病毒也要社交化 H3C UTM给中小企业启示

进入2012年，随着针对性攻击数量的增加及多媒体类型威胁的上升，公司与互联网个人用户都将会更加深入的体会到网络安全形势日趋严峻。另外，随着智能手机的普及，网络犯罪分子也将目光从电脑转移到手机上，不断开发出新的更加隐蔽的手机恶意软件，造成日益严重的手机安全问题。

手机被“加入”僵尸网络

M86安全实验室发布了一份最新调查报告。报告指出：从2012年开始，移动类威胁正在以惊人的速度增长；Android系统已经成为网络犯罪分子最关注的移动平台，多种多样的攻击手段纷纷出现，导致用户成为木马及恶意软件的最佳攻击目标。与此同时，由于越来越多的用户选择将个人移动设备与企业的办公设备进行连接，从而进一步促使了网络犯罪分子的频繁攻击，以达成将这些设备变成僵尸网络客户端的目标。

恶意软件进入“社交”时代

近来，网络上又出现了一种被称为“likejacking”的社会化网络欺骗模式。它可以将恶意页面伪装成朋友分享的可信内容，并诱骗广大用户点击，从而达到侵入系统的目的。实际上，快捷网址和虚假调查等方式也开始被用于社会化网络诈骗，这类欺骗通常是让用户认为自身所运行的应用是安全可靠的，但下载的软件中却包含可以盗窃个人信息的恶意软件。

“针对性”攻击将变得更加复杂化

在2011年网络犯罪分子有针对性攻击的威力达到了新的高度。通过对攻击模式进行优化，网络犯罪分子让著名商业和政府机构也纷纷中招。索尼和RSA就是两个典型的例子。由于用户数据受到攻击，导致公司业务连续性被破坏，这也可以显示出有针对性攻击的持续威力之大和造成的破坏之深。

木马病毒也要“跨平台”

安全厂商已经发现了一种新的恶意软件，可以攻击PC和Mac电脑。flashback恶意软件利用java安全弱点，感染了成百上千台Mac电脑。和flashback一样，当攻击的时候，这种java applet可以检测被攻击者运行的是哪种操作系统，然后下载相应平台的恶意软件。骇客喜欢使用跨平台的插件作为攻击媒介，这样就可以使他们把更多的操作系统平台作为攻击目标，进而获取更多的潜在被攻击用户。

复杂安全形势下UTM引关注

面对日趋复杂的网络安全环境，以及情势并不明朗的经济危机，企业急需要一种全能应对突发安全问题，又不会耗费太多投资的网络安全设备。UTM成为近年来颇受安全业界关注的一个热门话题，由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。实现UTM需要无缝集成多项安全技术，达到在不降低网络应用性能的情况下，提供集成的网络层和内容层的安全保护。

1、整合所带来的成本降低

将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低，这 使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。

2、降低信息安全工作强度

由于UTM安全产品可以一次性的获得以往多种产品的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以在部署过程中可以大大降低强度。另外，UTM安全产品的各个功能模块遵循同样的管理接口，并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。同等安全需求条件下，UTM安全设备的数量要低于传统安全设备，无论是厂商还是网络管理员都可以减少服务和维护工作量。

3、降低技术复杂度

由于UTM安全设备中装入了很多的功能模块，所以为提高易用性进行了很多考虑。另外，这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用 户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说，使用UTM产品可以提高这些组织应用信息安全设施的质量。

UTM技术优势-整合+动态检测

1、完全性内容保护（CCP）

CCP提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。它具备在千兆网络环境中，实时将网络层数据负载重组为应用层对象（如文件和文档）的能力，而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。CCP还可探测其他各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗。

2、ASIC 加速技术

ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务（如防病毒和内容过滤）的平台， 专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持，仅利用通用服务器和网络系统要实现内容处理往往在性能上达不到要求。

3、定制的操作系统OS

专用的强化安全的OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速，加上智能排队和管道管理，OS使各种类型流量的处理时间达到最小，从而给用户提供最好的实时系统，有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。

4、紧密型模式识别语言

这一智能技术是针对完全的内容防护中大量计算程式所需求的加速而设计的。 状态检测防火墙、防病毒检测和入侵检测的功能要求，引发了新的安全算法包括基于行为的启发式算法，利用在安全要素之间共享信息的优势。这无疑是对付零日攻击、提升检测威胁能力的好办法。

5、动态威胁管理检测技术

　动态威胁防御系统（Dynamic Threat Prevention System， 简称DTPS）是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起，将其中的攻击信息 相互关联和共享，以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起，跟踪每一安全环节的检测活动，并通过启发式扫描和异常检测引擎检查，提高整个系统的检测精确度。

多核新动能 H3C SecPath U200 UTM

H3C SecPath U200是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。提供无线AP功能，方便用户接入。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

