UTM(統一威脅管理)技術概論

UTM(統一威脅管理)技術概論

本書從UTM(統一威脅管理)的起源開始,立足於實際使用環境和技術,通過多種靈活的方式全面介紹了UTM的實現原理與關鍵技術,覆蓋了訪問控制、入侵防禦、防病毒、VPN(虛擬專用網)、上網行為管理、流量管理、日誌分析和審計以及套用等多個信息安全方面的技術;同時,對UTM技術的發展方向和產品形態方向給出了清晰、嚴謹的預期。 本書適合於有一定網路安全技術基礎的中、高級讀者,特別適合於網路安全相關專業的本科生以及從事網路安全工作的技術人員閱讀,有助於他們快速、全面地了解UTM以及信息安全技術。

基本介紹

  • 書名:UTM(統一威脅管理)技術概論
  • 頁數:332頁
  • 出版社:電子工業出版社
  • 出版時間: 2009-4-1
基本信息,出現背景,目 錄,

基本信息

作 者:啟明星辰 編著
出 版 社: 電子工業出版社
出版時間: 2009-4-1
頁 數:332頁
開 本: 16開
I S B N : 9787121084430
分類: 圖書 >> 計算機>>UTM
定價:¥59.00元

出現背景

UTM出現的背景
隨著各行業信息化進程的深入,網路邊界安全正在進入一個全新的發展階段。各種威脅逐步呈現出網路化和複雜化的態勢,威脅對象由主機資源轉變為網路資源、數量呈現爆炸式增長、形式多種多樣,混合型攻擊層出不窮。尤其在網路邊界,遇到了很多的麻煩,例如:通過系統漏洞自動攻擊並繁殖的蠕蟲病毒、寄生在計算機內提供各種後門和跳板的特洛伊木馬、利用大量傀儡主機進行淹沒式破壞的分散式拒絕攻擊、利用各種手段向用戶傳輸垃圾信息及誘騙信息等。在網路邊界位置,傳統的防護設備——防火牆主要工作在網路層,實現基於連線埠和IP位址的訪問控制,而面對越來越多的蠕蟲、木馬等套用層的威脅便日益顯得無能為力。威脅的不斷智慧型化也需要防護設備加強智慧型化,而且為了在網路邊界構築起強有力的安全防線,實現對各層面威脅的有效防禦,UTM(Unified Threaten Management)(統一威脅管理)的設備便應運而生。
為什麼編著本書
國外的UTM技術和設備早在2002年就已經出現,這得益於國外市場的需求和企業對網路安全的重視,導致UTM蓬勃發展,以每年翻倍的速度迅速成為網路安全建設必備的主流設備,使用量已排在各類安全設備的榜首。UTM已經替代了傳統的防火牆,成為主要的網路邊界安全防護設備,大大提高了網路抵禦外來威脅的能力。
在國內,網路安全技術和市場發展相對緩慢。從2003年就進入中國的UTM,概念上接受很快,UTM設備發展速度也較快,一度出現年增長率超過80%情形;但總體上由於技術積累、硬體平台等方面的因素限制,UTM設備在網路安全產品市場尚未形成主導局面,很多單位和用戶仍然以使用防火牆設備為主。但在威脅日益複雜和多元化的今天,這無疑增加了用戶網路和信息資產的危險係數。
為了讓更多的用戶認識UTM,讓更多的從業人員了解UTM相關技術,促進更多從事信息安全產品研發的企業開發出優秀的設備,為加快我國信息安全產業的發展,提升國家信息安全實力盡一份力,作者編著了此書。
本書的主要內容與特點
本書以UTM涉及的各項技術為主線展開,向讀者介紹傳統安全網關與UTM的區別,傳統的安全技術如何在UTM中套用並發揮更大的價值,UTM中有何難點和關鍵技術,在提高UTM性能方面如何從軟、硬體兩個角度考慮,以及大規模部署UTM時如何有效管理等。此外,本書對UTM的來源、定義與發展歷史做了必要的闡述,對UTM技術發展方向做了展望,同時結合典型用戶的使用環境、給出了使用案例,以幫助讀者深入理解UTM的使用。本書可以為各行業的網路管理與安全人員提供儘可能充分的學習資料,幫助讀者系統了解安全技術、了解UTM設備。同時,本書也適用於大專院校計算機專業有關網路安全課程的教材。
關於本書作者
啟明星辰公司編著本書的主要成員為:
陳勝權:具有10年的網路與信息安全領域工作經歷,先後從事技術開發與支持、技術管理、產品運營與管理等方面的工作;自2004年開始潛心研究UTM技術與市場,對UTM實現原理與技術、產品與市場發展有深刻的理解。現任啟明星辰公司產品管理中心副總監。
任平:具有8年的網路與信息安全領域工作經歷,先後從事技術研究與產品開發、項目管理、產品管理等方面的工作,參與多個重大網路安全項目的設計實施,具有豐富的網路安全經驗。現任啟明星辰公司UTM產品線經理。
陳杰:具有8年的網路與信息安全領域工作經歷,曾在部隊從事多年網路攻防方面的工作,有豐富的實戰經驗,現主要從事信息安全培訓工作,為政府、移動通信、銀行、軍隊等多個大型單位進行過培訓。現任啟明星辰公司培訓部高級培訓講師。
此外,鄧軼、李光朋、萬卿、沈穎、譚闖、褚小艷、肖小劍、黃宇明等參與了本書的編寫修訂工作。
由於水平有限,難免有錯漏之處,請讀者不吝指正,編者不勝感激,將在新的版本中改進和完善。
作者
2009年1月於北京

