| 词条 | UTM(统一威胁管理)技术概论 |
| 释义 | 本书从UTM(统一威胁管理)的起源开始,立足于实际使用环境和技术,通过多种灵活的方式全面介绍了UTM的实现原理与关键技术,覆盖了访问控制、入侵防御、防病毒、VPN(虚拟专用网)、上网行为管理、流量管理、日志分析和审计以及应用等多个信息安全方面的技术;同时,对UTM技术的发展方向和产品形态方向给出了清晰、严谨的预期。 本书适合于有一定网络安全技术基础的中、高级读者,特别适合于网络安全相关专业的本科生以及从事网络安全工作的技术人员阅读,有助于他们快速、全面地了解UTM以及信息安全技术。 图书信息作 者:启明星辰 编著 出 版 社: 电子工业出版社 出版时间: 2009-4-1 页 数:332页 开 本: 16开 I S B N : 9787121084430 分类: 图书 >> 计算机>>UTM 定价:¥59.00元 序UTM出现的背景 随着各行业信息化进程的深入,网络边界安全正在进入一个全新的发展阶段。目前,各种威胁逐步呈现出网络化和复杂化的态势,威胁对象由主机资源转变为网络资源、数量呈现爆炸式增长、形式多种多样,混合型攻击层出不穷。尤其在网络边界,遇到了很多的麻烦,例如:通过系统漏洞自动攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等。在网络边界位置,传统的防护设备——防火墙主要工作在网络层,实现基于端口和IP地址的访问控制,而面对越来越多的蠕虫、木马等应用层的威胁便日益显得无能为力。威胁的不断智能化也需要防护设备加强智能化,而且为了在网络边界构筑起强有力的安全防线,实现对各层面威胁的有效防御,UTM(Unified Threaten Management)(统一威胁管理)的设备便应运而生。 为什么编著本书 国外的UTM技术和设备早在2002年就已经出现,这得益于国外市场的需求和企业对网络安全的重视,导致UTM蓬勃发展,以每年翻倍的速度迅速成为网络安全建设必备的主流设备,使用量已排在各类安全设备的榜首。目前UTM已经替代了传统的防火墙,成为主要的网络边界安全防护设备,大大提高了网络抵御外来威胁的能力。 在国内,网络安全技术和市场发展相对缓慢。从2003年就进入中国的UTM,概念上接受很快,UTM设备发展速度也较快,一度出现年增长率超过80%情形;但总体上由于技术积累、硬件平台等方面的因素限制,UTM设备在网络安全产品市场尚未形成主导局面,很多单位和用户仍然以使用防火墙设备为主。但在威胁日益复杂和多元化的今天,这无疑增加了用户网络和信息资产的危险系数。 为了让更多的用户认识UTM,让更多的从业人员了解UTM相关技术,促进更多从事信息安全产品研发的企业开发出优秀的设备,为加快我国信息安全产业的发展,提升国家信息安全实力尽一份力,作者编著了此书。 本书的主要内容与特点 本书以UTM涉及的各项技术为主线展开,向读者介绍传统安全网关与UTM的区别,传统的安全技术如何在UTM中应用并发挥更大的价值,UTM中有何难点和关键技术,在提高UTM性能方面如何从软、硬件两个角度考虑,以及大规模部署UTM时如何有效管理等。此外,本书对UTM的来源、定义与发展历史做了必要的阐述,对UTM技术发展方向做了展望,同时结合典型用户的使用环境、给出了使用案例,以帮助读者深入理解UTM的使用。本书可以为各行业的网络管理与安全人员提供尽可能充分的学习资料,帮助读者系统了解安全技术、了解UTM设备。同时,本书也适用于大专院校计算机专业有关网络安全课程的教材。 关于本书作者 启明星辰公司编著本书的主要成员为: 陈胜权:具有10年的网络与信息安全领域工作经历,先后从事技术开发与支持、技术管理、产品运营与管理等方面的工作;自2004年开始潜心研究UTM技术与市场,对UTM实现原理与技术、产品与市场发展有深刻的理解。现任启明星辰公司产品管理中心副总监。 任平:具有8年的网络与信息安全领域工作经历,先后从事技术研究与产品开发、项目管理、产品管理等方面的工作,参与多个重大网络安全项目的设计实施,具有丰富的网络安全经验。现任启明星辰公司UTM产品线经理。 陈杰:具有8年的网络与信息安全领域工作经历,曾在部队从事多年网络攻防方面的工作,有丰富的实战经验,现主要从事信息安全培训工作,为政府、移动通信、银行、军队等多个大型单位进行过培训。现任启明星辰公司培训部高级培训讲师。 此外,邓轶、李光朋、万卿、沈颖、谭闯、褚小艳、肖小剑、黄宇明等参与了本书的编写修订工作。 由于水平有限,难免有错漏之处,请读者不吝指正,编者不胜感激,将在新的版本中改进和完善。 