网安设备选型规范V1.0 - 图文

更新时间：2024-03-28 09:48:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

防爆设备选型规范推荐度：
相关推荐

网安设备选型规范

编号阶段标记版本

V1.0

网络安全设备选型框架

XXXX科技有限责任公司

2016年5月

网安设备选型规范

文档更新记录

日期 2016/3/21 2016/3/31 2016/4/4 2016/4/5 2016/4/8 更新人版本 V0.5 V0.6 V0.8 V0.9 V1.0 备注创建文档及主干框架进行二次修改，填充内容填充UTM等设备内容补充信息并完善重新修改，排版

网安设备选型规范

引言

因设备参考选型工作之因，需对硬件有较为深入的知识体系架构了解，为本部门与相关项目设备选型提供相对专业技术支持。因此通过查询资料及询问相关厂家设备信息，完成以下文档。按照网络从外到内：从光纤---->电脑客户端，设备依次有：路由器（可做端口屏蔽，带宽管理Qos，防泛洪flood攻击等）----防火墙（有普通防火墙和UTM等，可以做网络三层端口管理、IPS（入侵检测）、IDS（入侵防御）、IDP（入侵检测防御）、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控（QOS）等）----行为管理器（可做UTM的所有功能、还有一些完全审计，网络记录等等功能，这个比较强大）----核心交换机（可以划分vlan、屏蔽广播、以及基本的acl列表），而安全的网络连接方式：现在流行的有 MPLS VPN ，SDH专线、VPN等，其中VPN常见的包括（SSL VPN \\ipsec VPN\\ PPTP VPN等）。在这些设备中所涉及的内容主要包括参数、功能、接口、技术类型、厂商等的框架信息。由于资料原因，目前信息仍然不够健全，且由于技术更新太快已无法跟上网安设备的更新变化速度，因此造成了信息的迟滞性甚至不准确。这些问题留待日后更新解决。

网安设备选型规范

引言................................................................................................................................ 3 1、网络安全设备 ......................................................................................................... 7

1.1信息安全与安全产品 ..................................................................................... 7 1.2信息安全技术规范 ......................................................................................... 9 1.3网安总体选型原则 ......................................................................................... 9 2、硬件防火墙 ........................................................................................................... 11

2.1具体选型原则 ............................................................................................... 12 2.2主流设备厂家 ............................................................................................... 13 2.3设备详细信息 ............................................................................................... 15

2.3.1重要选择参数 .................................................................................... 15 2.3.2主要技术类型 .................................................................................... 18 2.3.3主要架构 ............................................................................................ 24 2.3.4接口类型 ............................................................................................ 26 2.3.5主要功能 ............................................................................................ 27 2.3.6安装位置 ............................................................................................ 28

3、入侵检测IDS ......................................................................................................... 28

3.1性能评价标准 ............................................................................................... 30 3.2主流设备厂家 ............................................................................................... 30 3.3设备详细信息 ............................................................................................... 32

3.3.1重要选择参数 .................................................................................... 32 3.3.2主要技术类型 .................................................................................... 32 3.3.3主要构成 ............................................................................................ 33 3.3.4接口类型 ............................................................................................ 34 3.3.5主要功能 ............................................................................................ 34 3.3.6安装位置 ............................................................................................ 35

4．入侵防御IPS .......................................................................................................... 36

4.1具体性能要求 ............................................................................................... 37 4.2主流设备厂家 ............................................................................................... 38

网安设备选型规范

4.3设备详细信息 ............................................................................................... 39

4.3.1重要选择参数 .................................................................................... 39 4.3.2主要技术类型 .................................................................................... 40 4.3.3接口类型 ............................................................................................ 40 4.3.4主要功能 ............................................................................................ 40 4.3.5部署位置 ............................................................................................ 41 4.4 IDS和IPS的区别和选择 .............................................................................. 42 5、统一威胁管理设备UTM ....................................................................................... 44

5.1具体选型原则 ............................................................................................... 45 5.2主流设备厂家 ............................................................................................... 46 5.3设备详细信息 ............................................................................................... 47

5.3.1重要选择参数 .................................................................................... 47 5.3.2主要设备类型 .................................................................................... 48 5.3.3 接口类型 ........................................................................................... 48 5.3.4主要功能 ............................................................................................ 48