目 錄

第1章 UTM(統一威脅管理)概論 1
1.1 網路邊界的安全防護 1
1.1.1 網路邊界 1
1.1.2 網路邊界面臨的威脅 2
1.1.3 網路邊界安全傳統的防護方式 3
1.1.4 傳統防護方式的問題 6
1.2 UTM的來源與定義 8
1.3 UTM與傳統網關的關係 9
1.4 UTM的價值 11
1.5 UTM的市場狀況 14
1.6 UTM的發展趨勢 15
第2章 UTM的實現與關鍵技術 18
2.1 UTM的實現方式 18
2.2 UTM面臨的挑戰 20
2.3 UTM的硬體平台 21
2.3.1 x86架構 21
2.3.2 NP架構 22
2.3.3 ASIC架構 22
2.3.4 多核SOC架構 23
2.3.5 多核是最適合UTM的架構 23
2.4 UTM的軟體技術 24
2.4.1 駕馭多核的關鍵軟體技術 24
2.4.2 基於標籤的綜合匹配技術 26
2.4.3 最優規則樹技術 27
2.4.4 套用層協定類型精確識別技術 27
2.4.5 多模匹配算法 29
2.4.6 事件關聯與歸併處理技術 30
2.4.7 基於知識庫的非法連線請求動態抽樣與分析技術 31
第3章 訪問控制 32
3.1 UTM與訪問控制 32
3.1.1 為什麼UTM設備必須擁有訪問控制的功能 32
3.1.2 UTM的訪問控制功能的特殊性 33
3.2 UTM訪問控制的設計策略 38
3.2.1 網路服務訪問策略 38
3.2.2 UTM的設計策略 40
3.2.3 設計UTM策略時需考慮的問題 41
3.3 UTM訪問控制功能的關鍵技術 41
3.3.1 狀態檢測技術 41
3.3.2 網路地址轉換技術 43
3.3.3 防拒絕服務攻擊技術 47
第4章 入侵防禦 54
4.1 入侵防禦與UTM 54
4.1.1 入侵防禦技術的由來 54
4.1.2 入侵防禦技術在UTM上的實現 55
4.1.3 UTM中入侵防禦功能的價值 56
4.2 UTM中的入侵防禦功能與專業IPS的關係 57
4.2.1 從位置看區別 57
4.2.2 從保護對象看區別 57
4.2.3 從發展趨勢看區別 58
4.3 入侵防禦技術解析 58
4.3.1 入侵防禦技術的分類 58
4.3.2 入侵防禦技術的定義 59
4.3.3 入侵防禦技術的基本原理 60
4.3.4 入侵防禦與入侵檢測的關係 61
4.3.5 入侵檢測技術 63
4.3.6 入侵回響技術 66
4.3.7 高速數據處理技術 67
4.3.8 入侵報警的關聯分析技術 69
4.4 入侵防禦在UTM上的配置案例 70
4.4.1 系統預置入侵防禦事件集 70
4.4.2 用戶自行建立新的事件集 71
4.4.3 建立安全防護表並引用IPS事件集 74
4.4.4 在安全策略中引用安全防護表 75
4.4.5 自定義入侵防禦事件 76
4.4.6 自定義事件的配置 77
第5章 防病毒 79
5.1 UTM為什麼需要承載防病毒模組 79
5.1.1 病毒的發展與危害 79
5.1.2 防病毒與UTM結合的意義 81
5.2 UTM的病毒檢測技術 83
5.2.1 病毒檢測方法 83
5.2.2 流檢測技術 86
5.2.3 混合攻擊檢測技術 87
5.2.4 未知病毒檢測技術 88
5.3 UTM中防病毒的靈活性 89
5.3.1 技術靈活性 89
5.3.2 套用靈活性 90
5.4 UTM網關防病毒與主機防病毒的關係 92
5.4.1 在防病毒方面的功能定位 92
5.4.2 主機防病毒面臨的脆弱性 93