作者 2009年1月于北京 目 录第1章 UTM(统一威胁管理)概论 1 1.1 网络边界的安全防护 1 1.1.1 网络边界 1 1.1.2 网络边界面临的威胁 2 1.1.3 网络边界安全传统的防护方式 3 1.1.4 传统防护方式的问题 6 1.2 UTM的来源与定义 8 1.3 UTM与传统网关的关系 9 1.4 UTM的价值 11 1.5 UTM的市场状况 14 1.6 UTM的发展趋势 15 第2章 UTM的实现与关键技术 18 2.1 UTM的实现方式 18 2.2 UTM面临的挑战 20 2.3 UTM的硬件平台 21 2.3.1 x86架构 21 2.3.2 NP架构 22 2.3.3 ASIC架构 22 2.3.4 多核SOC架构 23 2.3.5 多核是最适合UTM的架构 23 2.4 UTM的软件技术 24 2.4.1 驾驭多核的关键软件技术 24 2.4.2 基于标签的综合匹配技术 26 2.4.3 最优规则树技术 27 2.4.4 应用层协议类型精确识别技术 27 2.4.5 多模匹配算法 29 2.4.6 事件关联与归并处理技术 30 2.4.7 基于知识库的非法连接请求动态抽样与分析技术 31 第3章 访问控制 32 3.1 UTM与访问控制 32 3.1.1 为什么UTM设备必须拥有访问控制的功能 32 3.1.2 UTM的访问控制功能的特殊性 33 3.2 UTM访问控制的设计策略 38 3.2.1 网络服务访问策略 38 3.2.2 UTM的设计策略 40 3.2.3 设计UTM策略时需考虑的问题 41 3.3 UTM访问控制功能的关键技术 41 3.3.1 状态检测技术 41 3.3.2 网络地址转换技术 43 3.3.3 防拒绝服务攻击技术 47 第4章 入侵防御 54 4.1 入侵防御与UTM 54 4.1.1 入侵防御技术的由来 54 4.1.2 入侵防御技术在UTM上的实现 55 4.1.3 UTM中入侵防御功能的价值 56 4.2 UTM中的入侵防御功能与专业IPS的关系 57 4.2.1 从位置看区别 57 4.2.2 从保护对象看区别 57 4.2.3 从发展趋势看区别 58 4.3 入侵防御技术解析 58 4.3.1 入侵防御技术的分类 58 4.3.2 入侵防御技术的定义 59 4.3.3 入侵防御技术的基本原理 60 4.3.4 入侵防御与入侵检测的关系 61 4.3.5 入侵检测技术 63 4.3.6 入侵响应技术 66 4.3.7 高速数据处理技术 67 4.3.8 入侵报警的关联分析技术 69 4.4 入侵防御在UTM上的配置案例 70 4.4.1 系统预置入侵防御事件集 70 4.4.2 用户自行建立新的事件集 71 4.4.3 建立安全防护表并引用IPS事件集 74 4.4.4 在安全策略中引用安全防护表 75 4.4.5 自定义入侵防御事件 76 4.4.6 自定义事件的配置 77 第5章 防病毒 79 5.1 UTM为什么需要承载防病毒模块 79 5.1.1 病毒的发展与危害 79 5.1.2 防病毒与UTM结合的意义 81 5.2 UTM的病毒检测技术 83 5.2.1 病毒检测方法 83 5.2.2 流检测技术 86 5.2.3 混合攻击检测技术 87 5.2.4 未知病毒检测技术 88 5.3 UTM中防病毒的灵活性 89 5.3.1 技术灵活性 89 5.3.2 应用灵活性 90 5.4 UTM网关防病毒与主机防病毒的关系 92 5.4.1 在防病毒方面的功能定位 92 5.4.2 主机防病毒面临的脆弱性 93 5.4.3 UTM网关避免了主机防病毒的弊端 93 5.4.4 UTM网关防病毒与主机防病毒的互补关系 94 第6章 内容过滤 95 6.1 内容过滤的概述 95 6.1.1 UTM中内容过滤的范畴 96 6.1.2 内容过滤、内容监管、内容安全的关系 97 6.2 UTM内容过滤的问题与设计 99 6.2.1 互联网内容过滤的设计与问题 99 6.2.2 面向机构内部内容过滤的设计与问题 101 6.3 设计UTM内容过滤技术的方法 103 6.3.1 URL/Web过滤 104 6.3.2 关键字过滤 105 6.3.3 基于内容权重过滤 106 6.3.4 文件及应用过滤 107 6.3.5 贝叶斯统计模型 108 6.4 内容过滤的应用与发展趋势 108 6.4.1 内容过滤的部署 109 6.4.2 UTM内容过滤应用的发展趋势 111 6.4.3 内容过滤技术的发展趋势 112 第7章 反垃圾邮件 114 7.1 垃圾邮件的危害及现状 115 7.1.1 垃圾邮件的种类和定义 115 7.1.2 垃圾邮件的危害 116 7.1.3 我国垃圾邮件的现状 117 7.2 UTM中的反垃圾邮件 119 7.2.1 为什么UTM中需要反垃圾邮件 