国电集团报价(UTM综合安全网关解决方案(信桥).doc

1、中国国电海南分公司网络安全解决方案 中国国电海南分公司 东软UTM综合安全网关解决方案 信桥公司 2015-9 20 一. 建设背景 为了满足中国国电海南分公司日益增长的业务对网络安全的要求，提高信息化水平并且能够满足日后新业务、新需求的需要，为各类业务的开展提供有效的支撑，提升整个信息系统的价值. 为此，在根据中国国电海南分公司现有的网络安全硬件环境基础上，对相关的国家标准、行业标准和实施方案等进行了充分学习研究，认真理解最新相关系统建设的相关法律法规和要求，对项目建设的基本需求进行了一定的调查研究，保证了建设方

2、案的正确性、可操作性、先进性和实用性。 二. 建设目标 1、 部署一台东软UTM综合安全网关部署到互联网出口，对网络出口进行安全防护，保障网络互联边界处安全。 2、 为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防御系统就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。可以检测网络中的攻击，并对对攻击行为进行有效的主动防御和阻断。 三. 东软UTM安全网关介绍 东软是国内最早自主研发安全网关产品的厂商之一，早在1999年，联想集团基于网络安全对中国信息产业发展的重要性考虑，在联想研究院设立信息安全研

3、究室，开始进行技术和产品方面的积累。。 东软根据多年信息安全实践经验以及对用户未来需求的把握，建立了“下一代安全架构（NSA：Next-generation Security Architecture）”的技术理念，在产品开发中以“弹性架构的安全平台”作为安全设备的技术框架和基础设施，该平台规范了底层硬件、平台软件、安全应用和高可靠的标准接口，为包括安全网关在内的各类安全网关提供了基础的操作系统和二次开发平台。东软针对“弹性架构的安全平台”，专门成立了新技术研究所，并巨资引入业内领先的技术和人才，进行持续数年的研发，才取得了技术上的突破。该平台目前已成为东软防火墙、VPN、IPS、UTM等系

4、列安全网关产品的基础平台。彻底解决了传统安全产品开发周期长、可靠性低、适应范围窄等关键问题，体现了产品技术平台化、模块化的发展趋势，为东软UTM安全网关的快速开发和发展打下了坚实的技术基础。 东软UTM安全网关基于经过防火墙、IPS等产品长期考验的“弹性架构的安全平台”，在稳定性、成熟度上具有先天的优势。东软UTM安全网关将协议状态分析、非缓存病毒检测技术、基于状态的流模式快速匹配、智能协议异常检测、应用软件监控等技术完美地结合在一起，配合实时更新的病毒特征库和入侵攻击特征库，可有效防御基于网络入侵行为，阻断网络病毒的传播，并具有丰富的上网行为管理。在众多国内乃至全球安全厂商中，东软已经成为

5、安全网关产品市场和技术的领跑者。 东软UTM安全网关体系架构包括：安全网关主机、升级服务器、统一安全管理系统三个主要组件。其核心为安全网关主机，该主机基于专用硬件平台，采用自主研发的高安全实时嵌入式VSP操作系统，以及自主研发的USE统一安全引擎。在软件体系上具有模块化结构，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。 东软UTM安全网关主机架构示意图 东软为了提供给网络管理员更方便实用的产品管理机制，特别开发了安全管理系统软件平台，搭配专为不同性质的产品所开发设计的管理程序，构成一套完整的产品管理系统。网管人员可以轻易通过网络，远程管理并且监控东软UTM安全网关全系

6、列产品。 作为国内领先的专业的安全厂商，东软在服务用户的过程中很早就认识到传统安全设备的局限性。早在2001年，我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品。近年来一直在技术上努力创新，针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化，并寻找合适的高性能硬件平台。目前，东软已经拥有提供业界最优秀UTM产品的能力，产品线覆盖百兆、千兆以及万兆级。 东软UTM安全网关采用了独特的高性能、高安全性、高可靠性的操作系统，提高了自身安全性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。东软UTM安全网关在各个安全

