H3C UTM统一威胁防护平台介绍

1、H3C UTM统一威胁防护平台介绍引入H3C UTM（Unified Threat Management）系列设 备采用H3C先进的软硬件平台和体系架构，集成防火 墙、VPN、入侵检测防御、病毒防护和应用控制等 功能，有效地为用户提供2到7层的安全防护和业务 优化。目录H3C UTM产品概述H3C UTM安全特性H3C UTM 典型应用众多安全威胁的困扰网络攻击垃圾邮件非法访问地址匮乏蠕虫病毒后门木马黑客产业链的形成和网络攻击威胁到企业网信息安全蠕虫、木马、间谍软件等泛滥造成信息系统业务中断缺乏有效的审计手段、网络陷阱和威胁无处不在4安全威胁一：基础安全薄弱业务部门无法对访问进行控制，存在越权

2、、非法访问现象无网络地址转换，内部网络结构直接暴露在互联网上IPv4地址枯竭，IPv6是发展趋势，如何保障安全建设投入2011 全球IPv4地址已分配完毕计算机犯罪事件逐年增长内部越权、非法比重最大用户内部非法事件带来更大的损失5安全威胁二：信息孤岛远程信息传输不安全，存在篡改、泄密、病毒等威胁专线费用高，维护成本大；合作伙伴访问权限难以控制内部资源分支机构合作伙伴移动办公远程互联6安全威胁三：泛滥的病毒网络病毒数量呈爆炸式增长传播手段更加多样化， 传播范围更广，传播速度更快由技术驱动变为利益驱动，病毒形成产业， 危害更大新增病毒对比图病毒黑客产业链7内容良莠不齐，色情、赌博、暴力充斥着整个互

3、联网络威胁无处不在，非法网站、有收费陷阱的网站无处不在上网行为统计中国互联网络发展状况统计报告搜索引擎电子邮件 即时通信 网络新闻拥有博客/个人空间 更新博客/个人空间 网络游戏网络音乐 网络视频 网络购物 网上支付论坛/BBS访问论坛/BBS发帖 网上银行网上炒股/基金 网络求职8安全威胁四：错综复杂的网站P2P流量抢占有限的网络带宽，导致正常业务无法开展IM、游戏、炒股软件等随意使用，影响企业运营效率安全威胁五：核心业务带宽无法保障关键业务应用EmailP2PIM Inter公司内部炒股软件网络游戏9系统漏洞大量存在，形同网络中的不定时炸弹随着操作系统、应用软件的不断丰富，漏洞越来越多安全

4、威胁六：应用层攻击10传统解决方案存在致命缺陷性能功能防火墙 VPN/NAT URL过滤 行为审计 漏洞防护 防病毒针对前述众多威胁，两种传统解决方案是： 多个独立设备累加：投入成本高、故障点从多、管理难度大 传统UTM：基于X86/NP/ASIC架构设计，功能开启后性能急剧下降11状态检测过滤、NAT、攻击 防范等提供数 据远程 传输防 窃取、 防窜改、防重 放的安 全保证防御最 新的安 全威胁 及恶意 攻击防火墙VPNIPS防病毒查杀病 毒、蠕 虫、木 马、恶 意代码 等过滤垃圾邮件防垃圾邮 URL过滤件阻断对 不良、 恶意、 钓鱼网 站/网页 的访问限制P2P/IM应用， 保证关 键业务

5、 的有效 带宽带宽管理协议内容审计对协议 操作内 容进行 审计记 录，以 备查询ComWarei - Ware多核硬件平台融合基础网络安全功能和内容安全功能H3C UTM解决之道12SecPath U200-M固定接口：6个千兆口 扩展槽位：1个大中型企业小型企业SecPath U200-A固定接口：6个千兆口扩展槽位：2个SecPath U200-S固定接口：5个千兆口 扩展槽位：1个H3C UTM系列产品13H3C 全系列UTM产品覆盖中小企业的安全需求，可以实现对安全威胁的抵御大中型企业小型企业SecPath U200-CA 固定接口：6个千兆口 扩展槽位：2个SecPath U200-

6、CM 固定接口：5个千兆口 扩展槽位：1个H3C UTM分销产品SecPath U200-CS 固定接口：5个千兆口 扩展槽位：1个14注意：如果启用UTM的深度检测功能，必须配有外置CF卡！10/100/1000M业务口Console接口USB接口CF卡插槽MIM卡插槽MIM卡插槽15系统规格 CPU : 1 * RMI XLS208 750MHz Flash : 32MB 内存 : DDR2 SDRAM, 1GB CF 卡 : 外置 256M / 512M / 1G 接口: 6 * 10/100/1000M GE USB 接口: 1, 硬件预留 MIM 插槽 : 2 Console 接口

