网络安全产品可行性分析分析方案.docVIP

网络安全产品可行性分析报告 海豚工作室的几种产品的国内现状 UTM UTM最早是由美国Fortinet公司提出的，在2004年9月，IDC给出了UTM的定义：由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。相比传统网关安全设备，UTM设备融合多种安全能力，具有投入少、防御能力强、管理方便的优势。 近年来，随着安全技术的发展和安全意识的提升，能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2，多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆，无数性能试比高低。 目前国内典型的有几家著名的网络安全公司都开发了,天融信,启明星辰,LINKTRUST.这几家公司的产品都比较成型.还有一些小公司也在开发,但是没有形成势力.国外的UTM做的最好的公司是Fortinet. 防火墙、入侵防御和防病毒几大功能基本是UTM的核心.现在市场上的UTM的技术瓶颈主要是性能问题. 当防火墙、入侵防御和防病毒同时打开时，性能下降幅度普遍超过50%，甚至达到80%或者90%之多. WAF 防止网页被篡改是被动的，能阻断入侵行为才是主动型的，前边提到的IPS/UTM等产品是安全通用的网关，也有专门针对Web的硬件安全网关，国内的如：绿盟的Web防火墙，启明的WIPS(web IPS)，国外的有imperva的WAF(Web Application Firewall)等。 Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。 ◆代理服务：代理方式本身就是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。 　　◆特征识别：识别出入侵者是防护他的前提。特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。虽然目前恶意代码的特征指数型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。 　　◆算法识别：特征识别有缺点，人们在寻求新的方式。对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。 　　◆模式匹配：是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。协议模式是其中简单的，是按标准协议的规程来定义模式;行为模式就复杂一些，Web防火墙最大的挑战是识别率，这并不是一个容易测量的指标，因为漏网进去的入侵者，并非都大肆张扬，比如给网页挂马，你很难察觉进来的是那一个，不知道当然也无法统计。对于已知的攻击方式，可以谈识别率;对未知的攻击方式，你也只好等他自己“跳”出来才知道。 IPS 实时、主动拦截各类黑客攻击和恶意行为，保护用户信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。 IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗?这就是入侵防御系统(IPS)的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否