《UTM(统一威胁管理)技术概论》从UTM的起源开始,立足于实际使用环境和技术,通过多种灵活的方式全面介绍了UTM的实现原理与关键技术,覆盖了访问控制、入侵防御、防病毒、VPN、上网行为管理、流量管理、日志与审计以及应用等多个信息**方面,同时对UTM的技术发展方向和产品形态方向给出了清晰、严谨的预期。

第1章 UTM(统一威胁管理)概论 1
1.1 网络边界的**防护 1
1.1.1 网络边界 1
1.1.2 网络边界面临的威胁 2
1.1.3 网络边界**传统的防护方式 3
1.1.4 传统防护方式的问题 6
1.2 UTM的来源与定义 8
1.3 UTM与传统网关的关系 9
1.4 UTM的价值 11
1.5 UTM的市场状况 14
1.6 UTM的发展趋势 15

第2章 UTM的实现与关键技术 18
2.1 UTM的实现方式 18
2.2 UTM面临的挑战 20
2.3 UTM的硬件平台 21
2.3.1 x86架构 21
2.3.2 NP架构 22
2.3.3 ASIC架构 22
2.3.4 多核SOC架构 23
2.3.5 多核是*适合UTM的架构 23

2.4 UTM的软件技术 24
2.4.1 驾驭多核的关键软件技术 24
2.4.2 基于标签的综合匹配技术 26
2.4.3 *优规则树技术 27
2.4.4 应用层协议类型**识别技术 27
2.4.5 多模匹配算法 29
2.4.6 事件关联与归并处理技术 30
2.4.7 基于知识库的非法连接请求动态抽样与分析技术 31

第3章 访问控制 32
3.1 UTM与访问控制 32
3.1.1 为什么UTM设备必须拥有访问控制的功能 32
3.1.2 UTM的访问控制功能的特殊性 33

3.2 UTM访问控制的设计策略 38
3.2.1 网络服务访问策略 38
3.2.2 UTM的设计策略 40
3.2.3 设计UTM策略时需考虑的问题 41

3.3 UTM访问控制功能的关键技术 41
3.3.1 状态检测技术 41
3.3.2 网络地址转换技术 43
3.3.3 防拒绝服务攻击技术 47

第4章 入侵防御 54
4.1 入侵防御与UTM 54
4.1.1 入侵防御技术的由来 54
4.1.2 入侵防御技术在UTM上的实现 55
4.1.3 UTM中入侵防御功能的价值 56

4.2 UTM中的入侵防御功能与专业IPS的关系 57
4.2.1 从位置看区别 57
4.2.2 从保护对象看区别 57
4.2.3 从发展趋势看区别 58

4.3 入侵防御技术解析 58
4.3.1 入侵防御技术的分类 58
4.3.2 入侵防御技术的定义 59
4.3.3 入侵防御技术的基本原理 60
4.3.4 入侵防御与入侵检测的关系 61
4.3.5 入侵检测技术 63
4.3.6 入侵响应技术 66
4.3.7 高速数据处理技术 67
4.3.8 入侵报警的关联分析技术 69

4.4 入侵防御在UTM上的配置案例 70
4.4.1 系统预置入侵防御事件集 70
4.4.2 用户自行建立新的事件集 71
4.4.3 建立**防护表并引用IPS事件集 74
4.4.4 在**策略中引用**防护表 75
4.4.5 自定义入侵防御事件 76
4.4.6 自定义事件的配置 77

第5章 防病毒 79
5.1 UTM为什么需要承载防病毒模块 79
5.1.1 病毒的发展与危害 79
5.1.2 防病毒与UTM结合的意义 81

5.2 UTM的病毒检测技术 83
5.2.1 病���检测方法 83
5.2.2 流检测技术 86
5.2.3 混合攻击检测技术 87
5.2.4 未知病毒检测技术 88

5.3 UTM中防病毒的灵活性 89
5.3.1 技术灵活性 89
5.3.2 应用灵活性 90

5.4 UTM网关防病毒与主机防病毒的关系 92
5.4.1 在防病毒方面的功能定位 92
5.4.2 主机防病毒面临的脆弱性 93
5.4.3 UTM网关避免了主机防病毒的弊端 93
5.4.4 UTM网关防病毒与主机防病毒的互补关系 94

第6章 内容过滤 95
6.1 内容过滤的概述 95
6.1.1 UTM中内容过滤的范畴 96
6.1.2 内容过滤、内容监管、内容**的关系 97

6.2 UTM内容过滤的问题与设计 99
6.2.1 互联网内容过滤的设计与问题 99
6.2.2 面向机构内部内容过滤的设计与问题 101

6.3 设计UTM内容过滤技术的方法 103
6.3.1 URL/Web过滤 104
6.3.2 关键字过滤 105
6.3.3 基于内容权重过滤 106
6.3.4 文件及应用过滤 107
6.3.5 贝叶斯统计模型 108

