第1章 UTM（统一威胁管理）概论

1.1 网络边界的安全防护

1.1.1 网络边界

实现资源共享是网络出现的源动力，多年的发展使Internet成为现实，全世界的计算机都可以连成网络，连成一个整体；但计算机越多，网络规模越大，安全也成为问题。不管是通过ADSL连入Internet的家庭用户，还是通过专线连入Internet的企业用户，抑或通过专线连入专用网络的行业用户，都面临着越来越多的不安全因素影响。“划地而治”是现实中解决安全问题的通用办法，国家具有主权疆土、城市具有行政区域、企业具有自主园区、居民有个人空间，这些主体都具有物理空间和边界，那么在解决网络上的安全问题时，“划地而治”如何实现呢？网络的边界和空间在哪里呢？

边界是以要保护的对象作为前提的，个人网络、企业网络、行业专网，甚至运营商的运营网络，都可以作为保护的对象；我们把这些网络可以看作一个独立的对象，通过自身的属性，维持内部业务的运转。这些对象的安全威胁来自内部与外部两个方面：内部威胁是指网络的合法用户在使用网络资源的时候，发生的不合规的行为、误操作、恶意破坏等行为；外部威胁是指网络与外界互通引起的安全问题，有入侵、病毒、恶意代码与攻击等。既然威胁有内、外部之分，边界也就有了区别：人与内部计算机的交互界面称为人网边界；不同安全级别的网络相连接，网络与网络之间的交互界面称为网网边界，网络边界的定义如图1-1所示。

广义的网络边界包括了人网边界和网网边界，狭义的网络边界指网网边界。本书提及的网络边界是狭义的概念，是指网络与网络之间的交互界面。

1.1.2 网络边界面临的威胁

随着网络的发展网络威胁的问题也与日俱增，并且目前还在呈现指数级别的增长：而且黑客仍在继续制造更为复杂的新威胁，不断地为网络互联的企业带来巨大的破坏；加之威胁的工具化、实施威胁更加容易，大大降低了攻击者的能力要求，进一步扩大了威胁。

一般情况下，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁和网络资源滥用威胁。这种威胁分类的依据是其产生的后果。

1.对网络自身与应用系统进行破坏的威胁：这类威胁的特点是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DoS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

2.利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治或经济利益的目的。这类威胁有盗号木马、SQL注入、垃圾邮件、恶意插件等。如通过盗号木马这个工具，不法分子可获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传法轮功的邮件，毒害人民群众，以达到不可告人的政治目的。

3.网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为，包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响正常业务的使用；又如，使用股票软件是正常行为，但在上班时间利用公司网络使用它，降低了工作效率，对公司或单位造成了间接损失。这些行为都属于网络资源滥用。

当然，由于是以结果进行分类，那么有些威胁就可以同时归属于两个类，例如SQL注入，有些注入是为了获取信息，达到政治或经济目的，属于第2类；有些注入后是为了修改网页，达到破坏正常网站访问业务的目的，属于第1类。

黑客产业链的发展加重了威胁力度。

现在，不择手段的赚钱已成为新一代黑客们的主要动机。在网络信息系统存在的安全漏洞和隐患层出不穷、威胁种类不断增加的情况下，利益驱使下的地下黑客产业链的发展，使基础网络和重要信息系统面临着严峻的安全威胁，网络犯罪行为的趋利性也表现得更加明显。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等，并结合社会工程学，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证书等。特别是，木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链，为各种网络犯罪行为带来了利益驱动，加之黑客攻击手法更具隐蔽性，使得对这些网络犯罪行为的取证、追查和打击都非常困难。

据CNCERT/CC监测发现，我国大陆地区被植入木马的主机IP数量增长惊人，每年增长的数量超过10倍，木马已成为互联网的最大危害。地下黑色产业链的成熟，为木马的大量生产和广泛传播提供了十分便利的条件，木马在互联网上的泛滥导致大量个人隐私信息和重要数据的失窃，给个人带来严重的名誉和经济损失；此外，木马还越来越多地被用来窃取国家秘密和企业商业秘密，造成了无法估量的损失。因此，黑客产业链的发展对网络威胁的泛滥起到了推波助澜的作用，并且具有固化的趋势，这使得网络威胁具备了长期性的特点。

1.1.3 网络边界安全传统的防护方式

对于网络边界面临的各类威胁，应该如何防护呢？从网络产生开始，网络边界就一直重复着攻击者与防护者的搏斗，“道高一尺、魔高一丈”，防护技术在与攻击技术的搏斗中也不断地成熟。保护网络边界主要有如下几种传统的设备。

1.防火墙

网络早期是通过网段进行隔离的，不同网段之间的通信通过路由器连接，要限制某些网段之间不互通，或有条件的互通，就出现了访问控制技术，也就出现了防火墙，防火墙是早期不同网络互联时的安全网关。

