华为eNSP防火墙UTM技术

UTM介绍

UTM(Unified Threat Management)统一威胁管理，融合了IPS入侵检测系统、AV网关防病毒、上网行为管理、放DDOS攻击等特性，为更好的解决来自企业内部和外部的攻击威胁提供了强有力的保障。

---

入侵检测与防御技术

入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据，使信息系统不可靠或不能使用的行为。入侵企图破坏信息系统的完整性、机密性、可用性和可控性。

典型的入侵行为：

• 篡改Web网页
• 破解系统密码
• 复制/查看敏感数据
• 使用网络嗅探工具获取用户密码
• 访问未经允许的服务器
• 其他特殊硬件获得原始网络包
• 向主机植入特洛伊木马程序

入侵检测及入侵检测系统

入侵检测(ID，Intrusion Detection)：通过监视各种操作，分析、审计各种数据和现象来实时监测入侵行为的过程，它是一种积极和动态的安全防御技术。入侵检测的内容涵盖了授权和非授权的各种入侵行为，例如：违反安全策略行为、冒充其他用户、泄露系统资源、恶意行为、非法访问以及授权者滥用权力等

入侵检测系统(IDS，Intrusion Detection System)：用于入侵检测的所有软硬件系统。入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料，并能及时分析和判断整个系统环境的目前状态，一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等，立即启动有关安全机制进行应对，例如，通过控制台或电子邮件向网络安全管理员报告案情，立即中止入侵行为、关闭整个系统、断开网络连接等。

防火墙与入侵检测系统

• 防火墙属于串路设备，需要做快速转发，无法做深度检测
• 防火墙无法正确分析掺杂在允许应用数据流中的恶意代码，无法检测来自内部人员的恶意操作或误操作
• 防火墙属于粗粒度的访问控制，IDS属于细粒度的检测设备，通过IDS可以更精确的监控网络

入侵防御系统

入侵防御系统(IPS，Intrusion Prevention System)：入侵防御系统是在发现入侵行为时能实时阻断的入侵检测系统。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。

IPS在网络中一般有两种部署方式：

• 旁路：

1. SPAN：接在交换机上，通过交换机做端口镜像。
2. TAP：通过专用的流量镜像设备，部署在网络边界。即原来的流量正常通行，同时分出一股出来供检测设备分析使用。

• 直路：Inline：串接在网络边界，在线部署，在线阻断。

入侵防御系统技术特点

• 在线模式：能够让IPS实时阻断到发现的网络攻击行为，避免IDS发现攻击，而无法实时阻止攻击行为发生的缺陷，最大限度的提升系统的安全性。
• 自学习和自适应：IPS能够通过自学习和自适应将系统的漏报与误报降到最低，减少对业务的影响。
• 自定义规则：IPS能够自定义入侵防御规则，最大限度的对最新的威胁做出反应。
• 业务感知(SA，Service Awareness)：让IPS能够检测到基于应用层的异常与攻击。
• 实时阻断：因为IPS采取的是在线部署方式，所以能够在发现攻击的同时实时阻断攻击，最大限度的提高了保护对象的安全性。

---

网关防病毒技术

网关防病毒主要实现方式

• 代理扫描方式：将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测。
• 流扫描方式：依赖于状态检测技术以及协议解析技术，简单的提取文件的特征与本地签名库进行匹配。
• 基于代理的防病毒网关可以进行更多的如解压，脱壳等高级操作，检测率高。但是由于进行了文件全缓存，其性能、系统开销较大。基于流扫描的防病毒网关性能高，开销小，但该方式检测率有限，无法应对加壳、压缩等方式处理过的文件。

网关防病毒典型技术

• 文件识别技术：利用文件识别技术能够准确识别出文件的类型。识别一个文件的类型有多种方式，如根据后缀名或文件的真实内容。后缀名是允许用户修改的，因此并不可靠，根据文件真实内容识别则更加可靠，文件真实类型的识别一般可以由文件的前64字节就可以判断出。
• 脱壳技术：实际应用中，恶意代码为了隐藏自己通常会加壳。为了使病毒检测引擎能够检测出恶意代码中的特征，病毒检测引擎需要利用脱壳技术首先进行脱壳操作。
• 解压技术：对于压缩过的文件无论是入侵检测系统还是病毒检测系统都无法直接检测，因此需要解压技术对文件先进行解压，然后再实施病毒检测操作。
• 静态识别技术：利用静态识别技术从病毒体内提取的原始数据片断，以及该片断的位置信息可以实现快速的静态分析，病毒检测的精确度高，误报少。
• 动态虚拟机技术：利用动态虚拟机技术，首先提供一个完全模拟x86指令集的可执行受管理程序的虚拟执行环境，让待检测的程序直接在该环境中执行一些指令，从而实现病毒的动态检测。

---

防火墙UTM特性配置大致流程

UTM基础配置

在使用防火墙UTM功能前，首先需要完成以下基础配置：

1. 申请并激活license
2. 升级知识库、病毒库

license申请流程

入侵防御配置思路

网关防病毒AV配置思路