119 7.2.2 UTM中实现反垃圾邮件的挑战和应对 120 7.2.3 UTM中实现反垃圾邮件的优势 121 7.2.4 UTM反垃圾邮件与反垃圾邮件网关的区别 123 7.3 UTM中常用的反垃圾邮件技术 125 7.3.1 实时黑名单技术 126 7.3.2 内容过滤 126 7.3.3 贝叶斯过滤 127 7.3.4 可追查性检查 129 7.4 UTM中反垃圾邮件配置举例 130 第8章 上网行为管理 133 8.1 无序上网行为引发的问题 133 8.1.1 无序上网行为的分类 133 8.1.2 无序上网行为的危害 137 8.2 上网行为管理的难点 138 8.2.1 以迅雷为例分析上网行为管理的难点 138 8.2.2 传统安全设备的局限性 140 8.3 通过UTM来实现上网行为管理 141 8.3.1 UTM实现上网行为管理的关键技术 142 8.3.2 基于UTM安全策略进行上网行为管理 143 8.3.3 UTM设备保证关键业务的带宽 144 8.3.4 UTM设备的协议识别技术的实时更新 144 8.4 UTM上网行为管理的应用举例 144 8.4.1 通过时间因素进行控制 144 8.4.2 对IM工具传输文件进行查毒或者阻断 145 8.4.3 对P2P的应用进行有效限制 145 8.4.4 对网络游戏和股票软件进行控制 146 第9章 虚拟专用网(VPN)技术 148 9.1 UTM与虚拟专用网 148 9.1.1 为什么用户需要VPN技术 148 9.1.2 传统的VPN网关 148 9.1.3 传统VPN解决方案存在的问题 149 9.1.4 采用UTM构建VPN 149 9.2 虚拟专用网 151 9.2.1 虚拟专用网的定义 151 9.2.2 虚拟专用网技术的价值 151 9.2.3 虚拟专用网的安全性 151 9.2.4 虚拟专用网的分类 152 9.3 基于IPSec的VPN体系结构 153 9.3.1 IPSec简介 153 9.3.2 IPSec头部认证协议(AH) 154 9.3.3 IPSec封装安全负载协议(ESP) 154 9.3.4 IPSec的基础:安全联盟——Security Association 154 9.3.5 IPSec互联网密钥交换协议 155 9.3.6 IPSec VPN在UTM中的实现 155 9.3.7 在UTM中配置IPSec VPN 158 9.3.8 IPSec VPN的优点和缺点 160 9.4 SSL VPN技术 161 9.4.1 SSL简介 161 9.4.2 SSL协议的工作流程 162 9.4.3 为什么会出现SSL VPN 162 9.4.4 SSL VPN的定义 163 9.4.5 SSL VPN的优势 163 9.4.6 SSL VPN的发展 164 9.4.7 在UTM中配置SSL VPN 165 9.5 L2TP技术 171 9.5.1 L2TP简介 171 9.5.2 L2TP协议的原理 172 9.5.3 L2TP VPN的优缺点 173 9.5.4 L2TP VPN在UTM中的实现 174 9.6 通用路由封装(GRE) 175 9.6.1 GRE简介 175 9.6.2 GRE协议的原理 175 9.6.3 GRE的优缺点 176 9.6.4 GRE隧道在UTM中的实现 176 9.7 VPN典型应用案例 177 第10章 内网安全管理与UTM 179 10.1 管理,从用户认证开始 179 10.1.1 简便易行的Web认证方式 180 10.1.2 UTM适合采用Web认证 180 10.1.3 单纯认证的不足之处 181 10.2 从用户认证到内网管理 181 10.2.1 为什么需要内网管理 181 10.2.2 内网安全如何解决 182 10.2.3 内网管理系统常见的准入控制方式 183 10.3 UTM与内网安全管理系统的组合 184 10.3.1 采用UTM实现准入控制 184 10.3.2 UTM+内网管理系统联动方案的实现 184 10.3.3 UTM+内网管理系统组合的作用 185 10.3.4 UTM+内网管理系统组合的常见流程 185 10.3.5 UTM与内网管理系统联动的用户价值 186 10.4 身份认证及准入控制相关技术 187 10.4.1 身份验证和授权 187 10.4.2 密码技术 188 10.4.3 加密算法 188 10.4.4 DES/3DES算法介绍 189 10.4.5 RSA算法介绍 191 10.4.6 PKI与CA 192 10.4.7 LDAP 194 10.4.8 活动目录协议(AD)简介 195 10.4.9 远程验证拨入用户服务(RADIUS) 