防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。ACL有些像海关的身份证检查，检查的是你是哪个国家的人，但你是间谍还是游客就无法区分了，因为ACL控制的是网络OS I参考模型的3～4层，对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部“看不到”的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而“穿透”了NAT的“防护”，很多P2P应用也是采用这种方式“攻破”防火墙的。

防火墙的作用就是建起了网络的“城门”，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可或缺的一部分。

防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马是毫无办法的，所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。

2.VPN网关

外部用户访问内部主机或服务器的时候，为了保证用户身份的合法、确保网络的安全，一般在网络边界部署VPN（虚拟网）网关，主要作用就是利用公用网络（主要是互联网）把多个网络节点或私有网络连接起来。

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

典型的VPN网关产品集成了包过滤防火墙和应用代理防火墙的功能。企业级VPN产品是从防火墙产品发展而来的，防火墙的功能特性已经成为它的基本功能集的一部分。如果VPN和防火墙分别是独立的产品，则VPN与防火墙的协同工作会遇到很多难以解决的问题；有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等。而如果采用功能整合的产品，则上述问题就不存在或能很容易解决。

3.防DoS攻击网关

拒绝服务攻击（DoS，Denial of Service）是一种对网络上的计算机进行攻击的一种方式。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。常见的拒绝服务攻击有SYN Flood、空连接攻击、UDP Flood、ICMP Flood等。

SYN Cookie是应用非常广泛的一种防御SYN Flood攻击的技术，在攻击流量比较小的情况下，SYN Cookie技术可以有效地防御SYN Flood攻击；从路由器上限制流向单一目标主机的连接数或者分配给单一目标主机的带宽也是一种常用的防御手段。另外，由于一些攻击工具在攻击之前往往对攻击目标进行DNS解析，然后对解析之后的IP进行攻击。因此如果对于被攻击的服务器分配一个新IP，在DNS进行重新指向之后，攻击工具往往还会向原来的IP发送攻击，这样，被攻击的服务器就可以躲开攻击。这种方法被称为“退让策略”。

由于防DoS攻击需要比较多的系统资源，一般使用单独的硬件平台实现，与防火墙一起串联部署在网络边界。如果与防火墙共用平台，只能防范流量很小的DoS/DDoS攻击，实用性较差。

4.入侵防御网关

入侵防御网关以在线方式部署，实时分析链路上的传输数据，对隐藏在其中的攻击行为进行阻断，专注的是深层防御、精确阻断，这意味着入侵防御系统是一种安全防御工具，以解决用户面临网络边界入侵威胁，进一步优化网络边界安全。

入侵防御网关一般串行部署在网络边界，以边界防护设备的形式接入网络，任何对受保护网络的访问数据都将穿过入侵防御引擎。其标准的接入方式如图1-2所示。

与旁路的IDS（入侵检测系统）相比，入侵防御可以进行实时的防御；与基于静态规则进行边界防护的防火墙相比，入侵防御可以实现动态的深层次的、精确的防御，如图1-3所示。

在发现攻击行为之后，入侵防御系统可以主动地阻断这些攻击行为，对内部网络的系统实现免疫防护。即使内部系统存在相应的风险漏洞，也可以由入侵防御引擎来实现先于攻击达成的防护。

5.防病毒网关

随着病毒与黑客程序相结合、蠕虫病毒更加泛滥，网络成为病毒传播的重要渠道，而网络边界也成为阻止病毒传播的重要位置；所以，防病毒网关应运而生，成为斩断病毒传播途径最为有效的手段之一。

防病毒网关技术包括两个部分，一部分是如何对进出网关的数据进行查杀；另一部分是对要查杀的数据进行检测与清除。综观国外的防病毒网关产品，至今其对数据的病毒检测还是以特征码匹配技术为主，其扫描技术及病毒库与其服务器版防病毒产品是一致的。因此，如何对进出网关的数据进行查杀，是网关防病毒技术的关键。由于目前国内外防病毒技术还无法对数据包进行病毒检测，所以在网关处只能采取将数据包还原成文件的方式进行病毒处理，最终对数据进行扫描仍是通过病毒扫描引擎实现的。

防病毒网关着眼于在网络边界就把病毒拒之门外，可以迅速提高企业网防杀病毒的效率，并可大大简化企业防病毒的操作难度，降低企业防病毒的投入成本。

6.反垃圾邮件网关

电子邮件系统是信息交互的最主要沟通工具，互联网上的垃圾邮件问题也越来越严重，垃圾邮件的数量目前以每年10倍的速度向上翻。而且往往会因为邮箱内垃圾邮件数量过多而无法看出哪些是正常邮件，大大浪费了员工的工作时间；另外，巨量的垃圾邮件也严重浪费了公司的系统和网络带宽的资源。

