漏用户机密)、键盘记录软件(产生用户敲击键盘的记录，可能窃取用户的各种帐号密码等信息)、拨号软件(自动拨打国际长途或者信息服务号码，产生高额话费)、广告软件(随时弹出各种广告内容，影响用户对计算机的正常使用)等。联想网御UTM的防病毒功能同样可以检测并阻挡各种Grayware(灰色软件)，进一步提高网络的安全性。Grayware检测库同样可以不断在线更新。

　　3.4 IPS

　　联想网御UTM内置的IPS同时使用特征和异常两种检测方法，能够检测3000种以上攻击和入侵行为，包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击。联想网御UTM的IPS是在线式的，这种在线式的IPS对各种攻击均可直接阻断并生成日志。

　　对于当前流行的P2P应用(BT、电驴、Skype等)和IM应用(QQ、MSN等)，无法使用传统防火墙通过屏蔽IP或端口的方法阻断，而联想网御UTM的IPS功能可以很好的识别它们的应用层特征并进行阻断。

　　联想网御UTM的IPS特征库可以自动通过Internet更新，确保用户在第一时间实现对最新攻击方式的防御。

　　除了系统自带的入侵特征，联想网御UTM也支持用户自定义特征。

　　联想网御UTM内置的IPS还可以对SYN flood、ICMP flood、Tear Drop等DoS/DDoS攻击进行防御。

　　对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率。联想网御UTM的IPS功能还能对网络当中的异常流量进行处理，例如对特定源或目的的会话进行限制。

　　对于所有的攻击、入侵或可以网络行为都可以选择多种方法直接阻断，而不仅仅是简单的记录日志。

　　3.5 Web过滤

　　联想网御UTM内置Web内容过滤功能，可以通过3种方式过滤Internet上的非法、有害的Web内容。

　　1)URL地址：只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。例如：可以通过联想网御UTM阻挡www.sex.com这一网站。URL过滤也支持地址模版，可以使用通配符批量过滤URL地址。

　　2)不良关键字：所有包含用户自定义不良关键字(如“法轮功”)的网页将被屏蔽。

　　3)网页分类：将上千万个网页分成了几十个类别(如政治、经济、色情、暴力等)，用户只需要在联想网御UTM上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。

　　联想网御通过人工和自动程序的方式来检索新内容并对Web分类库进行更新，加入新的条目，删除已关闭的网站，调整网页的分类等。用户使用的联想网御UTM会自动访问服务器来更新这些内容，确保分类过滤的准确性。

　　对于可以信任的网站，如政府官方网站、大型门户网站等，可以加入联想网御UTM内容过滤的白名单。联想网御UTM在进行内容过滤时会对白名单里的URL地址直接放行。例如，虽然在关键字过滤中过滤了“法轮功”这个词，但是白名单里的网站中(如新华网www.xinhuanet.com)含有“法轮功”关键字的网页仍然可以被访问，用户能够访问到官方网站发布的揭批法轮功的文章。

　　联想网御UTM还具有有害脚本的过滤功能，能保护网络不受有害脚本(如Java、ActiveX等)的侵袭。

　　3.6 垃圾邮件

　　联想网御UTM还内置了强大的反垃圾邮件功能，可以通过如下几种方法来过滤垃圾邮件：

　　1)IP地址：屏蔽某一IP地址的服务器发过来的所有Email。例如：已知IP地址219.238.204.100是专门发垃圾邮件的服务器，便可在联想网御UTM的垃圾邮件IP黑名单中加入该IP地址，使得今后所有来自该服务器的邮件全被都被拒收。

　　2)Email地址：根据邮件地址屏蔽垃圾邮件。既可以拒收来自单一用户(如spamsender@email.com)的邮件，也可以拒收整个域(如@spamsender.com)的邮件。