6、其他常见设备 ....................................................................................................... 51

6.1防病毒网关 ................................................................................................... 51

6.1.1防病毒网关简介 ................................................................................ 51 6.1.2基本特性 ............................................................................................ 52 6.1.3重要参数 ............................................................................................ 54 6.1.4主流厂商 ............................................................................................ 54 6.1.5部署位置 ............................................................................................ 56 6.1.6与防火墙区别 .................................................................................... 57 6.1.7与防病毒软件区别 ............................................................................ 58 6.2 VPN安全网关 ................................................................................................ 59

6.2.1VPN网关简介 ..................................................................................... 59 6.2.2基本特性 ............................................................................................ 60 6.2.3重要参数 ............................................................................................ 61 6.2.4主流厂商 ............................................................................................ 61

网安设备选型规范

6.2.5部署方案 ............................................................................................ 64 6.3网络审计系统 ............................................................................................... 64

6.3.1网络审计系统 .................................................................................... 64 6.3.2基本特性 ............................................................................................ 64 6.3.3重要参数 ............................................................................................ 65 6.3.4主流厂商 ............................................................................................ 65 6.3.5审计类型 ............................................................................................ 66 6.3.6审计内容 ............................................................................................ 67

7.规范总结 .................................................................................................................. 68 8.参考文档 .................................................................................................................. 69

网安设备选型规范

1、网络安全设备

1.1信息安全与网络安全产品

（1）信息安全模型

国际标准化组织定义：信息安全是为数据处理系统建立和采取的技术和管理

的安全保护，保护计算机硬件、软件和数据不因偶然和恶意原因而遭到破坏，更改和泄露。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

网安设备选型规范

图1.1信息安全模型

（2）网络安全

网络安全不仅包括网络信息的存储安全，还涉及信息的产生、传输和使用过程中的安全。网络安全从其本质上来说就是网络上的信息安全。（3）网络安全防护产品： ? 防火墙、防水墙

? WEB防火墙、网页防篡改 ? 入侵检测、入侵防御、防病毒 ?统一威胁管理UTM ? 身份鉴别、虚拟专网 ? 加解密、文档加密、数据签名

? 物理隔离网闸、终端安全与上网行为管理 ? 内网安全、审计与取证、漏洞扫描、补丁分发 ? 安全管理平台 ? 灾难备份产品

网安设备选型规范

1.2信息安全技术规范

图1.2信息安全国标

1.3网安总体选型原则

（1）中国网络安全产品概览

中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。

从功能上，常用的一些信息安全产品有：加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品，此外，还有身份鉴别产品、证书机关、物理安全产品。加密产品是非常传统的信息安全产品，主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。防火墙是用于实施网络访问控制的产品，是最常见也是中国国内技术非常成熟的信息安全产品之一。

防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家很多，目前能够在国内获得一定市场的都是不错的产品。

入侵检测产品是近一两年发展起来的，主要用于检测网络攻击事件的发生。

网安设备选型规范

国内外供货厂家也较多。

身份鉴别产品也属于非常传统的产品，目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数（如：指纹、眼纹）的技术和产品发展很快，已经有成熟产品推出。

虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备，该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体，是用户以非常低的成本构建专用网络的一种非常重要的产品。

证书机关是一类非常基础的产品，任何基于证书体制实现安全的信息系统都需要该产品。

物理安全产品是非常特殊的信息安全产品，如干扰器、隔离计算机、隔离卡等，其主要功能是确保信息处理设备的物理安全，提供诸如防电磁辐射、物理隔离等功能。

（2）信息安全产品选型指南

信息安全产品的种类比较多。许多安全产品的功能上也有一定交叉。您在选型时一定要牢记以下几个基本原则：

适用原则。绝对的安全是不存在的，因此您必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。您不要（也不可能）追求绝对的安全。

企业应考虑清楚自己信息系统最大的安全威胁来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁，将可能的损失减小到可以接受的范围之内，就可以了。

不降低信息系统综合服务品质的原则。目前中国许多企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难，因为很多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。

企业需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原

网安设备选型规范

则，对信息安全产品进行选型。

详细信息见附件：

2、硬件防火墙

硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

网安设备选型规范

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

图2.1深信服硬件防火墙

2.1具体选型原则

（1）总拥有成本和价格: 防火墙产品作为网络系统的安全屏障，其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能将是管理的结果，而非工程上的决策。