5.4.3 UTM網關避免了主機防病毒的弊端 93
5.4.4 UTM網關防病毒與主機防病毒的互補關係 94
第6章 內容過濾 95
6.1 內容過濾的概述 95
6.1.1 UTM中內容過濾的範疇 96
6.1.2 內容過濾、內容監管、內容安全的關係 97
6.2 UTM內容過濾的問題與設計 99
6.2.1 網際網路內容過濾的設計與問題 99
6.2.2 面向機構內部內容過濾的設計與問題 101
6.3 設計UTM內容過濾技術的方法 103
6.3.1 URL/Web過濾 104
6.3.2 關鍵字過濾 105
6.3.3 基於內容權重過濾 106
6.3.4 檔案及套用過濾 107
6.3.5 貝葉斯統計模型 108
6.4 內容過濾的套用與發展趨勢 108
6.4.1 內容過濾的部署 109
6.4.2 UTM內容過濾套用的發展趨勢 111
6.4.3 內容過濾技術的發展趨勢 112
第7章 反垃圾郵件 114
7.1 垃圾郵件的危害及現狀 115
7.1.1 垃圾郵件的種類和定義 115
7.1.2 垃圾郵件的危害 116
7.1.3 我國垃圾郵件的現狀 117
7.2 UTM中的反垃圾郵件 119
7.2.1 為什麼UTM中需要反垃圾郵件 119
7.2.2 UTM中實現反垃圾郵件的挑戰和應對 120
7.2.3 UTM中實現反垃圾郵件的優勢 121
7.2.4 UTM反垃圾郵件與反垃圾郵件網關的區別 123
7.3 UTM中常用的反垃圾郵件技術 125
7.3.1 實時黑名單技術 126
7.3.2 內容過濾 126
7.3.3 貝葉斯過濾 127
7.3.4 可追查性檢查 129
7.4 UTM中反垃圾郵件配置舉例 130
第8章 上網行為管理 133
8.1 無序上網行為引發的問題 133
8.1.1 無序上網行為的分類 133
8.1.2 無序上網行為的危害 137
8.2 上網行為管理的難點 138
8.2.1 以迅雷為例分析上網行為管理的難點 138
8.2.2 傳統安全設備的局限性 140
8.3 通過UTM來實現上網行為管理 141
8.3.1 UTM實現上網行為管理的關鍵技術 142
8.3.2 基於UTM安全策略進行上網行為管理 143
8.3.3 UTM設備保證關鍵業務的頻寬 144
8.3.4 UTM設備的協定識別技術的實時更新 144
8.4 UTM上網行為管理的套用舉例 144
8.4.1 通過時間因素進行控制 144
8.4.2 對IM工具傳輸檔案進行查毒或者阻斷 145
8.4.3 對P2P的套用進行有效限制 145
8.4.4 對網路遊戲和股票軟體進行控制 146
第9章 虛擬專用網(VPN)技術 148
9.1 UTM與虛擬專用網 148
9.1.1 為什麼用戶需要VPN技術 148
9.1.2 傳統的VPN網關 148
9.1.3 傳統VPN解決方案存在的問題 149
9.1.4 採用UTM構建VPN 149
9.2 虛擬專用網 151
9.2.1 虛擬專用網的定義 151
9.2.2 虛擬專用網技術的價值 151
9.2.3 虛擬專用網的安全性 151
9.2.4 虛擬專用網的分類 152
9.3 基於IPSec的VPN體系結構 153
9.3.1 IPSec簡介 153
9.3.2 IPSec頭部認證協定(AH) 154
9.3.3 IPSec封裝安全負載協定(ESP) 154
9.3.4 IPSec的基礎:安全聯盟——Security Association 154
9.3.5 IPSec網際網路密鑰交換協定 155