7、引擎中运用了新的算法和技术，针对病毒检测，内容分析等海量扫描活动使用了高效的启发式扫描；针对传统包过滤无法检测的威胁，采用了完全内容检测技术；针对未知的攻击行为，使用了实时动态保护技术。 3.1 技术优势 3.1.1 通用安全平台 东软UTM安全网关采用东软自主研发的专用安全操作系统VSP，该系统参照国际标准，基于完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，具有高效、智能、安全、健壮、易扩展等特点。 图Error! No text of specified style in document.1VSP通用安全平台体系结构图 VSP面向网络吞

8、吐和安全处理，采用基于组件的多平面架构，整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面，通过控制平面和数据平面的分离，不同于Linux，FreeBSD等通用操作系统追求均衡的方向，集中主要资源于网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。 VSP通过将系统功能与资源管理分别工作在不同的平面，各平面和模块之间共同遵循标准接口函数，使系统具有高度灵活性和可扩展性。 通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应多种不同规格的硬件架构，实现与多种专用芯片的无缝融合，可充分利用从IXP，PowerPC

9、到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势，使东软UTM安全网关在性能方面一路领先。 3.1.2 统一安全引擎（USE：Uniform Secure Engine） 东软UTM安全网关采用高效的统一防御引擎USE。它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。 图Error! No text of specified style in document.2统一安全引擎示意图 USE克服了传统上各个安全引擎独自为战的缺点，通过高效的引擎集成技术，将各

10、个安全功能有机地整合为一体，协议分析机、应用识别、内容检测、异常分析等引擎协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，同时采用联想的专利技术——基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。 统一安全引擎通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。USE采用标准化的技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。 3.1.3 高可靠的MRP多重冗余协议 基于东软拥有的高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验

11、东软UTM安全网关通过自有的MRP多重冗余协议，在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，有效地保障东软UTM安全网关在用户网络应用中的高可用性。 2个都用Super V-7318的图片代替 图Error! No text of specified style in document.3 MRP多重冗余协议 l 基于多出口负载均衡的链路备份。链路层支持多WAN口出口，实现多出口间的负载均衡和备份，任何一条链路的故障瘫痪不会影响网络的正常运行。 l 基于802.3ad标准的端口聚合。物理端口支持802.3ad标准，可实现多物理端口聚合，帮助用户做到“零投资”带

12、宽倍增。 l 基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于1秒钟。 l 基于状态增量同步的多机集群。支持主动负载均衡、会话保护和接管以及主动配置同步等功能，尤其是采用国内首创的“状态增量同步技术”解决多台UTM安全网关之间的状态一致性问题，实现了业务在多台安全网关之间的平滑任意分布和切换，解决了采用VRRP协议和动态路由协议带来的“业务续断问题”，最多可以支持高达8台的UTM安全网关集群。 3.1.4 无缓存的协议重组和跨数据包连续匹配技术 东软UTM安全网关还针对协议重组模块为保存会话信息、应用层

13、协议分析和解码、特征匹配等工作而带来的大量内存拷贝动作，采取了无缓存的协议重组和跨数据包连续匹配技术，减少了数据的延迟，此技术已申请相关的专利。 图Error! No text of specified style in document.4无缓存连续检测技术示意图 3.2 产品特色 3.2.1 双引擎病毒防护 东软安全网关通过对防病毒功能的不断优化，全新推出了双病毒防护引擎（标准引擎、增强引擎）和双病毒库（标准病毒库、增强型病毒库）。一方面避免了不同引擎因设计思路不同而发生的个别漏报情况，另一方面双引擎合并使得内置病毒库的数量达到600W以上，全面实现了对各种标准/变种

14、病毒、蠕虫的准确查杀。基于统一引擎设计原理，使得双病毒防护引擎完美结合，在保证检测率的同时产品性能也不会出现明显下降。 3.2.2 全开启性能 UTM产品的全开启性能是指同时开启入侵防御和防病毒等主要安全模块后的性能表现，所以想要突破UTM产品的性能瓶颈就必须从优化入侵检测引擎和防病毒引擎两部分入手。东软具有业界领先的入侵检测引擎和防病毒引擎，同时采用ASIC硬件架构，使得UTM全部功能都打开整体性能下降小于30%。 3.3 基本功能 3.3.1 细粒度的高性能网络访问控制 在东软UTM安全网关中，通过深度防护规则实现网络访问控制，深度防护规则包含源地址、目的地址、源端