（2）明确系统需求: 即用户需要什么样的网络监视、冗余度以及控制水平。可以列出一个必须监测怎样的传输、必须允许怎样的传输流通行，以及应当拒绝什么传输的清单。

（3）应满足企业特殊要求: 企业安全政策中的某些特殊需求并不是每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，比如：加密控制标准，访问控制，特殊防御功能等。

（4）防火墙的安全性: 防火墙产品最难评估的方面是防火墙的安全性能，普通用户通常无法判断。用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。

（5）防火墙产品主要需求：企业级用户对防火墙产品主要需求是：内网安全性需求,细度访问控制能力需求,VPN 需求,统计、计费功能需求,带宽管理能力需求等，这些都是选择防火墙时侧重考虑的方面。

（6）管理与培训: 管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用通常会占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

网安设备选型规范

（7）可扩充性: 网络的扩容和网络应用都有可能随着新技术的出现而增加，网络的风险成本也会急剧上升，因此便需要增加具有更高安全性的防火墙产品。

具体要求见下列文档

防火墙的性能评估.doc网络性能与安全性评估.ppt

2.2主流设备厂家

（1）国内厂家：华为（USG系列产品，如USG5120，USG5520S，USG6390等）、天融信、网康、启明星辰等

图2.2 华为USG6390

华为USG6390产品参数

重要参数网络端口：8GE+4SFP 控制端口：暂无数据外形设计：暂无数据产品尺寸：442×421×43.6mm 主要参数设备类型：下一代防火墙网络端口：8GE+4SFP VPN支持：支持入侵检测：Dos,DDoS 管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能安全标准CE，ROHS，CB，UL，VCCI 13

网安设备选型规范

处理器多核处理器一般参数电源AC:100-240V 最大功率：170W 产品尺寸：442×421×43.6mm 产品重量：10kg 适用环境工作温度：0℃-40℃ 工作湿度：10%-95% 其他性能环境感知、应用安全、入侵防御、Web安全、邮件安全、数据安全、安全虚拟化、网络安全、路由特性、部署及可靠性、智能管理产品特性扩展槽位：2×WSIC 产品形态：1U HDD：选配300GB单硬盘，支持热插拔（2）国外厂家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等

图2.2 CISCO ASA5512-K9 整体外观图

CISCO ASA5512-K9详细参数

重要参数网络端口：6个GE接口控制端口：2个USB2.0接口，1个console端口外形设计：1U 产品尺寸：42.4×429×395mm 设备类型下一代防火墙并发连接数100,000 网络吞吐量，状态检测吞吐量最大：1Gbps，多协议状态检测吞吐量：14

网安设备选型规范

主要参数 500Mbps，IPS吞吐量：250Mbps 网络端口6个GE接口控制端口2个USB2.0接口，1个console端口 VPN支持支持一般参数电源AC 100-240V，50/60Hz，4.85A 外形设计1U 产品尺寸42.4×429×395mm 产品重量6.07kg 其他性能includes firewall services，250 IPsec VPN peers，2 SSL VPN peers，6 copper Gigabit Ethernet data ports，1 copper Gigabit Ethernet management port，1 AC power supply，3DES/AES encryption 具体信息见下列文档：

