一体化的网络安全——SINFOR UTM安全网关

面对着日益严重的复合型安全威胁，企业为了完整的保护内部IT资源，往往需要投资购买大量的设备，包括VPN、防火墙、防毒网关、IPS、网络监控设备等多种设备。SINFOR UTM 安全网关集所有这些安全功能于一身，一台设备就能提供完整的安全解决方案，省去了购买众多冗余设备的采购成本，并避免了后期管理多个设备的维护成本及与多个品牌的供应商打交道的潜在风险。
在外部安全上，SINFOR UTM 安全网关拥有强大的VPN模块和防火墙模块，除此之外，SINFOR UTM 安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时SINFOR UTM 安全网关还提供了高效的IPS（入侵防御系统）功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。
在内部安全上，为保证企业合理使用Internet资源，防止企业信息资产泄漏，SINFOR UTM 安全网关还提供了完善的访问控制功能。通过合理设置访问权限，杜绝了对不良网站和危险资源的访问，防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术，能有效防止对Internet资源的滥用。UTM 安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。

SINFOR UTM 安全网关主要功能

1，强大的防火墙、VPN功能
Sinfor UTM拥有强大的VPN模块和基于状态检测的防火墙模块，集成了深信服科技Webagent动态IP寻址、HARDCA硬件鉴权和身份识别、多线路绑定、即插即用的移动客户端等发明专利技术，并具有高速数据流压缩、细致的QOS和内网权限设定、虚拟测试防火墙规则杜绝人为配置错误等特色功能。
2，防DOS攻击功能，有效防御内外网的DOS攻击
DoS攻击（拒绝服务攻击）给企业带来的损失是巨大的，通常的防火墙只能防止来自外网的DOS攻击，而无法防御来自企业内部发起的DOS攻击。SINFOR UTM 安全网关不仅可以防御来自外网的DOS攻击，而且对于内网用户发起的DOS攻击，UTM 安全网关也可以进行防御。通过UTM 安全网关丰富的日志系统，管理员可以根据内网DOS攻击日志，查找出企业内网中了木马、或者病毒的用户，从而及时有效地阻断由内网发起的DOS攻击，避免DOS攻击造成的企业网络带宽耗尽，或者因发起DOS攻击可能产生的法律纠纷。
3，IPS系统，保证网络免受攻击
IPS，即入侵防御系统(Intrusion Prevention System)，是抵制外部网络威胁最有效的安全防范技术。SINFOR UTM网关内置的IPS系统已有3000多种攻击特征库，数据库支持在线自动更新。由于采用了特征匹配、协议分析和异常行为检测等多项技术，SINFOR UTM网关的IPS系统能够对所有数据进行实时检测。对于可疑攻击行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。同时，SINFOR UTM网关可设置为只针对符合指定的IP、协议和端口等相应条件的数据流开启IPS功能，降低了UTM网关开启IPS所带来的性能损耗，提高了IPS防御精准度。
4，高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全

（1）网络杀毒：SINFOR UTM的网关杀毒模块采用了灵活的设计手段，可以非常方便的切换到不同厂商的杀毒引擎。经过实际的测试和应用效果检验，深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块，杀毒速度达到50Mb/s，远远超过大多数杀毒厂商的网络杀毒速度，也超过一般用户的Internet带宽。该病毒引擎获得国际权威机构VB 100%的认证，不仅可以查杀普通病毒，还可以检查出各种压缩包(zip，rar，gzip等)内部隐藏的病毒。病毒库每天在线升级，保护内网的所有用户免受病毒困扰。
表3.1：网络杀毒功能一览表

功能	详细指标
支持协议	HTTP、SMTP、POP3、FTP、NETBIOS
邮件附件杀毒	支持
查杀压缩文件类型	Zip、gzip、rar、tar、bz2
网页恶意代码过滤	支持
病毒库升级	自动(每天)/手动
病毒引擎	F-PROT (可切换引擎)