9.3.6 IPSec VPN在UTM中的實現 155
9.3.7 在UTM中配置IPSec VPN 158
9.3.8 IPSec VPN的優點和缺點 160
9.4 SSL VPN技術 161
9.4.1 SSL簡介 161
9.4.2 SSL協定的工作流程 162
9.4.3 為什麼會出現SSL VPN 162
9.4.4 SSL VPN的定義 163
9.4.5 SSL VPN的優勢 163
9.4.6 SSL VPN的發展 164
9.4.7 在UTM中配置SSL VPN 165
9.5 L2TP技術 171
9.5.1 L2TP簡介 171
9.5.2 L2TP協定的原理 172
9.5.3 L2TP VPN的優缺點 173
9.5.4 L2TP VPN在UTM中的實現 174
9.6 通用路由封裝(GRE) 175
9.6.1 GRE簡介 175
9.6.2 GRE協定的原理 175
9.6.3 GRE的優缺點 176
9.6.4 GRE隧道在UTM中的實現 176
9.7 VPN典型套用案例 177
第10章 區域網路安全管理與UTM 179
10.1 管理,從用戶認證開始 179
10.1.1 簡便易行的Web認證方式 180
10.1.2 UTM適合採用Web認證 180
10.1.3 單純認證的不足之處 181
10.2 從用戶認證到區域網路管理 181
10.2.1 為什麼需要區域網路管理 181
10.2.2 區域網路安全如何解決 182
10.2.3 區域網路管理系統常見的準入控制方式 183
10.3 UTM與區域網路安全管理系統的組合 184
10.3.1 採用UTM實現準入控制 184
10.3.2 UTM+區域網路管理系統聯動方案的實現 184
10.3.3 UTM+區域網路管理系統組合的作用 185
10.3.4 UTM+區域網路管理系統組合的常見流程 185
10.3.5 UTM與區域網路管理系統聯動的用戶價值 186
10.4 身份認證及準入控制相關技術 187
10.4.1 身份驗證和授權 187
10.4.2 密碼技術 188
10.4.3 加密算法 188
10.4.4 DES/3DES算法介紹 189
10.4.5 RSA算法介紹 191
10.4.6 PKI與CA 192
10.4.7 LDAP 194
10.4.8 活動目錄協定(AD)簡介 195
10.4.9 遠程驗證撥入用戶服務(RADIUS) 196
10.4.10 TACACS+ 196
10.5 準入控制與UTM結合的
發展趨勢 197
10.5.1 區域網路安全管理和UTM的協同控制 197
10.5.2 UTM從網際網路網關逐步發展至域控制器 198
10.5.3 UTM、準入控制與可信網路連線 198
第11章 UTM的高可用性 200
11.1 什麼是高可用性 200
11.2 UTM設備高可用性的意義 201
11.3 UTM高可用性的分類及原理 202
11.3.1 VRRP/HSRP技術 202
11.3.2 UTM的雙機熱備 204
11.3.3 UTM設備高可用性技術的選擇 205
11.3.4 套用情況說明 206
11.4 UTM高可用性的用戶價值 207
11.4.1 用戶場景支持 207
11.4.2 自動同步配置 208
11.4.3 防病毒與入侵檢測特徵同步 208
11.5 UTM設備雙機熱備典型套用案例 209
11.5.1 路由模式主備模式組網 209
11.5.2 NAT模式主備模式組網 209