2.3设备详细信息 2.3.1重要选择参数

●吞吐量：在不丢包的情况下单位时间内通过的数据包数量（1）定义：在不丢包的情况下能够达到的最大每秒包转发数量

（2）衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

网安设备选型规范

图2.3数据吞吐示意图

● 时延：数据包最后一个比特进入防火墙到第一比特从防火墙输出的时间间隔

（1）定义：入口处输入帧的最后1个比特到达，至出口处输出帧的第一个比特输出所用的时间间隔

（2）衡量标准：防火墙的时延能够体现它处理数据的速度

图2.4时延

● 丢包率：通过防火墙传送时所丢失数据包数量占所发送数据包的比率

（1）定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

（2）衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响

网安设备选型规范

图2.5丢包率计算

● 并发连接数：防火墙能够同时处理的点对点连接的最大数目

（1）定义：指穿越防火墙的主机之间,或主机与防火墙之间，能同时建立的最大连接数。

（2）衡量标准：并发连接数的测试主要用来测试防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力

图2.6 并发连接示意图

● 新建连接数：在不丢包的情况下每秒可以建立的最大连接数

（1）定义：指穿越防火墙的主机之间，或主机与防火墙之间，单位时间内建立的最大连接数。

（2）衡量标准：新建连接数主要用来衡量防火墙单位时间内建立和维持TCP连接的能力

网安设备选型规范

图2.7新建连接示意图

详细的技术参数及性能要求见如下文档

硬件防火墙技术参数及要求.doc

2.3.2主要技术类型

（1）包过滤防火墙

也叫分组过滤防火墙。根据分组包的源、目的地址，端口号及协议类型、标志位确定是否允许分组包通过。【优点】 ● 高效、透明【缺点】

● 不能防范部分的黑客IP欺骗类攻击 ● 不能跟踪TCP连接的状态 ● 不支持应用层协议 ● 对管理员要求高【判断依据】

● 数据包协议类型：TCP、UDP、ICMP、IGMP等 ● 源、目的IP地址

网安设备选型规范

● 源、目的端口：FTP、HTTP、DNS等 ● IP选项：源路由选项等

● TCP选项：SYN、ACK、FIN、RST等

● 其它协议选项：ICMP ECHO、ICMP ECHO REPLY等 ● 数据包流向：in或out

● 数据包流经网络接口：eth0、eth1

图2.8包过滤防火墙工作区域

包过滤防火墙应用实例：

图2.9包过滤防火墙应用实例

网安设备选型规范

（2）应用网关防火墙

也叫应用代理防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序；对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。【优点】 ● 安全性高

● 提供应用层的安全

● 可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强【缺点】 ● 性能差 ● 伸缩性差

● 只支持有限的应用 ● 不透明 ● 难于配置 ● 处理速度较慢

图2.10应用网关防火墙工作区域

网安设备选型规范

图2.11应用网关防火墙工作模型一个Telnet代理的例子：

图2.12应用网关防火墙应用实例

（3）状态检测防火墙

又称动态包过滤防火墙。对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过；记录下该连接的相关信息，生成状态表；对该连接的后续数据包，只要是符合状态表，就可以通过。目前的状态检测技术仅可用于TCP/IP网络。

网安设备选型规范

图2.13状态检测防火墙工作区域

状态检测防火墙处理示意图：

图2.14状态监测防火墙工作流程

【优点】

● 连接状态可以简化规则的设置 ● 提供了完整的对传输层的控制能力

● 使防火墙性能得到较大的提高，特别是大流量的处理能力

● 根据从所有层中提取的与状态相关信息来做出安全决策，使得安全性也得到

网安设备选型规范

进一步的提高【缺点】

● 对应用层检测不够深入

4、传统火墙的弱点

图2.15传统包过滤防火墙过滤过程

传统的包过滤和状态检测防火墙弱点如下： ● 没有深度包检测来发现恶意代码 ● 不进行包重组

● 恶意程序可以通过信任端口建立隧道穿过去

● 传统的部署方法仅仅是网络边缘，不能防御内部攻击分组过

5、深度检测防火墙

● 深度检测技术深入检查通过防火墙的每个数据包及其应用载荷

● 以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包

● 可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及蠕虫病毒

网安设备选型规范

6、复合型防火墙

图2.16深度检测防火墙工作过程

图2.17复合型防火墙工作模型

2.3.3主要架构

在未来的网络环境下，传统的基于x86体系结构的工控机防火墙已不能满足宽带网络高吞吐量、低时延的要求，而网络处理器（Network Processor）和专用集成

网安设备选型规范

电路（ASIC）技术被以为是未来千兆防火墙的主要方向。

（1）X86架构：最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。

（2）ASIC架构：相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。

（3）NP架构：NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的 I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高。NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，

网安设备选型规范

由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。NP 开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和 Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。

从上面可以看出，X86架构、NP和ASIC各有优缺点。X86架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。NP则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。三种架构综合比较：