196 10.4.10 TACACS+ 196 10.5 准入控制与UTM结合的 发展趋势 197 10.5.1 内网安全管理和UTM的协同控制 197 10.5.2 UTM从互联网网关逐步发展至域控制器 198 10.5.3 UTM、准入控制与可信网络连接 198 第11章 UTM的高可用性 200 11.1 什么是高可用性 200 11.2 UTM设备高可用性的意义 201 11.3 UTM高可用性的分类及原理 202 11.3.1 VRRP/HSRP技术 202 11.3.2 UTM的双机热备 204 11.3.3 UTM设备高可用性技术的选择 205 11.3.4 应用情况说明 206 11.4 UTM高可用性的用户价值 207 11.4.1 用户场景支持 207 11.4.2 自动同步配置 208 11.4.3 防病毒与入侵检测特征同步 208 11.5 UTM设备双机热备典型应用案例 209 11.5.1 路由模式主备模式组网 209 11.5.2 NAT模式主备模式组网 209 11.5.3 透明模式主备模式组网 210 11.5.4 路由模式下主主组网 211 11.5.5 透明模式下主主组网 211 第12章 流量管理 213 12.1 流量管理的内涵与意义 213 12.2 UTM中的流量管理技术与应用 214 12.2.1 服务质量(QoS) 215 12.2.2 NetFlow 219 12.2.3 UTM中的会话管理 229 第13章 日志分析和审计 232 13.1 日志分析和审计系统与UTM结合的意义 233 13.2 Syslog与日志分析 234 13.2.1 Syslog协议 234 13.2.2 日志分析 237 13.2.3 日志存储 241 13.2.4 日志分析参考规范 243 13.3 网络系统安全审计 244 13.3.1 网络系统安全审计的重要性 245 13.3.2 安全审计技术的分类 245 13.3.3 网络审计技术的应用 246 13.3.4 网络安全审计的关注点 247 13.3.5 网络安全审计的展示能力 247 13.3.6 网络安全审计的应用举例 248 13.4 业务跟踪和分析 249 13.4.1 资产跟踪和分析 250 13.4.2 用户跟踪和分析 253 13.4.3 文件跟踪和分析 256 13.5 数据中心 257 13.5.1 功能概述 257 13.5.2 功能要素 258 13.5.3 数据中心对UTM的意义 262 13.6 日志分析和审计系统在UTM上的应用 262 13.6.1 日志产生 263 13.6.2 日志发送 265 13.6.3 日志接收 265 13.6.4 分析和审计 266 13.6.5 产生报表 266 第14章 UTM的系统管理 267 14.1 以安全策略为核心的UTM系统管理 268 14.1.1 从命令行到GUI管理 268 14.1.2 从访问控制列表到安全策略 270 14.1.3 以安全策略为核心的UTM系统管理 271 14.1.4 基于安全策略的连接管理 275 14.2 UTM“易管理”的实现 277 14.2.1 UTM管理的复杂性 277 14.2.2 “简单”管理的目标和原则 278 14.2.3 “简单”管理的实现方法 279 14.2.4 UTM“简单”管理的实例 280 14.3 UTM管理的安全性考虑 282 14.3.1 使用安全的设备管理方式 282 14.3.2 UTM管理员的安全策略 285 14.3.3 UTM配置管理的PDR安全模型 288 14.4 UTM系统的升级与更新 289 14.4.1 升级和更新对UTM的重要性 289 14.4.2 UTM升级和更新的原则 291 14.4.3 使用集中管理中心的统一升级 293 14.5 UTM的集中管理 293 14.5.1 UTM为什么需要集中管理 293 14.5.2 UTM集中管理所关注的内容 295 14.5.3 UTM集中管理中心部署的实例 296 第15章 UTM在安全体系中的位置和作用 301 15.1 安全体系结构概述 301 15.1.1 安全体系的层次化结构 301 15.1.2 安全体系的多样化结构 302 15.1.3 安全建设的思路和方法 303 15.1.4 UTM在安全体系中的位置 304 15.1.5 UTM在安全体系中的作用 305 15.2 安全体系构筑的案例 306 15.2.1 企业应用 306 15.2.2 教育应用 310 15.2.3 政府应用 312 参考文献 315 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。