15、口、源MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控制子选项，对于不符合规则的访问，系统可以拦截并发出日志告警。 l 支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制。 l 支持状态检测功能，支持连接状态非优先匹配和连接状态优先匹配两种状态检测模式；不仅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制，还支持基于的访问控制。 l 支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等协议的透明代理，支持自定义端口的透明代理功

16、能，支持基于透明代理的深度内容过滤；支持FTP多线程透明代理控制。 l 支持透明DNS代理服务，支持DNS二级服务器的透明代理； l 支持IP/MAC地址绑定，支持IP/MAC地址对的自动探测和唯一性检查；支持IP/MAC的批量绑定。 l 支持基于客户端的本地认证、远程Web认证，以及Radius等第三方认证；支持基于USBKEY的证书方式认证。 l 可以根据IP、协议、网络接口、时间定义、端口、P2P应用的带宽分配策略；支持最小保证带宽和最大限制带宽；支持多种带宽定义，包括最小保证带宽和最大限制带宽；支持分层带宽控制，可分4层进行控制，保证细粒度管理水平；支持带宽优先级管理，可为不同

17、用户、应用、策略分配不同的优先级。 3.3.2 性能和功能完美匹配的病毒防御 东软和江民科技在病毒防御方面深入技术合作，东软UTM安全网关的病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化，由东软和江民科技共同组建的网络病毒攻防实验室为该引擎提供专用病毒规则库，使安全网关的病毒检测率和处理性能获得质的突破：在保持高病毒检测率的同时，系统性能下降不超过20%，是业界第一个建议用户把网络访问控制、病毒防御、入侵防御等全部功能同时开启使用的安全网关产品。 l 可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御，支持自定义非标准端口的HTTP,SMTP,FTP,P

18、OP3,IMAP协议中的病毒检测。 l 支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描。 l 采用自有知识产权的病毒防御引擎（包括病毒检测引擎和病毒分析引擎），采用国内知名病毒厂商特征库，可检测不少于20万种病毒，支持根据用户需求自定义病毒特征。 l 可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等，采用不同的病毒防御策略。 l 可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒 l 可以对当前主流的蠕虫做检测与阻断，例如： RedCode、Slammer、sober等

19、 l 内置病毒库，支持病毒库本地升级，病毒库可实时在线升级。 l 支持基于病毒防护策略设置阻断、清除、记录日志，发送电子邮件报警等，基于关联安全标准(Correlative Secure Criterion），可以和其他安全设备和系统联合响应。 3.3.3 精准高效的入侵防御 东软公司拥有一支高水平的产品研发和攻防团队，公司设有专门的攻防实验室、安全技术实验室，以及专业信息安全服务团队，每日阅读各类网络安全新闻、搜集新发布的攻击程序，分析系统与应用的漏洞，仿真、分析、发掘攻击的特定行为，寻找新的攻击特征，并反映到攻击特征库中，保证了攻击特征的及时更新。 东软UTM安全网关系列产品

20、经过多年的研发和持续的改进，在蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御方面具备了完善的检测、阻断、限流、审计报警等防御手段，完全满足用户的各种应用需要。 l 可以检测和阻断RedCode、Slammer、sober，Zotob、nimda等多种国内外流行的蠕虫病毒，并可通过会话数管理防御未知蠕虫病毒的攻击。 l 可检测和阻断Sub7、netbus、bandook、Doly、GateCrasher等多达200多种国内外主流的后门程序。 l 可以检测和阻断灰鸽子、Storm、Duntek等多达200多种国内外主流的木马。 l 可以检测和阻断IECodec、Spybudd

21、y等多达400多种国内外主流的间谍软件。 l 可以检测和阻断CGI、Unicode等间谍软件，而且还包括多达200多种Web攻击。 l 不但可以检测和阻断ARP攻击、UDPFlooding、SynFlooding 等网络层拒绝服务攻击，而且还可以处理CC，DNS Query Flooding等多种应用拒绝服务攻击。 l 可检测可抵御的DDoS攻击多达100多种。 l 对所有的攻击行为不但可以检测和阻断，同时支持审计、报警、限值带宽等防御手段。 3.3.4 多层次的高可用性设计 基于联想拥有的大型计算机高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验，东软UTM安全网关通过

