utm20安全网关技术白皮书

utm20安全网关技术白皮书内容摘要：

P2P软件，如 、 MSN等 IM即时通讯软件以及 BT、电驴等下载软件，在用 TCP或者 UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。 UTM 安全网关的深度内容检 测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。 UTM安全网关内置了多种深度内容检测技术所依赖的特征码规则，并且可以从网站上更新下载。 依靠这种技术， UTM 安全网关可以封堵目前所有的 P2P软件 ， 避免了最终用户在 IM或者 P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率，并防止 由于员工泄密引起的重大损失。 （ 2）在线网关监控技术： 与其他旁路监听的访问监控产品不同的是， UTM使用了在线网关监控技术。 所有的旁路监听产品，对 UDP发送的数据都难以拦截，并且拦截往往有一定时延，拦 截敏感数据的效果不佳，并且容易遗漏监控数据。 UTM的在线拦截监控技术能保证拦截到所有敏感数据，外出数据无一纰漏。 六、 UTM 安全网关 功能 实现 说明 内网安全管理 随着互联网的发展，越来越多的办公场所为员工提供了上网 条件。 据调查统计，2020年全 美国共有超过 6800万员工在工作时使用互联网。 然而，随着互联网的吸引力和互动性与日俱增，员工正花费越来越多的办公时间上网处理私人事务。 一项新的调查统计表明，由于员工在工作时间滥用互联网，导致美国企业的损失每年高达 1780亿美元。 那么中国的情况如何呢。 据公布的最 新统计显示，中国员工每周上班花在网上处理私人事务的时间高达 ，平均每天超过 1小时。 有 60%的中国员工在工作时间上网浏览个人信件，有 83%中层管理人员由于在办公时间内浏览与工作无关的网站，使得企业有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁。 在中国，约有多于其它地区 8%的员工在上班时间上网进入聊天室，约有多于拉美 16%的员工上网下载音乐，而在上班时间玩游戏的员工这个比例会比其他地区多 12%。 值得注意的是，中国员工比其它地区的员工每周多花 IM、玩游戏、 P2P软件 或流动媒体。 互联网滥用，给中国企业带来了巨大的损失。 如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，成为中国企业迫在眉睫的 紧要任务。 科技推出的 UTM 安全网关 从以下几个方面 来解决上述问题。 (1) 丰富的认证功能 UTM 安全网关 提供了丰富的认证功能，对拥有众多内网用户的企业而言，对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。 UTM 安全网关 基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。 用户启用了Web认证功能以后，除了对客户端的本地身份（如： 用户 名密码认证 、 LDAP、RADIUS等认证） 进行常规性认证以外，还将启用 Web认证。 当客户端在浏览器中输入任意 网址时， UTM 安全网关 会要求用户输入用户名和密码进行认证。 只有当用户输入了正确的帐号，该用户才能够访问 Inter。 UTM 安全网关 灵活的 MAC地址绑定，使得管理员除了对用户进行帐号认证以外，还可以对用户的帐号启用 MAC地址绑定。 这样将用户帐号、 IP以及网卡的 MAC地址三者有效结合，更加完善地对内网用户进行管理。 WEB认证 (2) 深度的内容检测、强大的 P2P拦截功能 在上班时间做与工作无 关的调查统计中，有 60%的被调查员工承认其主要是在玩游戏、和使用 、 MSN等 P2P即时通讯软件。 这些不仅影响了企业员工的正常工作，还造成了企业人力资源的严重浪费，间接造成了企业的巨大损失。 UTM 安全网关 采用了在线网关监控技术实现对包括 ,MSN,SKYPE,BT等任何 P2P软件的流量阻隔，及时封堵了 IM实时通讯软件。 目前的 P2P软件，如 、 MSN等 IM即时通讯软件以及 BT、电驴等下载软件，在用 TCP或者 UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。 UTM 安 全网关 的深度内容检测技术，可以检测出数据包的报文中 相对应的特征码，并根据预置策略进行及时封堵。 