7、: 1吞吐量(FW) : 600M吞吐量 (IPS) : 150M可选配件 MIM插卡（2千兆电口或者4千兆光口） CF 卡 病毒特征库升级-1年 IPS特征库升级-1年 应用控制特征库升级-1年H3C U200-A的产品规格注意：如果启用UTM的深度检测功能，必须配有外置CF卡！系统规格 CPU : 1 * RMI XLS208 750MHz Flash : 32MB 内存 : DDR2 SDRAM, 1GB CF 卡 : 外置 256M / 512M / 1G 接口: 6 * 10/100/1000M GE USB 接口: 1, 硬件预留 MIM 插槽 : 1 Console 接口 : 1

8、10/100/1000M业务口Console接口USB接口CF卡插槽MIM卡插槽16吞吐量(FW) : 400M吞吐量 (IPS) : 100M可选配件 MIM插卡（2千兆电口或者4千兆光口） CF 卡 病毒特征库升级-1年 IPS特征库升级-1年 应用控制特征库升级-1年H3C U200-M的产品规格注意：如果启用UTM的深度检测功能，必须配有外置CF卡！系统规格 CPU : 1 * RMI XLS404 800MHz Flash : 32MB 内存 : DDR2 SDRAM, 512MB CF 卡 : 外置 256M / 512M / 1G 接口: 5 * 10/100/1000M GE

9、USB 接口: 1, 硬件预留 Mini 插槽 : 1 Console 接口 : 110/100/1000M业务口Console接口USB接口CF卡插槽17吞吐量(FW) : 300M吞吐量 (IPS) : 50M可选配件 Mini插卡（2千兆电口） CF 卡 病毒特征库升级-1年 IPS特征库升级-1年 应用控制特征库升级-1年H3C U200-S的产品规格 特点1: 先进的硬件平台线程1线程2线程3线程4. 漏洞防护线程1. 状态防火墙2. VPN远程安全互联3. 病毒防护CPU1CPU2CPU3H3C 在全系列UTM产品中，应用多核 多线程技术，为多业务安全提供坚实的 硬件平台18H3C

10、 UTM防火墙基本防护实时防病毒防护先进的漏洞防护垃圾邮件防护提供9大安全功能，覆盖7层应用安全防护唯一集成行为审计、应用控制功能，实现对安全需求的全面覆 盖 特点2:全面的安全特性P2P流量控制，应用控制基于应用的行为审计URL过滤功能VPN远程互联NAT地址转换19特点3:及时的特征库更新快速响应：每周发布于H3C网站，利于用户统一及手工升级，利于自动快速升级快速升级：完成整个升级小于1分钟，无须重启系统，不影响用户网络及业务运行InternetLAN协议特征库分析网络流量动态采集跟踪业界变化协议特征库生成鉴定测试中心验证发布H3C网站手工升级自动升级统一升级只要完成特 征库升级， 即可对

11、新协 议的识别20通过专业的涉及和技术支撑，提供产品销售的系列化支持，实 现对产品购买成本的持续保护。全系列千兆接口：固定提供超过5个10M/100M/1000M自适应接口，满足 网络接入需求IPV6协议支持 ：支持IPV4和IPV6双协议，降低网络切换投入绿色环保：通过欧洲严格的RoHS认证，保障产品具有环保、低辐射和低 功耗等特点，降低环境污染和维护费用 特点4:合理的投资保护21目录H3C UTM产品概述H3C UTM安全特性H3C UTM 典型应用状态防火墙限制未授权访问UTM用户服务器用户初始化到服 务器的一个会话该用户会话的后续数据包被允许非用户建立外部 发起会话被拒绝监控通信过程

12、中的数据包 动态建立和删除访问规则ASPF (Application Specific Packet Filter)：专利技术保障在支持丰富网络应用的同时提供高安全性支持多种应用协议的状态检测，包括H323/MGCP/SIP/H248/RTSP/HWCC，及ICMP/FTP/DNS/PPTP/NBT/ILS等支持对SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测23支持多种常用转换方式支持多种协议ALG 支持指定转换后地址NAT网络地址转换支持静态网段地址转换支持双向地址转换 支持DNS映射UTM用户服务器源IP目的IP24源IP目的IP源IP目的IP5源IP目的IP5内部

13、网络SecPath UTM系列 统一威胁管理设备合作伙伴VPN接入VPN接入站点对站点接入(Site-to-Site)：性能高、运行简单可靠、适用于多个分支机构之间远程互联远程接入(Remote-Access) ：接入灵活，使用方便，成本低，适 于远程主机直接接入系统网络，如合作伙伴、员工出差等性能高：内嵌硬件加密引擎，解决VPN传输性能瓶颈统一安全远程接入消除信息孤岛25攻击防范清洗网络异常流量黑名单扫描攻 击防范DDoS防范动态黑名单静态黑名单地址扫描端口扫描畸形报文攻击防范ICMP FloodUDP FloodSYN FloodDNS FloodFraggle攻击检测Land攻击检测Wi

