1. 边界安全发展简介
蓝盾信息安全科技股份有限公司成立于1999年,至今正好十年了。十年来蓝盾公司专注于网络安全产品的研发,至今形成了四个研发方向,其中边界安全方面上有防火墙、IDS、IPS、DDOS防御网关、流控墙、UTM等设备;内网保护方面有安全扫描系统、网络监控系统、帐号集中管理系统等;在应用防护方面有反垃圾邮件系统、网页防篡改系统、黑客追踪系统、数据库保护系统等;在终端安全保护方面有基于文件安全的保密系统和相应的主机安全保护系统等。十年来,蓝盾共开发出十二大类五十余种型号的公共安全产品。同时,蓝盾也承担了公安部及保密局的专项产品开发任务,开发出多款部级、省级专用安全产品。
边界安全是蓝盾的强项,也是蓝盾自成立以来就有的产品。边界网络安全发展到现在经历了四个阶段,从网络边界部署的硬件防火墙;过渡到深度包过滤防火墙;再到目前边界上比较流行的混合式安全,即UTM;到目前,整个网络安全发展趋势是朝着高效的安全平台、模块化的运用、可联动的系统管理、可定制的功能需求和快速开发维护的产品体系架构发展。
这十年来,我们蓝盾在边界安全产品线的研发也同样经历了四个阶段,1999年开发出了国内具有自主知识产权的防火墙产品,2002年开发出深度包过滤防火墙产品,期间同时开发出漏洞扫描、IDS、DDOS网关等专业防御产品,2005年开始研发UTM统一威胁管理产品,从2009年开始我们基于四维UTM的安全平台架构(以下简称4d-UTM,4-dimensional Unified Threat Management)开发出更加高效、更加灵活、可拓展更高的安全产品。
2. 蓝盾4d-UTM体系
蓝盾的4d-UTM安全体系是由UTM统一威胁管理,UEM统一终端管理,UPM统一策略管理、以及UCM统一通道管理构成。UTM是解决边界上的应用融合,UEM是解决终端主机、服务器上的安全监控。正如目前安全行业的研发热点,可信网络与可信终端有一个融合的趋势,在蓝盾4d-UTM的体系里面我们有网络上的UTM以及终端上UEM,并且通过UPM对UTM及UEM进行统一的策略管理,体现了这种融合。在4d-UTM体系里,UCM代表者对IPv4、IPv6以及其他异构网络、复合网络的协议自适应管理。
我们认为4d-UTM体系是解决目前点、线、面信息安全单独为战的格局,可以实现信息化的全面安全联动。以下我们再稍微具体地来看看这个体系。
首先是边界层面的UTM,分为4层,从下到上依次为多核安全硬件层、安全内核层、可模块化的功能层、以及设备表现层/管理层。通过这种系统架构,蓝盾的边界产品线可以很容易地按功能模块进行划分,分解为多种专项功能产品,如防火墙、UTM、VPN、漏洞扫描系统、流控墙、邮件过滤网关等。
其次是关键信息终端上部署的UEM,在蓝盾4d-UTM架构图中,我们看到具体体现为HSC主机安全控制插件,该插件可以运行在主机及服务器上进行远程安全管理。同时,UTM与主机上的UEM安全控件可以进行策略联动设置,实现网络与终端的安全联动。
然后是管理层面的UPM统一策略管理平台,通过集中及分级管理方式,该UPM平台能对多台UTM设备进行统一的管理,包括了日志的收集和分析、统一的策略下发、统一的风险管理。同时,我们通过部署在互联网上的蓝盾安全系统管理服务器对UPM平台、UTM网关实时或定时进行更新升级,包括对入侵特征库、病毒库、网页黑名单,以及目前越来越流行的应用层级别的程序特征进行升级。
最后,通过该体系的UCM自适应通道管理实现对异构网络和复合型网络的协议支持。
以下给大家举个例子了解一下4d-UTM在实际网络中的作用。在下面这张拓扑图中,大家可以看到一个典型的分布式网络,里面有总部和分部的网络拓扑。我们首先把UTM架设在总部和各个分布的出口位置,保障边界的安全;再将UEM终端安全控件部署在各子网络中重点的信息控制点,实现安全从边界到终端的控制,包括对进程、注册表、USB接口、敏感文件、杀毒软件、系统补丁等方面的安全管理;我们再通过统一的策略管理平台UPM程序进行设备的统一管理、日志的统一收集分析,以及风险级别、警告级别的统一设置。整个网络涉及到点(及信息终端)、线(即网络边界)、面(及管理层面)各个安全漏洞的易发点,形成了立体网络架构和网络安全体系的建立。
3. 异常监控技术
另外,在4d-UTM的平台上有个很重要的技术,就是基于网络层的异常监控。大家可能会问,对于UTM来说,实现了单纯的功能性复合,而这些功能性的复合到底是否可以联动工作其实更加重要。另一方面,单纯从功能而言,UTM可以实现对边界上各种威胁的管理任务,但是这种管理的复合性对复杂网络有一定难度,网管人员用起来会眼花缭乱,光顾及功能方面就够看的了。于是我们在想,是否能有这样的一种简单的管理平台来支持,使用户能方便的管理网络?我们发现,相对于各种花哨的功能,网管人员其实更加关注网络异常情况,希望网络安全设备能对异常进行预警、定位。于是我们有了这样一个异常监控系统作为4d-UTM体系的补充,与目前潮流反其道而行,抛开应用层各种层出不穷的特征分析、程序分析,从网络底层发现网络异常状况。一旦发现异常状况即进行警报,同时联动UTM上的各项功能进行联动防御工作。通过获取在网络层流进流出的数据流,对端口数据、连接数据和流量数据加以分析,形成相应的关键点监控,包括每个IP的流量、连接、端口情况,从数据包包头分析提升到应用分析,如对FTP、邮件收发、网页浏览等应用的异常分析,从最根本的网络层推测到应用层的各种异常原因。
通过这样一种由底而上的异常分析系统,我们可以实现很多网管员关心的网络异常情况诊断工作。
比如,异常监控分析系统首先会对部署在各网络中的UTM设备进行自检,对设备的网卡工作情况、系统资源等方面建立了一个系统自检表,保证设备的正常运行,同时对设备资源情况也有个异常监控。
然后,对网络层会话数实现快照,对网络连接数、新建连接数进行跟踪、记录、异常报警。现在有越来越多的小包的会话充斥在网络中,可以产生比大流量爆发更具有威胁的破坏力,我们可以监测网络中的小包数量,设置警戒线,当过了警戒线即实时向管理员报警,使其能采取相应的预防补救措施。同时,在流量方面通过以预设警戒线的方式进行报警,对网络进出的流量进行了实时的分析,并且比对数据包方面的监控数据进行多维分析,将流量还原归类为不同大小的数据包。
在实际应用中,越来越多的网络里小包的产生率越来越高,在众多实施过的网络中我们发现如果不对小包加以控制的话,如果让 64 bytes到 256 bytes的小包比重达到30-50%时,就会造成网络不稳定,就会有网络连接慢、连接不稳定的情况发生。通过对数据包、流量、连接情况进行警戒线的比对捕捉,我们就可以实现异常网络情况的实时分析和报警。
通过以上的介绍,大家可以了解到,经过蓝盾4d-UTM体系的部署,用户能真实解决信息安全管理散乱的格局,统一对多维安全域实时监控,实现信息化安全的全面联动。