　　3)MIME头信息：根据邮件MIME头中的特征来进行过滤。如Return-Path、Content-Type等。

　　4)禁忌词汇：拒收包含某一关键字(如“法轮功”)的邮件。

　　5)实时黑名单(DNSBL/ORDBL)：按照IP来屏蔽垃圾邮件的方法，需要管理员掌握IP黑名单。但是作为企业的管理员来说，很难获得所有发送垃圾邮件的服务器的IP地址列表。互联网上有很多第三方机构维护了垃圾邮件IP实时黑名单，只需将联想网御UTM指向这些DNSBL/ORDBL服务器，便可获得大量的垃圾邮件IP黑名单列表并实时更新，大幅度提高垃圾邮件的过滤能力。

　　3.7 网络功能

　　VLAN

　　VLAN是将LAN设备从逻辑上而不是物理上划分为一个网段。每一个VLAN都可作为一个广播域。一个VLAN是通过在VLAN中的设备发送与接收的数据包添加802.1Q帧标签进行设备划分的。支持VLAN trunk，联想网御UTM内部接口添加VLAN子接口，设置接口的VLAN ID与VLAN trunk中数据包的VLAN ID相同。如果ID不匹配，流量不能被传送。

　　IPV6

　　IPv6是互联网协议的第六版本，相比之前的版本IPv4，能够提供数亿个IP地址。联想网御UTM支持双重IP分层IPv6/IPv4节点。这样的应用支持基于IPv4上IPv6通道、路由、防火墙策略与IPSec VPN设置。

　　NAT

　　在IP v4地址短缺的今天，NAT成了网络设备必不可少的一项功能。联想网御UTM提供丰富的NAT支持，支持1:1的静态地址映射、N:M方式的动态地址转换、N:1方式的动态地址转换、PAT方式的地址转换。

　　组播

　　组播服务器程序使用一个(Class ID)组播地址将一个数据包的备份发送到一组接收器中。网络中的PIM路由确保只有数据包的一个备份通过网络转发，直到传送到终点目的地。联想网御UTM设备支持PIM稀疏模式(RFC2362)与PIM密集模式(RFC 3973)以及为网段中与联想网御UTM接口连接的组播服务器或接收器提供服务。

　　联想网御UTM典型应用

　　4.1 VPN为企业互联提供解决方案

　　联想网御UTM具有强大的防火墙和VPN功能。很多大中型企业都有分公司、办事处和移动办公用户。联想网御UTM的IPSec VPN功能为这类企业提供了全面的、安全的互联解决方案。IPSec VPN支持传输和隧道两种类型，主动和被动两种模式。它可以实现VPN通道星形或者网状结构，并且在VPN通道上部署防火墙策略、防病毒和IPS等全面的安全解决方案。OSPF over IPSec可以实现IPSec通道与专线，两条IPSec通道之间互为备份，自动切换。移动用户可以使用IPSec客户端方式连入公司，实现远程办公，也可以采用SSL VPN这样的基于浏览器的免客户端方式连接到公司的内网。

　　4.2 虚拟域为安全服务提供商提供解决方案

　　虚拟域功能可以将联想网御UTM划分出若干逻辑的虚拟设备，每个虚拟设备可以单独设置路由、防火墙策略、防病毒策略、IPS策略等。安全管理员可以为多个企业组织部署一个联想网御UTM，将其划分成若干逻辑设备分配给不同的企业组织，并且为其设置相应逻辑设备的管理权限，这样每个被服务的企业可以单独管理安全设置，查看相应的日志信息。

　　4.3 高性能和多功能为数据中心提供解决方案

　　在数据中心这样吞吐量大并且对实时性要求很高的环境中，基于应用层攻击的目标如业务应用、web2.0、VoIP甚至IPTV等应用，需要全面的安全策略，包括多层网络防御。同时，许多新型应用需要较高的实时性，迫使管理员在性能和安全性之间做出取舍。联想网御UTM系列多个千兆性能解决方案提供实时的多层安全威胁防御。

　　联想网御UTM产品资质

　　具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

　　具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B级)

　　具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》

　　具备国家知识产权局颁发的网络防病毒技术专利证书

　　具有国家版权局颁发的《计算机软件著作权登记证书》

　　信息产业部电信进网许可证