11.5.3 透明模式主備模式組網 210
11.5.4 路由模式下主主組網 211
11.5.5 透明模式下主主組網 211
第12章 流量管理 213
12.1 流量管理的內涵與意義 213
12.2 UTM中的流量管理技術與套用 214
12.2.1 服務質量(QoS) 215
12.2.2 NetFlow 219
12.2.3 UTM中的會話管理 229
第13章 日誌分析和審計 232
13.1 日誌分析和審計系統與UTM結合的意義 233
13.2 Syslog與日誌分析 234
13.2.1 Syslog協定 234
13.2.2 日誌分析 237
13.2.3 日誌存儲 241
13.2.4 日誌分析參考規範 243
13.3 網路系統安全審計 244
13.3.1 網路系統安全審計的重要性 245
13.3.2 安全審計技術的分類 245
13.3.3 網路審計技術的套用 246
13.3.4 網路安全審計的關注點 247
13.3.5 網路安全審計的展示能力 247
13.3.6 網路安全審計的套用舉例 248
13.4 業務跟蹤和分析 249
13.4.1 資產跟蹤和分析 250
13.4.2 用戶跟蹤和分析 253
13.4.3 檔案跟蹤和分析 256
13.5 數據中心 257
13.5.1 功能概述 257
13.5.2 功能要素 258
13.5.3 數據中心對UTM的意義 262
13.6 日誌分析和審計系統在UTM上的套用 262
13.6.1 日誌產生 263
13.6.2 日誌傳送 265
13.6.3 日誌接收 265
13.6.4 分析和審計 266
13.6.5 產生報表 266
第14章 UTM的系統管理 267
14.1 以安全策略為核心的UTM系統管理 268
14.1.1 從命令行到GUI管理 268
14.1.2 從訪問控制列表到安全策略 270
14.1.3 以安全策略為核心的UTM系統管理 271
14.1.4 基於安全策略的連線管理 275
14.2 UTM“易管理”的實現 277
14.2.1 UTM管理的複雜性 277
14.2.2 “簡單”管理的目標和原則 278
14.2.3 “簡單”管理的實現方法 279
14.2.4 UTM“簡單”管理的實例 280
14.3 UTM管理的安全性考慮 282
14.3.1 使用安全的設備管理方式 282
14.3.2 UTM管理員的安全策略 285
14.3.3 UTM配置管理的PDR安全模型 288
14.4 UTM系統的升級與更新 289
14.4.1 升級和更新對UTM的重要性 289
14.4.2 UTM升級和更新的原則 291
14.4.3 使用集中管理中心的統一升級 293
14.5 UTM的集中管理 293
14.5.1 UTM為什麼需要集中管理 293
14.5.2 UTM集中管理所關注的內容 295
14.5.3 UTM集中管理中心部署的實例 296
第15章 UTM在安全體系中的位置和作用 301
15.1 安全體系結構概述 301
15.1.1 安全體系的層次化結構 301
15.1.2 安全體系的多樣化結構 302
15.1.3 安全建設的思路和方法 303
15.1.4 UTM在安全體系中的位置 304
15.1.5 UTM在安全體系中的作用 305
15.2 安全體系構築的案例 306
15.2.1 企業套用 306
15.2.2 教育套用 310
15.2.3 政府套用 312
參考文獻 315

相關詞條

熱門詞條

聯絡我們