（2）防垃圾邮件：防垃圾邮件功能采用关键字、黑白名单、指纹识别、反向侦测SMTP服务器等多种过滤手段，大大提高了垃圾邮件的识别率、减少误判率。同样，垃圾邮件库也可以在线更新，并且支持用户自己添加垃圾邮件规则。管理员可灵活的设置对病毒或垃圾邮件是立刻删除，还是打包后发给用户提醒邮件。对放置在DMZ区的邮件服务器等应用级系统，也可以得到该网关的妥善保护。

表3.2：防垃圾邮件功能一览表

功能	详细指标
关键字权重过滤	通过对垃圾邮件关键字的权重进行评分来识别垃圾邮件
黑白名单	对SMTP服务器的IP进行黑白名单识别
垃圾邮件指纹识别	根据垃圾邮件的特征进行指纹识别，比如没有发件人或在内容中试图采用防反垃圾邮件的技术等特征
智能应答确认	对疑似垃圾邮件发送确认邮件来减少误判
实时黑名单技术	采用中国反垃圾邮件联盟的RBL进行垃圾邮件识别
升级	提供黑白名单、关键字权重库、垃圾邮件指纹库的自动更新

（3）防间谍软件：SINFOR UTM还集成了深信服“网络访问准入规则”的专利技术，可以保证只有实施了完备的安全措施的PC才能接入Internet，大大减少了用户侧木马和钓鱼软件泄漏用户重要信息的风险。
5，细致的访问控制功能，有效管理用户上网
SINFOR UTM安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、telnet等常用软件的内容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM软件的内容。强大的访问控制和QOS功能还可以为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。
SINFOR UTM安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。
表3.3：访问控制功能一览表

功能	详细指标
危险网站阻隔	使用更新的不良网站列表阻隔对色情、病毒、钓鱼网站的访问
访问控制策略	提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略
P2P拦截	使用深度内容检测技术及在线网关监控技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔
用户认证	提供Web登录认证功能，提供本地用户数据库和LDAP、RADIUS用户数据集成功能
文件上传下载控制	对HTTP、FTP文件上传、下载类型和大小进行控制，也能对QQ、MSN等P2P软件的文件传送进行拦截
IPMAC绑定	提供灵活的IPMAC绑定策略
代理识别功能	能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，从而进行阻断
敏感数据拦截	对HTTP、FTP、SMTP、IMAP等应用协议做敏感数据拦截，以防泄密或引起法律纠纷
流量控制	能针对内网每个用户或者不同的组，限定其上网能占用的带宽资源，使企业内网带宽资源得到充分有效的利用

6，完善的内容安全管理和访问审计功能，防止机密信息泄漏
谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。SINFOR UTM 安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR UTM的访问审计/监控模块为企业构筑了强大的内部安全屏障。
表3.4：访问审计功能一览表

功能	详细指标
邮件延迟审计	对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄
实时监控	实时监控用户的上网行为
内容安全管理	针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录，以监控员工上半时间的工作行为，防止企业内部机密、情报等泄漏，并事后追查责任人