1、性能强劲，海量吞吐。

　　我们都知道，UTM产品为整合多种深度安全防护功能，设计了独特的架构，可是，如果处理不好多种安全功能的耦合，即使仅开启防火墙功能，也不会有较好的性能展现。而U200则可以完美的整合多核多线程技术和H3C专有Comware平台，很轻易的克服了这个难点，能够做到多业务并行处理、高稳定、高性能。这样的结果就是：如果仅使用防火墙功能，防火墙性能超强，在同等价位下，性能远高于市面上其他产品，尤其是这次新平台的发布，防火墙性能更是相对于之前提高了一倍。另外，U200系列采用全千兆接口设计，避免因为接口的限制导致防火墙性能无法发挥。这样，用户在选择U200时，完全不需要有对于普通UTM产品的顾虑。

2、完美虚拟，真正的一台抵多台。

对于在资金上量入为出的中小企业来说，设备投入当然是希望“小投入大产出”。如果一台防火墙能够当做多台防火墙用，这带来的成本降低，对于中小企业来说，吸引力是巨大的。U200提供的虚拟防火墙特性，可以实现在一台物理防火墙上虚拟出多个“逻辑防火墙”。每个虚拟防火墙可以实现管理权限虚拟化、独立的资源分配，也就是说每个虚拟防火墙可以有独立的管理员，就像管理一台真实的防火墙一样。而多数市面上的中低端UTM和防火墙产品并不具备这个优势。

3、全面VPN支持。

U200系列支持L2TP VPN、GRE VPN、IPSec VPN和动态VPN等各种VPN，尤其是动态VPN(DVPN)是H3C的私有特性。传统VPN方式是弊端就是必须按照事先的配置进行组网，不仅组网复杂，管理维护工作量很大，而且无法适应动态IP地址环境。U200系列配合H3C的BIMS和VPN Manager的管理组件可以实现全网VPN的统一监控和管理，并很好的解决了动态IP地址的问题。

4、链路聚合，链路带宽扩容行强。

U200系列还专门为中小企业设计了链路聚合功能。这个功能在百兆网络环境中效果尤其明显。现在很多的中小企业还工作在百兆网络环境下，但是与日俱增的网络流量迫使我们要扩充网络带宽，交换机之间或交换机和路由器之间的链路聚合就可以很好的缓解这个矛盾。而部署在网络设备之间的防火墙设备如果不支持链路聚合，带宽扩展就无从谈起。

5、完善的集中管理。

　　分支机构较多的中小企业在部署多台安全设备的时候，面临的最大的问题就是如何管理多台安全设备。因为不可能为每一个分支机构都配置一个网络管理员，而要靠总部的管理一台一台去配置也是工作量很大的事情。H3C针对这种问题，发布了配套的UTM Manager集中管理软件。UTM Manager可以实现多台设备的集中管理，这包括：访问控制策略的统一下发，配置的统一备份和下发，应用程序的统一备份、升级、安全日志(包括NAT日志)的统一收集和分析审计。

第一款中小企业UTM H3C SecPath U200-CS

H3C公司将研发多年的iWare软件平台与全新的多核多线程硬件电路进行了整合，具有自主知识产权的、第一款专门面对普教职教、中小企业等SMB用户的UTM产品SecPath U200-CS率先问世，随后，H3C又推出了SecPath U200-CM、SecPath U200-CA两款产品。开发产品费用的降低，使得产品的制造等一系列随之降低，这从根本上保证了用户拥有成本的降低。

　　针对中小企业IT管理水平相对较低的特点，H3C SecPath U200产品采用了简单易用的Web UI管理方式，支持基于SNMP和TR-069协议的管理，用户可以通过H3C UTM管理软件实现统一管理也可以通过H3C SecCenter安全管理中心实现统一管理。设备运营管理的简单，无疑降低了信息管理的门槛，IT人员的管理成本随之降低。

H3C SecPath U200 CS并没有因为产品是针对中小企业用户需求而推出的，就降低了产品品质；相反其产品品质具备电信级设备高可靠性。H3C SecPath UTM采用H3C公司拥有自主知识产权的软、硬件平台；软硬件平台应用从电信运营商到中小企业用户，经历了多年的市场考验；支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份；36年的平均无故障时间(MTBF)。低故障率保障了中小企业运营成本的降低。

电信级设备高可靠性

采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。

　支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。

　36年的平均无故障时间(MTBF)。

智能图形化的管理

简单易用的Web UI管理。

支持基于SNMP和TR-069协议的管理。

通过H3C UTM管理软件实现统一管理。

通过H3C SecCenter安全管理中心实现统一管理。

市场领先的安全防护功能

完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。丰富的VPN特性：

支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。

实时的病毒防护：

采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。

实时的垃圾邮件防护：

可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。

先进的URL过滤：

实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。

全面的流量管理：

能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。

细致的行为审计：

　　可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。

NAT应用：

　　提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。