架构类型灵活性扩展性开放性稳定性性能 X86 高高中低最高2Gbps NP 中中高中千兆 ASIC 低低低高可达万兆防火墙常见架构的比较.docx

2.3.4接口类型

网络防火墙至少应当提供3个网络接口，分别用于连接内网、外网和DMZ区域。如果能够提供更多数量的端口，则还可以借助虚拟防火墙实现多路网络连接。而接口速率则关系到网络防火墙所能提供的最高传输速率，为了避免可能的网络瓶颈，防火墙的接口速率应当为百兆、千兆或万兆。

网络端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口

网安设备选型规范

2.3.5主要功能

（1）防火墙的基本功能：防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成熟的硬件防火墙产品应具有以下功能：

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”；防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。

（2）企业的特殊要求：企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。常见的需求有网络地址

网安设备选型规范

转换功能(NAT)，双重DNS、虚拟专用网络、扫毒功能、特殊控制需求等。（3）与用户网络结合：包括管理的难易度、自身的安全性、完善的售后服务、完整的安全检查、结合用户情况等。

2.3.6安装位置

防火墙拓扑位置

● 专用（内部）和公共（外部）网络之间 ● 网络的出口和入口处

● 专用网络内部：关键的网段，如数据中心

防火墙区域 ● Trust（内部）

● Untrust（外部，Internet）

● DMZ（Demilitarized Zone，非武装军事区）

3、入侵检测IDS

入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保

网安设备选型规范

证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem，简称IDS)

图3.1 入侵检测系统

图3.2入侵检测系统架构

网安设备选型规范

3.1性能评价标准

1、评价入侵检测系统性能的标准

（1）准确性(Accuracy)：指入侵检测系统能正确地检测出系统入侵活动，否则会造成虚警现象。

（2）处理性能（Performance）：指一个入侵检测系统处理系统审计数据的速度。（3）完备性(Compliteness)：指入侵检测系统能够检测出所有攻击行为的能力。（相对困难）

（4）容错性（Fault Tolerance）：入侵检测系统自身必须能够抵御对它自身的攻击，特别是拒绝服务攻击（Denial-Of-Service）。

（5）及时性(Timeliness)：及时性要求入侵检测系统必须尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。它不仅要求处理速度快，而且要求传播、反应检测结果信息的时间尽可能少。 2、或者用另一种评价方法评价：

（1）有效性：指研究检测机制的检测精确度和系统报警的可信度。

（2）效率：从检测机制处理数据的速度以及经济角度来考虑，侧重检测机制性能价格比的改进。

（3）虚警（false positive）：把系统的“正常行为”作为“异常行为”进行报警（4）漏警(false negative)：如果检测系统对部分针对系统的入侵活动不能识别、报警，称为系统漏警。

（5）检测率：指被监控系统受到入侵攻击时，检测系统能够正确报警的概率。（6）虚警率：指检测系统在检测时出现虚警的概率。

3.2主流设备厂家

（1）国内厂家：华为、启明星辰、网御星云、天融信下图为华为某IDS设备图

网安设备选型规范

图3.3 华为NIP 2100D

其具体参数如下：

图3.4华为NIP 2100D信息

图3.5启明星辰NS100信息

网安设备选型规范

（2）国外厂家：Cisco、Juniper、Checkpoint

Cisco入侵检测系统4200系列设备检测器，Cisco IDS 4200系列设备检测器包括三型产品：Cisco IDS 4210、Cisco IDS 4235和Cisco IDS 4250。整个Cisco IDS设备系列提供多种解决方案，这些解决方案可以集成到多种不同的环境中，包括企业和电信运营商环境。每个设备检测器都能提供多档性能，满足从45Mbps到千兆位的带宽要求。

3.3设备详细信息 3.3.1重要选择参数

具体参数指标（暂无），下列指标为根据部分产品信息得来的一些选择参数（1）最大检测率（2）最大并发连接数（3）每秒新建连接数

（4）处理能力（默认漏报率为0时）（5）漏报率和误报率（6）延迟（7）吞吐量

（8）特征数：去除冗余参数，保留能够反映系统状态的重要参数的一个算法

3.3.2主要技术类型

（1）基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台(console)通信。

（2）基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器(sensor)组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

网安设备选型规范

（3）混合型:基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

图3.6混合型网络入侵检测系统

3.3.3主要构成

IETF（Internet工程任务组）将一个入侵检测系统分为四个组件：事件产生器（Event generators）；事件分析器（Event analyzers）；响应单元（Response units ）；事件数据库（Event databases ）。