UTM 安全网关内置了多种 深度内容检测 技术所依赖的特征码规则， 并且 可以自动更新，管理员也可以从网站 上 手动下载规则。 依靠这种技术， UTM安全网关 可以封堵目前所有 的 P2P软件 ， 避免了最终用户在 IM或者 P2P软件 上浪费时间，提高了员工的工作效率 和企业的生 产 力。 、 MSN、BT等 P2P软件 只有经过了WEB认证才可以上网 拦截 P2P软件 (3) 严格的访问控制策略 UTM 安全网关 提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。 管理员可以对企业的内 网用户分组管理，并且对于每个组的策略， 还 可以基于时间、服务、网址、 关键字 等多种策略进行 更为 严格 的访问控制管理。 (4) 危险网站阻 隔 为了防止 员工 在上班时间访问与工作无关的 网站 ， 避免员工浏览不适当的网站产生相应的违法行为 ， 或 遭受间谍软件 、 网络钓鱼程序攻击导致企 业的机密数据被窃取， 企业的名誉 受损 等事件， UTM 安全网关 可以 对各种危险网站进行阻隔。 由于 互联网上各种危险网站层出不穷，用户根本无法手动更新相应的网站， UTM 安全网关 通过在 线自动更新不良网站列表，减少了企业的维护成本，降低了 企业信息安全、法律责任等相关风险。 (5) 代理识别功能 UTM安全网关 能识别采用 Http、 Https、 Socks等代理服务器绕过防火墙检查的行为，从而进行阻断。 有效地阻止了 某些 最终用户 企图通过代理服务器访问一些危险网站 （许多反动网站、色情网站都是通过此技术来逃避相关部门的管理） 的目的 ， 避免了企业遭受相应的 法律责任 的风险。 (6) 敏感数据拦截 由于采用了深度检测技术， 对于 HTTP、 FTP、 SMTP、 IMAP等应用 协议数据包中含有的敏感数据， UTM 安全网关 能够进行有效的拦截，以防泄密或 由于员工泄密 引起的 重大损失。 敏感数据拦截 (7) 强大的 QOS、丰富的日志报表功能 UTM 安全网关 强大的访问控制和 QOS功能可以使得企业合理利用 Inter资源。 为不同的用户分配不同的带宽和上网权限，使得 Inter资源得到有效利用，并大大提高员工的工作效率。 丰富的报表功能还可以分析出企业的 Inter的详细使用情况，为网络管 理员和决策者 掌握 网络资源 情况 提供 有效数据支持。 访问跟踪、审计 (1) 在线网关监控 技术 区别于旁路监听的访问监控产品， UTM 安全网关 使用了在线网关监控技术。 对于旁路 监听产品，对 UDP发送的数据难以拦截，而且拦截往往有一定时延 ，拦截敏感数据的效果不佳，并且容易遗漏监控数据。 UTM 安全网关 的在线拦截监控技术保证拦截所有敏感数据，外出数据无一纰漏。 UTM 安全网关 不仅可以记录和统计常用 Http、 Smtp、 Ftp、 Pop Tel等多种应用协议，还可以对 、 MSN、 ICQ等多种主 流 IM软件进行监控和控制，以防止通过IM软件造成 机密 泄漏。 在 UTM安全网关 的日志系统中，可以对所有内网用户的上网行为进行实时监控。 可以实时查看内网用户所有的上网记录，包括 Web访问、 FTP、TELNET、邮件（含 Webmail）、 、 MSN、 ICQ、 YAHOO Message等流行 IM软件 的数据。 丰富的报表功能 可以形成完整的日志， 记录 整个网络的上网记录 ，为网络管理员和决策者分配和了解员工网络资源提供有效数据 凭据。 (2) 邮件 的延迟审计 UTM 安全网关 独有的邮件延迟审计功能保证了企业的重要信息不外泄。 目前电子邮件已经成为人们 最重要 的沟通 方式。 电子邮件快捷、 方便 的 特点 已经成为 企业与外部沟通的最有效的方式之一。 企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企 业 机密 的 重要途径之一。 UTM 安全网关 独创的邮件延迟审敏感数据 计功能，可以对经 由 UTM 安全网关 的所有邮件进行延迟审计。 对于内网用户向外 发送的 邮件， UTM 安全网关 会对 其 进行延迟缓存，只有等待管理员审计后才能发出，确保了企业信息资产不外泄，保证了企业内网信息的安全。 邮件延迟审计 (3) 流量分析 UTM 安全网关 能按用户、 用户组、 协议和时间对 Inter流量进行统计分析，以优化员工对 Inter的资源使用情况 ， 使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。 