第1章 UTM(统一威胁管理)概论 1
1.1 网络边界的安全防护 1
1.1.1 网络边界 1
1.1.2 网络边界面临的威胁 2
1.1.3 网络边界安全传统的防护方式 3
1.1.4 传统防护方式的问题 6
1.2 UTM的来源与定义 8
1.3 UTM与传统网关的关系 9
1.4 UTM的价值 11
1.5 UTM的市场状况 14
1.6 UTM的发展趋势 15
第2章 UTM的实现与关键技术 18
2.1 UTM的实现方式 18
2.2 UTM面临的挑战 20
2.3 UTM的硬件平台 21
2.3.1 x86架构 21
2.3.2 NP架构 22
2.3.3 ASIC架构 22
2.3.4 多核SOC架构 23
2.3.5 多核是最适合UTM的架构 23
2.4 UTM的软件技术 24
2.4.1 驾驭多核的关键软件技术 24
2.4.2 基于标签的综合匹配技术 26
2.4.3 最优规则树技术 27
2.4.4 应用层协议类型精确识别技术 27
2.4.5 多模匹配算法 29
2.4.6 事件关联与归并处理技术 30
2.4.7 基于知识库的非法连接请求动态抽样与分析技术 31
第3章 访问控制 32
3.1 UTM与访问控制 32
3.1.1 为什么UTM设备必须拥有访问控制的功能 32
3.1.2 UTM的访问控制功能的特殊性 33
3.2 UTM访问控制的设计策略 38
3.2.1 网络服务访问策略 38
3.2.2 UTM的设计策略 40
3.2.3 设计UTM策略时需考虑的问题 41
3.3 UTM访问控制功能的关键技术 41
3.3.1 状态检测技术 41
3.3.2 网络地址转换技术 43
3.3.3 防拒绝服务攻击技术 47
第4章 入侵防御 54
4.1 入侵防御与UTM 54
4.1.1 入侵防御技术的由来 54
4.1.2 入侵防御技术在UTM上的实现 55
4.1.3 UTM中入侵防御功能的价值 56
4.2 UTM中的入侵防御功能与专业IPS的关系 57
4.2.1 从位置看区别 57
4.2.2 从保护对象看区别 57
4.2.3 从发展趋势看区别 58
4.3 入侵防御技术解析 58
4.3.1 入侵防御技术的分类 58
4.3.2 入侵防御技术的定义 59
4.3.3 入侵防御技术的基本原理 60
4.3.4 入侵防御与入侵检测的关系 61
4.3.5 入侵检测技术 63
4.3.6 入侵响应技术 66
4.3.7 高速数据处理技术 67
4.3.8 入侵报警的关联分析技术 69
4.4 入侵防御在UTM上的配置案例 70
4.4.1 系统预置入侵防御事件集 70
4.4.2 用户自行建立新的事件集 71
4.4.3 建立安全防护表并引用IPS事件集 74
4.4.4 在安全策略中引用安全防护表 75
4.4.5 自定义入侵防御事件 76
4.4.6 自定义事件的配置 77
第5章 防病毒 79
5.1 UTM为什么需要承载防病毒模块 79
5.1.1 病毒的发展与危害 79
5.1.2 防病毒与UTM结合的意义 81
5.2 UTM的病毒检测技术 83
5.2.1 病毒检测方法 83
5.2.2 流检测技术 86
5.2.3 混合攻击检测技术 87
5.2.4 未知病毒检测技术 88
5.3 UTM中防病毒的灵活性 89
5.3.1 技术灵活性 89
5.3.2 应用灵活性 90
5.4 UTM网关防病毒与主机防病毒的关系 92
5.4.1 在防病毒方面的功能定位 92
5.4.2 主机防病毒面临的脆弱性 93
5.4.3 UTM网关避免了主机防病毒的弊端 93
5.4.4 UTM网关防病毒与主机防病毒的互补关系 94
第6章 内容过滤 95
6.1 内容过滤的概述 95
6.1.1 UTM中内容过滤的范畴 69
6.1.2 内容过滤、内容监管、内容安全的关系 97
6.2 UTM内容过滤的问题与设计 99
6.2.1 互联网内容过滤的设计与问题 99
6.2.2 面向机构内部内容过滤的设计与问题 101
6.3 设计UTM内容过滤技术的方法 103
6.3.1 URI/Web过滤 104
6.3.2 关键字过滤 105
6.3.3 基于内容权重过滤 106
6.3.4 文件及应用过滤 107
6.3.5 贝叶斯统计模型 108
6.4 内容过滤的应用与发展趋势 108
6.4.1 内容过滤的部署 109
6.4.2 UTM内容过滤应用的发展趋势 111
6.4.3 内容过滤技术的发展趋势 112
第7章 反垃圾邮件 114
7.1 垃圾邮件的危害及现状 115
7.1.1 垃圾邮件的种类和定义 115
7.1.2 垃圾邮件的危害 116
7.1.3 我国垃圾邮件的现状 117