事件产生器的功能是从整个计算环境中捕获事件信息，并向系统的其他组成部分提供该事件数据。事件分析器分析得到的事件数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等有效反应，当然也可以只是报警。事件数据库是存放各种中间和最终数据的地方的统称，用于指导事件的分析及反应，它可以是复杂的数据库，也可以是简单的文本文件。下图为IDS入侵检测系统报警过程，

网安设备选型规范

图3.7入侵检测报警

3.3.4接口类型

网络端口（光、电口），控制端口

3.3.5主要功能

基本功能：

（1）监督并分析用户和系统的活动（2）检查系统配置和漏洞

（3）检查关键系统和数据文件的完整性（4）识别代表已知攻击的活动模式（5）对反常行为模式的统计分析

（6）对操作系统的校验管理，判断是否有破坏安全的用户活动。

其他功能：攻击检测能力；响应方式；日志与报表；策略功能；管理功能；用户管理；升级管理；产品安全性

网安设备选型规范

3.3.6安装位置

IDS在交换式网络中的位置一般选择在：（1）尽可能靠近攻击源（2）尽可能靠近受保护资源这些位置通常是：

（1）服务器区域的交换机上

（2）Internet接入路由器之后的第一台交换机上（3）重点保护网段的局域网交换机上

防火墙和IDS可以分开操作，IDS是个监控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！

图3.8 某网络中入侵检测设备位置

网安设备选型规范

4．入侵防御IPS

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

网安设备选型规范

图4.1某IPS系统工作模型

详细信息见附件：

山石网科发布网络入侵防御系统解决方案

4.1具体性能要求

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。

一款优秀的网络入侵防御系统应该具备以下特征：

（1）满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；

（2）提供针对各类攻击的实时检测和防御功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失；（3）准确识别各种网络流量，降低漏报和误报率，避免影响正常的业务通讯；（4）全面、精细的流量控制功能，确保企业关键业务持续稳定运转；

网安设备选型规范

（5）具备丰富的高可用性，提供BYPASS（硬件、软件）和HA等可靠性保障措施；

（6）可扩展的多链路IPS防护能力，避免不必要的重复安全投资；

（7）提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要；

（8）支持分级部署、集中管理，满足不同规模网络的使用和管理需求。

4.2主流设备厂家

（1）国内厂家：华为、H3C、天融信、启明星辰、DCN 华为入侵防御系统：

图4.2华为入侵防御系统

关于华为设备详细信息见附件：

华为NIP 2100系列入侵防御系统

目前许多厂家产品中将入侵检测和入侵防御融合到一起，同时对系统中流量进行监管和防护，如下列这件产品中其功能包含：入侵检测和防御功能，称之为IDP系统。

网安设备选型规范

图4.3 某产品信息

（2）国外厂家：思科、Juniper

图4.4CiscoFirePOWER 8000 系列设备

Cisco入侵防御系统产品手册：

4.3设备详细信息 4.3.1重要选择参数

（1）吞吐量：作为用户选择和衡量NIPS性能最重要的指标之一，吞吐量是指NIPS在不丢包的情况下能够达到的最大包转发速率。吞吐量越大，说明NIPS数据处理能力越强。

（2）延迟：现在网络的应用种类非常复杂，许多应用对延迟非常敏感(例如音频、视频等)而网络中加入NIPS必然会增加传输延迟，所以较低的延迟对NIPS来说也是不可或缺的。

（3）最大并发连接数：最大并发连接数决定了NIPS能够同时支持的并发用户数，它反映出NIPS对多个连接的访问控制能力和连接状态跟踪能力，这对于NIPS来说也是一个非常重要的性能指标，尤其是在受NIPS保护的网络向外部网络提供

网安设备选型规范

公众服务的情况下，一般来说，该指标越大越好。

4.3.2主要技术类型

（1）基于主机的入侵防御(HIPS)：HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防御技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

（2）基于网络的入侵防御(NIPS)：NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

（3）应用入侵防御(AIP)：IPS产品有一个特例，即应用入侵防御（Application Intrusion Prevention，AIP），它把基于主机的入侵防御扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。