防 间谍软件 功能 间谍软件是一种可以秘密收集有关计算机信息的软件。 通常可以分为广告型间谍软件和 窥探型间 谍软件。 广告型间谍软件一般都是良性的，其主要目的是搜集用户的性别、年龄、电话、电子邮件、 Web浏览习惯等等，发送给后台数据库进行数据分析和数据挖掘，进而有针对性地在用户的电脑上弹出相关的广告窗口。 而窥探型间谍软件相比之下具有更大的危害性，它可能会记录用户所有的键盘操作、网上聊天的内容、访问的网站 甚至银行密码等 机密信息 ，然后秘密地 以电子邮件的方式发送给远程的窥探者，而用户却全然不知。 最新的调查统计表明， 72%的公司网络曾受到间谍软件威胁，有 50%的 IT主管表示他们的 PC已经被间谍软件感染。 可想而 知，间 谍软件对企业的危害是巨大的。 为了防止间谍软件， UTM 安全网关采用了以下三种方式来保护企业的内网络 ，避免 间谍软件对企业 造成 的危害。 (1) 独有的网络访问准入规则 企业的安全隐患，往往是由于内网用户客户端 缺乏 安全 防范造成的。 为了从根本上杜绝企业内部网络安全隐患，减少内网用户遭受间谍软件、病毒的风险。 科技创新性地采用了网络访问准入规则这 一技术。 网络访问准入规则，是管理员在 UTM 安全网关 的准入规则中预先定制好内网计算机的安全策略。 所谓安全策略，是指特定的安全标准。 如：用户计算机的操作系统是否安装有管理员指 定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者邮件 防火墙，或是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定制成相应的安全 策略。 当用户计算机访问网络请求的数据包通过 UTM 安全网关 时，若启用了 WEB认 证 功能 ， 则 用户通 过 WEB认证 后 ， 用户的计算机会自动 从 UTM 安全网关 下载相应的安全策略扫描程 序。 此进程会 根 据指定的安全策略启动扫描程序，并 检查用户的计算机是否具备了相应 的安全策略。 只有符合相应安全策略的计算机才允许访问外部网络， 不具备相应安全条件的用户 计算机，不 允许上网。 这样从根本上提高了企业用户计算机的安全性，减少了企 业 内网 用 户遭受蠕虫、病毒、木马以及间谍软件的风险。 独有的网络访问准入规则 (2) 深度 内容检测 技术 恶意间谍软件程序最常见的传播途径就是在一些恶意站点中嵌入 ActiveX控件作为浏览器控件，当用户无意间浏览到该网址时，该控件会自动安装到用户的电脑上。 UTM 安全网关 通过上层应用的内容检测技术来阻止类似的恶意间谍软件程序的传播。 通过特定规则（如禁止以 dll、 cab、 exe等扩展名的文件下载）的限制，从而阻断了间谍软件的传播途径，防止了内网用户感染 间谍软件的危险。 (3) URL过滤、关键字过滤 通常间谍软件是用户在浏览网页时，下载安装免费软件或无意间浏览到某些恶意站点而感染到的。 当用户在网上冲浪时，无意中浏览到某些恶意设计的站点时，一些ActiveX控件会作为浏览器插件，自动下载并安装到你的电脑当中，而这个插件就是一个间谍软件。 这有些和木马、病毒的传播途 径类似。 UTM 安全网关 中将已知的非法 URL（含有恶意代码的网址连接）做成一个链接库，用户可以 下载更新链接 库来防止间谍软件、木马、病毒等对企业的威胁。 UTM 安全网关 的关键字过滤功能，将一些含有一些明显 特征码的关键字作为过滤条件。 当内网用户在访问互联网时，减少了内网用户遭受间谍程序或木马、病毒的危险，保证了内网的安全。 只有具备了安全级别的计算机才允许访问网络 URL过滤 关键字过滤 (4) 网络监控 由于间谍软件名目繁多，且难以预防。 间谍软件一旦成功潜入内网用户电脑，就会记录用户信息并通过一定的途径向特定的黑客和服务器进行后台通信。 假设当内网用户的电脑已经埋伏了间谍软件以后，我们还有什么办法挽救损失呢。 UTM 安全网关通过日志系统中的网络活动日志，实时监控并记录用户内网所有的网络连接，使得管理人员能够及时发现网络传输中的间谍 软件威胁，阻止网络中已经存在的间谍软件与互联网上的黑客和服务器进行后台通信，防止了企业机密信息的泄漏，并在检测和阻止新的间谍软件时，及时采取相应的安全措施，最大限度减少了企业的损失。 (5) 邮件延迟审计 对于间谍软件的主要传输途径： WEB方式和邮件方式， UTM 安全网关 分别有相应的解决方案。 前面介绍过的 UTM 安全网关 URL 过。