7.2 UTM中的反垃圾邮件 119
7.2.1 为什么UTM中需要反垃圾邮件 119
7.2.2 UTM中实现反垃圾邮件的挑战和应对 120
7.2.3 UTM中实现反垃圾邮件的优势 121
7.2.4 UTM反垃圾邮件与反垃圾邮件网关的区别 123
7.3 UTM中常用的反垃圾邮件技术 125
7.3.1 实时黑名单技术 126
7.3.2 内容过滤 126
7.3.3 贝叶斯过滤 127
7.3.4 可追查性检查 129
7.4 UTM中反垃圾邮件配置举例 130
第8章 上网行为管理 133
8.1 无序上网行为引发的问题 133
8.1.1 无序上网行为的分类 133
8.1.2 无序上网行为的危害 137
8.2 上网行为管理的难点 138
8.2.1 以迅雷为例分析上网行为管理的难点 138
8.2.2 传统安全设备的局限性 140
8.3 通过UTM来实现上网行为管理 141
8.3.1 UTM实现上网行为管理的关键技术 142
8.3.2 基于UTM安全策略进行上网行为管理 143
8.3.3 UTM设备保证关键业务的带宽 144
8.3.4 UTM设备的协议识别技术的实时更新 144
8.4 UTM上网行为管理的应用举例 144
8.4.1 通过时间因素进行控制 144
8.4.2 对iM工具传输文件进行查毒或者阻断 145
8.4.3 对P2P的应用进行有效限制 145
8.4.4 对网络游戏和股票软件进行控制 146
第9章 虚拟专用网(VPN)技术 148
9.1 UTM与虚拟专用网 148
9.1.1 为什么用户需要VPN技术 148
9.1.2 传统的VPN网关 148
9.1.3 传统VPN解决方案存在的问题 149
9.1.4 采用UTM构建VPN 149
9.2 虚拟专用网 151
9.2.1 虚拟专用网的定义 151
9.2.2 虚拟专用网技术的价值 151
9.2.3 虚拟专用网的安全性 151
9.2.4 虚拟专用网的分类 152
9.3 基于IPSec的VPN体系结构 153
9.3.1 IPSec简介 153
9.3.2 IPSec头部认证协议(AH) 154
9.3.3 IPSec封装安全负载协议(ESP) 154
9.3.4 IPSeC的基础:安全联盟—ecuty Association 154
9.3.5 IPSec互联网密钥交换协议 155
9.3.6 IPSec VPN在UTM中的实现 155
9.3.7 在UTM中配置IPSec VPN 158
9.3.8 IPSec VPN的优点和缺点 160
9.4 SSL VPN技术 161
9.4.1 SSL简介 161
9.4.2 SSL协议的工作流程 162
9.4.3 为什么会出现SSL VPN 162
9.4.4 SSL VPN的定义 163
9.4.5 SSL VPN的优势 163
9.4.6 SSL VPN的发展 164
9.4.7 在UTM中配置SSL VPN 165
9.5 L2TP技术 171
9.5.1 L2TP简介 171
9.5.2 L2TP协议的原理 172
9.5.3 L2TP VPN的优缺点 173
9.5.4 L2TP VPN在UTM中的实现 174
9.6 通用路由封装(GRE) 175
9.6.1 GRE简介 175
9.6.2 GRE协议的原理 175
9.6.3 GRE的优缺点 176
9.6.4 GRE隧道在UTM中的实现 176
9.7 VPN典型应用案例 177
第10章 内网安全管理与UTM 179
10.1 管理,从用户认证开始 179
10.1.1 简便易行的Web认证方式 180
10.1.2 UTM适合采用Web认证 180
10.1.3 单纯认证的不足之处 181
10.2 从用户认证到内网管理 181
10.2.1 为什么需要内网管理 181
10.2.2 内网安全如何解决 182
10.2.3 内网管理系统常见的准入控制方式 183
10.3 UTM与内网安全管理系统的组合 184
10.3.1 采用UTM实现准入控制 184
10.3.2 UTM+内网管理系统联动方案的实现 184
10.3.3 UTM+内网管理系统组合的作用 185
10.3.4 UTM+内网管理系统组合的常见流程 185
10.3.5 UTM与内网管理系统联动的用户价值 186
10.4 身份认证及准入控制相关技术 187
10.4.1 身份验证和授权 187
10.4.2 密码技术 188
10.4.3 加密算法 188
10.4.4 DES/3DES算法介绍 189
10.4.5 RSA算法介绍 191
10.4.6 PKI与CA 192
10.4.7 LDAP 194