4.3.3接口类型

（1）若干自适应10/100/1000光/电口，作为监控端口，区分旁路和非旁路监控端口

（2）模块化端口（3）管理端口等

4.3.4主要功能

（1）异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。

网安设备选型规范

（2）在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时，先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。

（3）有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网路内部的有害代码实行有效阻止。

（4）核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。（5）对Library、Registry、重要文件和重要的文件夹进行防守和保护。

4.3.5部署位置

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。

下图为华三SecPATH IPS设备部署方式，（1）IPS在线部署方式

部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防御外部和内部攻击。

网安设备选型规范

图4.4IPS在线部署方式

（2）IDS旁路部署方式

对网络流量进行监测与分析，记录攻击事件并告警。

图4.5 IDS旁路部署方式

4.4 IDS和IPS的区别和选择

IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选

网安设备选型规范

择入侵检测产品，什么时候该选择入侵防御产品呢?

从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

IPS可以理解为深度filewall。

网安设备选型规范

5、统一威胁管理设备UTM

统一威胁管理(Unified Threat Management)， 2004年9月，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。本设备主要适用于中小型企业、中小办公机构及多分支机构，另外对于大型企业、电信企业骨干网等可以作为防火墙等网络安全设备的有效补充。

由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。

网安设备选型规范

图5.1 天清汉马UTM设备图

5.1具体选型原则

从定义上来讲，UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。

虽然UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，UTM产品分为不同的级别。也就是说，如果用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。（1）易用性：由于UTM包含了众多的安全特性，因此能否方便快捷地部署，成为了用户的首要诉求。曾有用户调查显示，用户对UTM易用性的关注超越了入侵防御和防病毒，成为用户在选购UTM时最关注的问题。

（2）集中管理能力：UTM应该具有基于组的集群管理功能，当在一个网络中部署多台UTM设备时，可以通过集中管理中心来对设备组进行配置，这样经过一次配置，组内所有的UTM设备可以整体生效。另外通过集群管理，可以把分散在不同地方的UTM设备的日志进行统一分析处理，形成全网的网络安全风险分析报告。

（3）病毒库和入侵防御特征库的在线升级：跟防火墙不同，UTM的病毒库、入侵特征库、反垃圾邮件库必须及时进行更新，这样才能具有最新的安全防护能力，因此需要对UTM定期进行升级。尤其是通过在线升级的方式，能够保证设备在最短的时间内获得更新。能否供给在线升级，以及在线升级的频度，是考虑厂家实力和技巧水平的重要指标。

（4）日志和流量处理能力：UTM应能够对病毒、入侵等高威胁性事件进行日志记载，并通过邮件等方式进行告警;应能通过NetFlow等技巧对网络流量进行分析，可以查询实时流量和历史流量，这不仅可以帮助管理者更好地评估网络状况，还能够通过异常流量分析，发现潜伏的网络威胁。产品规格及功能要求产品型号硬件规格提供小型、中型、大型多种设备型号 1U~4U上架设备，具体规格见实际硬件型号说明 45

网安设备选型规范

访问控制防病毒 VPN实现基于域名、IP地址、服务端口、IP协议、时间等元素的访问控制支持HTTP、FTP、POP3、SMTP协议的病毒防护，病毒库自动升级支持SSL-VPN、IPSEC-VPN，能够与CISCO等厂商VPN设备互联互通提供基于行为、内容的垃圾邮件防护功能，支持邮件的延迟审核发送集成基于统一安全引擎的安全防护功能，提供全面的防火墙功能提供全面的入侵检测与入侵防御功能支持典型P2P和IM软件的过滤和带宽限制支持QoS带宽管理，基于IP、协议、服务、接口、时间等元素的带宽控制支持透明、路由、混合三种工作模式，支持静态路由、策略路由、VLAN 支持双机热备部署模式，且切换时间小于1秒钟支持对CPU、网络、用户在线状态、连接数、路由表等信息的监控提供基于WEB和命令行的系统管理，支持远程升级邮件防护防火墙IDS/IPS P2P识别流量整形高可用性高可靠性设备监控系统维护

5.2主流设备厂家

（1）国内厂家：华为、H3C、天融信、深信服

下图为华为UTM USG2000设备，是面向中小型企业/分支机构设计的新一代防火墙/UTM（United Threat Management，统一威胁管理）设备。