22、在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，可有效地保障产品在用户网络应用中的高可用性。 l 高可用性设置 l 支持冗余电源。 l 支持多WAN口备份和负载均衡。 l 支持端口聚合，实现端口备份和零成本扩展带宽。 l 支持双机热备，且切换时间小于1秒钟。 l 支持2～8台多机集群。 l 支持在掉电源、死机、网口故障、网线故障、网络链路不通等情况下的HA切换，切换时间小于3秒。 l 支持虚拟IP地址和虚拟MAC地址，当出现安全网关切换的时候，不存在IP地址、MAC地址的变化，最大限度的对内部主机透明。 l 支持高可用环境下的配置信息同步，支持配置手工、自动同步

23、和命令同步等方式。 3.3.5 简单易用的管理模式 l 面向对象的虚拟化安全网关引擎，提供最弹性化的管理方式。每一对实体安全网关可配置不同的规则集，每一个规则集所包含的规则，都可依据来源/目的端IP地址或是时间范围来决定对应的处理方式。 l 支持Web图形界面、命令行界面管理。 l 支持SSH远程、串口本地管理。 l 支持对CPU、内存、磁盘、网口、用户在线状态、连接数、连接状态、路由表、带宽使用等信息的监控。 l 支持SNMP 协议，可通过第三方网络管理软件进行管理。 l 支持配置文件的备份、下载、恢复和上载，支持配置文件的部分备份和恢复。备份数据可读，可打印，导出时数据可加

24、密存储。 l 支持本地和远程系统升级。 四. IPS入侵防御系统 l 多重数据处理机制 网御入侵防护系统内置多重数据处理机制，通用安全平台（VSP）基于微内核设计架构实现面向网络、应用的吞吐与安全处理；矩阵式并行处理机制面向多核处理器资源实现策略匹配、抗攻击、内容过滤、数据加解密等安全功能模块的智能调度；高可靠性集群技术采用MRP多重冗余协议，实现物理层、链路层、网络层、实体层等多个层面多元化冗余设计保障系统的高可用性；系统采用专利级的无缓存的协议重组和跨数据包连续匹配技术，减少了数据的延迟。 l 通用安全平台(VSP)技术 网御IPS采用了自主研发的专用安全软件平台——

25、VSP（Versatile Security Platform）通用安全平台。该平台参照国际标准，基于先进的体系结构设计，集实时操作系统、网络处理、安全应用等技术于一身，具有高效、智能、安全、健壮、易扩展等特点，是网御网关类产品所用的通用平台。 图: 通用安全平台示意图 VSP面向网络吞吐和安全处理。不同于Linux、FreeBSD等通用操作系统对均衡问题的处理方法，它通过对控制平面和数据平面的分离，将主要资源集中于数据平面，然后进行网络吞吐和安全处理，从而使系统具有极强的实时性和网络吞吐能力。 VSP借鉴微内核设计，基于消息机制，仅将最基本的操作系统功能置于微内核中，而将其余服务和

26、应用程序都放在微内核之上，以确保任何服务和应用的问题都不会造成整个系统的崩溃。 VSP将对硬件的支持模块化、抽象化，以适用多种硬件平台、多种硬件架构的需求。采用VSP平台技术的安全产品可以很方便的移植到多个硬件平台上，而上层软件无需修改，满足用户不同要求与定位的产品需求。 l 统一安全引擎（USE：Uniform Secure Engine） 网御IPS采用高效的统一防御引擎USE。它将应用协议分析、异常行为管理、入侵防御等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。 图: 统一安全引擎示意图 USE克服了传统上各个安全引擎独自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，协议分析机、应用识别、内容检测、异常分析等引擎协同工作，对于监测的数据包，一次性拆包即可完成2-7层的检测，同时采用网御星云的专利技术——基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。 统一安全引擎通过多协议融合分析技术和事件关联再分析技术，综合内容实体，时间因素，提高了安全事件的检测率。USE采用标准化的技术，对内提供统一服务接口，使安全功能易于扩展，充分满足安全需求的快速发展；对外实现安全策略的统一配置，给用户带来可管理的等级化安全。