反垃圾邮件网关部署在网络边界，可以正确区分邮件的发送请求以及攻击请求，进而将邮件攻击拒绝，以保障电子邮件系统的稳定运行；此外，在保障邮件正常通信的情况下对垃圾邮件以及病毒邮件进行有效识别并采取隔离措施隔离，可减少邮件系统资源以及网络带宽资源的浪费，进而提高公司员工的工作效率；最后，还不必为电子邮件系统出现故障时找不到问题而耗费时间，部署后的电子邮件系统将可以在不需要管理员进行任何干涉的情况下稳定运行，大大节省了电子邮件系统的管理成本。

7.网闸

安全性要求高的单位一般建设两个网络：内网用于内部高安全性业务；外网用于连接Internet或其他安全性较低的网络，两者是物理隔离的。既要使用内网数据也要使用外网数据的业务时，用户必须人工复制数据。实际应用中，用户希望这个过程自动化，解决“既要保证网络断开、又要进行信息交换”的矛盾。

网闸可用来解决这一难题。网闸提供基于网络隔离的安全保障，支持We b浏览、安全邮件、数据库、批量数据传输和安全文件交换、满足特定应用环境中的信息交换要求，提供高速度、高稳定性的数据交换能力，可以方便地集成到现有的网络和应用环境中。

1.1.4 传统防护方式的问题

通过在网络边界部署防火墙、VPN网关、入侵防御网关、防病毒网关、反垃圾邮件网关、防DoS攻击网关等设备，树立起一道道的防线，在一定程度上解决了安全的问题；这看上去像一串“糖葫芦”，所以也把这种部署方式称为“糖葫芦式”部署方案，如图1-4所示。

“糖葫芦式”部署方式虽然在一定程度上解决了网络边界的安全问题，但也存在着下列管理、性能、安全、成本、协调性等方面的问题和缺陷。

· 管理维护复杂

在安全网关日常维护过程中，安全管理粒度越来越细，一个人员的变化、一个座位的调整都可能要求对网关做相应的配置修改。对单台设备进行配置修改、信息监控相对简单，但对于多台具备不同功能的安全网关进行相应维护显得比较复杂，尤其当存在多级网关设备时。对于网络流量与业务的实时监控是网管员判断网络安全的重要依据，单一功能安全网关提供的信息不全面，多个安全网关提供的信息关联性差，需要较多的分析工作，这也加大了管理维护工作的复杂度。“糖葫芦式”部署方式的管理维护工作相当复杂，对管理员的水平要求较高。

· 存在性能瓶颈

在“糖葫芦式”部署方式下，网络出口的性能取决于所有网关中性能最低的那一个，与经典的“木桶效应”是不谋而合的。例如，在网络边界部署了3台安全网关，两台为千兆性能、一台为百兆性能，串联后对外表现出的性能为百兆。这就使得性能上可能产生瓶颈，导致其他网关设备性能的浪费，以及出口带宽的浪费。

· 难以应对混合型攻击

在各类网络中，安全威胁越来越复杂多变，在任何时刻都会使网络面临日益增长的安全危险。以往威胁大多只是企图利用创新而具破坏性的攻击手法来提高知名度，如今却转而以谋利为目的。除去威胁程度日益增加的病毒和蠕虫，用户还必须面对更加复杂的攻击形态，木马程序、僵尸网络、间谍程序、垃圾邮件、网络钓鱼、网站嫁接等多种攻击。在威胁种类变得复杂的同时，利用漏洞的病毒、蠕虫的“Zero Day”攻击能够赶在补丁程序安装之前出现在网络中，这在时间坐标上使威胁变得复杂。很有名的混合威胁之一， myDoom就利用电子邮件作为其传播渠道，利用全球数以百万计的被感染计算机来实施针对特定企业的拒绝服务（DOS）攻击。据估计，仅仅在myDoom发作的最初五天时间里就带来了600亿美元的损失。

新兴的混合型攻击通过组合多种威胁方法加大了危害的严重性。事实上，随着保护层的复杂性增加，黑客也在寻求组合利用现有保护层的各种弱点和漏洞，因此防御新的威胁的任务变得越来越具有挑战性，而“糖葫芦式”部署方式应对混合型攻击就显得无能为力了。

· 建设成本高

显而易见，“糖葫芦式”部署方式需要购买多台安全网关设备，单一产品价格都比较昂贵，多个设备的叠加需要较大的投入，对用户的负担较重。

· 安全策略难以整体实施

安全策略是用户根据自身情况量身定做的，在总体安全策略的规范下，落实到网关上的安全策略具备一致性；也就是说，具体的安全策略之间是相互配合的、相互联系的。在“糖葫芦式”部署方式下，存在多个网关实体，需要分别实施安全策略，这增加了安全策略实施的难度。与此同时，多个安全网关可能来自于不同的厂商，相互配合会存在比较大的问题，在此情况下想要保证安全策略实施的一致性是非常困难的。

可以看出，在网络边界采用传统安全网关设备的单一或组合，存在着这样或那样的问题，对边界安全的有效解决存在着障碍。因此，解决网络边界问题，需要系统化地进行考虑，从一体化角度入手，找到最佳答案。