14、nNuke攻击检测TCP Flag攻击检测ICMP不可达报文攻击检测Smurf攻击检测超大ICMP报文攻击 检测26内容过滤过滤非法应用内容log内容过滤功能HTTP协议内容过滤URL Host/IP过滤URL 参数过滤Header 过滤正文过滤ActiveX阻断JAVA Applet阻断SMTP/POP3协议内容过滤收/发件人过滤主题过滤正文过滤附近过滤超大邮件过滤FTP协议内容过滤上传/下载文件名过滤命令字过滤Telnet协议内容过滤命令字过滤UTM可以根据用户需求对HTTP协议、SMTP/POP3协议、FTP协 议和Telnet协议报文中携带的内容进行过滤，以阻止内部网络用户 访问非法网

15、站或收发非法邮件，并阻止含有非法内容的报文进入内 部网络。27关键字黑名单白过滤Java Applet 过滤ActiveX过滤商业安全法律娱乐带宽 占用HTTP GET28HTTP RESPONSEURL支持Java Blocking、ActiveX Blocking过滤支持黑白名单及本地缓存技术，保证关键业务的快速通过WEB过滤拒绝有害网站链路负载均衡优化多出口业务ISP1ISP3123456通过调度算法将流量均匀的分发到不同链路通过就近性探测为客户选择最优的路径通过健康性检测实时监测链路状态，保证业务可靠性126ISP2 34529虚拟设备满足不同安全需求虚拟设备是一个逻辑概念，一台UTM

16、设备可以从逻辑上划分 为多个部分，每一个部分可以作为一台单独的设备 ，多个虚 拟设备可以分别配置不同的安全策略，为不同的用户提供私 有的路由转发平面和安全服务等业务，这就是虚拟设备。虚拟设备用户C用户A用户B用户D30双机热备提高网络可靠性双机热备是为了解决网 络单点故障导致的业务 中断问题，提高网络稳 定性及可靠性。防火墙流量的切换通过VRRP或者路由实现。防火墙不同于其它网络 设备，路径备份的同时 还需要同步会话。防火墙的双机热备不区 分设备的主备状态，两 台设备可以同时处理各自的业务报文InternetPrivate NetworkUTM 1会话表项UTM 2会话表项31故障发生之前，备

17、份设备仅做备 份，由主设备处理全部业务注：仅U200-A、U200-M、U200-CA支持网页病毒邮件病毒文件病毒32集成卡巴斯基SafeStream专业病毒特征库，实现速度和效率的完美结合。实时病毒查杀解决病毒泛滥问题专业的防病毒引擎 支持对HTTP、FTP、SMTP和POP3 协议进行分析识别，对协议负载进行 病毒检测 灵活提供允许、阻断等防范策略 完善的病毒日志功能，为审计、故障 诊断提供了丰富的信息，日志查询方 便 允许通过手动、自动方式进行病毒库升级，保证对新病毒及时响应有效请求UTM允许有效 请求通过服务器黑客代理傀儡机代理代理代理代理傀儡机代理应用层攻击抵御：蠕虫、木马、间谍软件

18、的实时防护漏洞特征升级：设备自动完成升级，实现实时防护33完善的漏洞防护应用层攻击防御全面的URL过滤自定义或分类过滤SecBlade ACG的URL过滤模块提供了固定 字符串和正则表达式两种匹配方式，能够满 足用户灵活的URL过滤策略：固定字符串方式正则表达式方式34智能应用识别保障核心业务规范化关键业务应用EmailP2P网络游戏UTM InterIntranetLow P2PMed Email总 带 宽网络游戏HTTPVoIP DBPOP3 IMAP SMTPBTeMule/eD2K CSHigh关键业务 应用识别控制迅雷等P2P流量识别控制网络游戏，如魔兽世界等识别控制炒股软件，如大智

19、慧等35分层QoS精细区分业务通道分层QoS提供了一种更灵活的带宽控制方式， 根据不同的用户、应用或业务划分出多条不同 的通道，对这些通道分别进行带宽控制以及各 种精细化的动作管理。通道带宽管理：允许阻断带宽保证带宽限制36内容监控详细记录用户行为内容监控特性能够对用户的上网行为，如Web网页访问、IM 应用、远程交互应用和数据库应用进行过滤或监控，并产生 相应的监控日志。 Web应用监控：支持Web网页内容关键字、上传/下载的文件类型、ActiveX、Java Applet和Script脚本的过滤和监控。 IM应用监控：支持对QQ和MSN进行监控。 远程交互应用监控：支持对FTP进行监控。 数据库应用监控：支持对Oracle、Sybase、SQL Server和MySQL数据库的应用进行监控。37详细的行为审计规范用户行为HTTP访问审计Email行为审计FTP行为审计