10.4.8 活动目录协议(AD)简介 195
10.4.9 远程验证拨入用户服务(RADIUS) 196
10.4.10 TACACS+ 196
10.5 准入控制与UTM结合的发展趋势 197
10.5.1 内网安全管理和UTM的协同控制 197
10.5.2 UTM从互联网网关逐步发展至域控制器 198
10.5.3 UTM、准入控制与可信网络连接 198
第11章 UTM的高可用性 200
11.1 什么是高可用性 200
11.2 UTM设备高可用性的意义 201
11.3 UTM高可用性的分类及原理 202
11.3.1 VRRP/HSRP技术 202
11.3.2 UTM的双机热备 204
11.3.3 UTM设备高可用性技术的选择 205
11.3.4 应用情况说明 206
11.4 UTM高可用性的用户价值 207
11.4.1 用户场景支持 207
11.4.2 自动同步配置 208
11.4.3 防病毒与入侵检测特征同步 208
11.5 UTM设备双机热备典型应用案例 209
11.5.1 路由模式主备模式组网 209
11.5.2 NAT模式主备模式组网 209
11.5.3 透明模式主备模式组网 210
11.5.4 路由模式下主主组网 211
11.5.5 透明模式下主主组网 211
第12章 流量管理 213
12.1 流量管理的内涵与意义 213
12.2 UTM中的流量管理技术与应用 214
12.2.1 服务质量(QoS) 215
12.2.2 NetFlow 219
12.2.3 UTM中的会话管理 229
第13章 日志分析和审计 232
13.1 日志分析和审计系统与UTM结合的意义 233
13.2 Syslog与日志分析 234
13.2.1 Syslog协议 234
13.2.2 日志分析 237
13.2.3 日志存储 241
13.2.4 日志分析参考规范 243
13.3 网络系统安全审计 244
13.3.1 网络系统安全审计的重要性 245
13.3.2 安全审计技术的分类 245
13.3.3 网络审计技术的应用 246
13.3.4 网络安全审计的关注点 247
13.3.5 网络安全审计的展示能力 247
13.3.6 网络安全审计的应用举例 248
13.4 业务跟踪和分析 249
13.4.1 资产跟踪和分析 250
13.4.2 用户跟踪和分析 253
13.4.3 文件跟踪和分析 256
13.5 数据中心 257
13.5.1 功能概述 257
13.5.2 功能要素 258
13.5.3 数据中心对UTM的意义 262
13.6 日志分析和审计系统在UTM上的应用 262
13.6.1 日志产生 263
13.6.2 日志发送 265
13.6.3 日志接收 265
13.6.4 分析和审计 266
13.6.5 产生报表 266
第14章 UTM的系统管理 267
14.1 以安全策略为核心的UTM系统管理 268
14.1.1 从命令行到GUI管理 268
14.1.2 从访问控制列表到安全策略 270
14.1.3 以安全策略为核心的UTM系统管理 271
14.1.4 基于安全策略的连接管理 275
14.2 UTM“易管理”的实现 277
14.2.1 UTM管理的复杂性 277
14.2.2 “简单”管理的目标和原则 278
14.2.3 “简单”管理的实现方法 279
14.2.4 UTM“简单”管理的实例 280
14.3 UTM管理的安全性考虑 282
14.3.1 使用安全的设备管理方式 282
14.3.2 UTM管理员的安全策略 285
14.3.3 UTM配置管理的PDR安全模型 288
14.4 UTM系统的升级与更新 289
14.4.1 升级和更新对UTM的重要性 289
14.4.2 UTM升级和更新的原则 291
14.4.3 使用集中管理中心的统一升级 293
14.5 UTM的集中管理 293
14.5.1 UTM为什么需要集中管理 293
14.5.2 UTM集中管理所关注的内容 295
14.5.3 UTM集中管理中心部署的实例 296
第15章 UTM在安全体系中的位置和作用 301
15.1 安全体系结构概述 301
15.1.1 安全体系的层次化结构 301
15.1.2 安全体系的多样化结构 302
15.1.3 安全建设的思路和方法 303
15.1.4 UTM在安全体系中的位置 304
15.1.5 UTM在安全体系中的作用 305
15.2 安全体系构筑的案例 306
15.2.1 企业应用 306
15.2.2 教育应用 310
15.2.3 政府应用 312
参考文献 315