SINFOR UTM 安全网关主要技术优势
1，高度集成，部署灵活
SINFOR UTM 安全网关最大的特点是将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体拥有成本。另外，用户也可以选择仅仅使用AC设备的某个或某几个功能模块，比如将UTM作为杀毒网关或防火墙等单一功能的网络设备使用，可与原有网络安全产品融合，部署灵活的同时也保护了投资。
2，模块化设计，性能强大
UTM 安全网关从以下三个方面来保证其性能的强大：
（1）按服务分别处理模块
大多数企业的数据流并不是都要经过UTM 安全网关的所有模块，比如不是Http、ftp或pop3等协议的数据就不会经过杀毒模块和垃圾邮件处理模块，因而通过针对不同服务的数据流处理模式减少了CPU负担，从而保证数据包处理的高效性。
（2）分优先级处理不同业务模块
UTM 安全网关分不同的优先级别处理不同的业务模块。比如防火墙模块会优先处理，而杀毒就在CPU空闲时处理，这样能有效利用CPU资源，即保证了重要业务数据的及时传送，又保证了所有功能模块都能合理调度。
（3）使用高性能CPU和协处理器负荷分担处理
对于VPN使用协处理器加密，对于高性能应用环境使用多CPU分担处理不同的业务模块，有效保障了整体的处理性能。
3，多WAN口负载均衡、带宽叠加
SINFOR UTM支持2－4个WAN口，可以轻松实现多条Internet线路间的负载均衡和线路备份，大大扩宽企业上网带宽和增加用户使用Internet的稳定性。多WAN口线路备份、带宽叠加特性，不仅仅在VPN功能中生效，同样在防火墙、内容过滤等其他模块中也能达到相应的效果。
4，独特的WEB认证技术
UTM 安全网关基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后，除了对客户端的本地身份（如：用户名密码认证，LDAP、RADIUS等认证）进行常规性认证以外，还将启用Web认证。当客户端在浏览器中输入任意网址时，UTM 安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问Internet。
5，邮件的延迟审计（专利技术）
SINFOR UTM 安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。
SINFOR UTM 安全网关独创的邮件延迟审计功能，可以对经由UTM 安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件，UTM 安全网关会对其进行延迟缓存，只有等待管理员审计后才能发出，确保了企业信息资产不外泄，保证了企业内网信息的安全，且邮件延迟审计对发件人完全透明。
6，独有的网络访问准入规则（专利技术）
企业的安全隐患，往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患，减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。
网络访问准入规则，是管理员在SINFOR UTM 安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者防火墙，或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定制成相应的安全策略。
当用户计算机访问网络请求的数据包通过SINFOR UTM 安全网关时，若启用了WEB认证，当用户通过WEB认证后，此时用户的计算机会自动从UTM 安全网关下载相应的安全策略扫描程序，根据指定的安全策略启动扫描程序，并检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
7，深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件
（1）深度的内容检测技术：目前的P2P软件，如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFOR UTM 安全网关的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。UTM 安全网关内置了多种深度内容检测技术所依赖的特征码规则，并且可以从网站上更新下载。依靠这种技术，UTM 安全网关可以封堵目前所有的P2P软件；避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率，并防止泄密或由于员工泄密引起的重大损失。
（2）在线网关监控技术：与其他旁路监听的访问监控产品不同的是，SINFOR UTM使用了在线网关监控技术。所有的旁路监听产品，对UDP发送的数据都难以拦截，并且拦截往往有一定时延，拦截敏感数据的效果不佳，并且容易遗漏监控数据。SINFOR UTM的在线拦截监控技术能保证拦截到所有敏感数据，外出数据无一纰漏。
产品选型
1，SINFOR UTM 系列产品适用客户
 关注整体安全，并希望降低总体采购成本、维护成本的用户
 对内网安全要求很高，希望加强内网监控、内网审计的用户
2，SINFOR UTM 产品型号
SINFOR UTM安全网关系列产品目前有五款产品：SINFOR M5000-AC、SINFOR M5100-AC、SINFOR M5400-AC、SINFOR M5600-AC及SINFOR M5800-AC。

产品型号	适合客户群	详细指标
M5000-AC	内网用户在100人以内的客户	百兆产品，支持3个百兆网络接口（1 LAN、 1 DMZ、 1 WAN）
M5100-AC	100－300人以内的客户	百兆产品，支持4个百兆网络接口（1 LAN、1 DMZ、 2 WAN）
M5400-AC	300-1000人以内的客户	千兆产品，适合部署在千兆网络环境，支持2个百兆网络接口、4个千兆网络接口（1LAN、1DMZ、4 WAN）
M5600-AC	1000-2000人以内的客户	千兆产品，适合部署在千兆网络环境，支持4个千兆网络接口（1 LAN、1 DMZ、2 WAN），支持双CPU、支持扩展至6个千兆网口
M5800-AC	2000-5000人以内的客户	千兆产品，适合部署在千兆网络环境，支持4个千兆网络接口（1 LAN、1 DMZ、2 WAN），支持四颗CPU、支持扩展至6个千兆网口

（责任编辑：zhaohb）