图5.2华为 USG2000

华为USG2000基于业界领先的软、硬件体系架构，基于用户的安全策略融

网安设备选型规范

合了传统防火墙、VPN、入侵检测、防病毒、URL 过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。

下图为H3C的UTM设备图，

图5.3H3C UTM全家福

（2）国外厂家：Juniper、WatchGuard、checkpoint 暂无产品信息，只获得checkpoint产品培训资料一份

checkpoint-UTM-1产品培训.ppt

5.3设备详细信息 5.3.1重要选择参数

（1）UTM应用层转发性能（替代网络吞吐量）：传统防火墙采用吞吐量来评估转发性能，而UTM由于工作在2到7层，单纯使用IP或UDP的吞吐量测试不具有实际意义，因此使用应用层转发性能来进行评估更加准确。通常可采用HTTP并进行文件传输，来评估UTM所支持的应用层转发性能。一般网络吞吐量在百

网安设备选型规范

兆/千兆以上。

（2）并发连接数：并发连接数是UTM可以同时维护的用户连接数，一般来说同一用户会存在多个连接。并发连接数越高，UTM所能支持的连接用户就越多。（3）新建连接速率：新建连接速率是UTM每秒钟能够处理用户的应用层请求的速率，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度。如果新建连接速率，会导致用户的网络访问速度慢等问题。

对于UTM来说，自然是性能越高，所能供给的数据处理能力更高，但高性能的处理设备必然费用昂贵，用户在选择时需要根据预算选择具有合适处理能力的产品即可。对于中小企业，可能选择具有二三十兆转发性能的UTM产品就已足够，而对于大型企业或运营级用户，则需要几百兆甚至1G以上的处理能力。

5.3.2主要设备类型

从设备使用范围及功能特性上来说，针对不同级别用户，UTM（统一威胁管理）主要有以下几种设备类型：

（1）小型企业安全网关（吞吐量在几百兆）（2）中小型企业级百兆网络应用（吞吐量上千兆）（3）大中型企业级千兆网络应用（吞吐量达万兆左右）（4）电信级万兆骨干网络应用（吞吐量在几万兆）（5） UTM防火墙（千兆级）

5.3.3接口类型

控制端口：RJ45、RS-232

网络端口：多个千兆以太网电口或千兆光口

5.3.4主要功能

在UTM的所有功能中，并不是所有的功能都是必要的，用户需要根据自己的需求来断定采购目标。但一般来说，UTM设备应该包括如下基本功能，才具备基本的可用性：

网安设备选型规范

（1）根基防火墙功能：包括状态过滤、访问控制、NAT转换等，这些是防火墙的基本功能，也是UTM中必不可缺的功能。

（2）入侵防御(IPS)功能：入侵防御功能是UTM区别于防火墙的最基本特征。传统防火墙具有的是2-4层的防御能力，对更高层的协议不具备检测能力，而UTM正是通过入侵检测和防御技巧的实现，具有了2-7层的全面防御能力。从这一个角度来说，入侵检测能力的上下，是衡量一款UTM是否专业的重要标准。（3）防病毒功能：UTM所采用的网络防病毒引擎同桌面防病毒产品在实现上有一定的差异，病毒的实际检测率也是选择UTM设备的重要参考。（4）VPN功能：UTM应支持最基本的VPN功能，即端到端的IPSec VPN。（5）高可用性(HA)：由于UTM整合了众多的安全特性，使得其对稳定性的要求较一般安全设备要更加苛刻，因为一旦发生故障，可能会导致所有安全防御功能失效，造成无法挽回的损失。UTM应具备高可用性，能够采用主备模式，在检测到链路和设备故障时由备份设备取代主设备，供给不间断的安全防护。

图5.4 H3C UTM功能模块

不同设备的功能可能会有不同，首先根据用户的细分行业的需求不同分析其不同的安全需求，如下图：

网安设备选型规范

图5.5公司网络

图5.6 学校上网

上述功能可认为是UTM的标准功能，如果一款设备不具备上述所有功能，则不能被称为合格的UTM设备。譬如有的厂家推出的产品虽然号称UTM，但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能，或者仅仅能够抵御网络层的DOS攻击而不具备入侵防御功能，在本质上仍然是防火墙的有限增强，

本文来源：https://www.bwwdw.com/article/8jsr.html

相关文章：