6.4 内容过滤的应用与发展趋势 108
6.4.1 内容过滤的部署 109
6.4.2 UTM内容过滤应用的发展趋势 111
6.4.3 内容过滤技术的发展趋势 112

第7章 反垃圾邮件 114
7.1 垃圾邮件的危害及现状 115
7.1.1 垃圾邮件的种类和定义 115
7.1.2 垃圾邮件的危害 116
7.1.3 我国垃圾邮件的现状 117

7.2 UTM中的反垃圾邮件 119
7.2.1 为什么UTM中需要反垃圾邮件 119
7.2.2 UTM中实现反垃圾邮件的挑战和应对 120
7.2.3 UTM中实现反垃圾邮件的优势 121
7.2.4 UTM反垃圾邮件与反垃圾邮件网关的区别 123

7.3 UTM中常用的反垃圾邮件技术 125
7.3.1 实时黑名单技术 126
7.3.2 内容过滤 126
7.3.3 贝叶斯过滤 127
7.3.4 可追查性检查 129
7.4 UTM中反垃圾邮件配置举例 130

第8章 上网行为管理 133
8.1 无序上网行为引发的问题 133
8.1.1 无序上网行为的分类 133
8.1.2 无序上网行为的危害 137

8.2 上网行为管理的难点 138
8.2.1 以迅雷为例分析上网行为管理的难点 138
8.2.2 传统**设备的局限性 140

8.3 通过UTM来实现上网行为管理 141
8.3.1 UTM实现上网行为管理的关键技术 142
8.3.2 基于UTM**策略进行上网行为管理 143
8.3.3 UTM设备保证关键业务的带宽 144
8.3.4 UTM设备的协议识别技术的实时更新 144

8.4 UTM上网行为管理的应用举例 144
8.4.1 通过时间因素进行控制 144
8.4.2 对IM工具传输文件进行查毒或者阻断 145
8.4.3 对P2P的应用进行有效限制 145
8.4.4 对网络游戏和股票软件进行控制 146

第9章 虚拟专用网(VPN)技术 148
9.1 UTM与虚拟专用网 148
9.1.1 为什么用户需要VPN技术 148
9.1.2 传统的VPN网关 148
9.1.3 传统VPN解决方案存在的问题 149
9.1.4 采用UTM构建VPN 149

9.2 虚拟专用网 151
9.2.1 虚拟专用网的定义 151
9.2.2 虚拟专用网技术的价值 151
9.2.3 虚拟专用网的**性 151
9.2.4 虚拟专用网的分类 152

9.3 基于IPSec的VPN体系结构 153
9.3.1 IPSec简介 153
9.3.2 IPSec头部认证协议(AH) 154
9.3.3 IPSec封装**负载协议(ESP) 154
9.3.4 IPSec的基础:**联盟--Security Association 154
9.3.5 IPSec互联网密钥交换协议 155
9.3.6 IPSec VPN在UTM中的实现 155
9.3.7 在UTM中配置IPSec VPN 158
9.3.8 IPSec VPN的优点和缺点 160

9.4 SSL VPN技术 161
9.4.1 SSL简介 161
9.4.2 SSL协议的工作流程 162
9.4.3 为什么会出现SSL VPN 162
9.4.4 SSL VPN的定义 163
9.4.5 SSL VPN的优势 163
9.4.6 SSL VPN的发展 164
9.4.7 在UTM中配置SSL VPN 165

9.5 L2TP技术 171
9.5.1 L2TP简介 171
9.5.2 L2TP协议的原理 172
9.5.3 L2TP VPN的优缺点 173
9.5.4 L2TP VPN在UTM中的实现 174

9.6 通用路由封装(GRE) 175
9.6.1 GRE简介 175
9.6.2 GRE协议的原理 175
9.6.3 GRE的优缺点 176
9.6.4 GRE隧道在UTM中的实现 176
9.7 VPN典型应用案例 177

第10章 内网**管理与UTM 179
10.1 管理,从用户认证开始 179
10.1.1 简便易行的Web认证方式 180
10.1.2 UTM适合采用Web认证 180
10.1.3 单纯认证的不足之处 181

10.2 从用户认证到内网管理 181
10.2.1 为什么需要内网管理 181
10.2.2 内网**如何解决 182
10.2.3 内网管理系统常见的准入控制方式 183

10.3 UTM与内网**管理系统的组合 184
10.3.1 采用UTM实现准入控制 184
10.3.2 UTM+内网管理系统联动方案的实现 184
10.3.3 UTM+内网管理系统组合的作用 185
10.3.4 UTM+内网管理系统组合的常见流程 185
10.3.5 UTM与内网管理系统联动的用户价值 186

10.4 身份认证及准入控制相关技术 187
10.4.1 身份验证和授权 187
10.4.2 密码技术 188
10.4.3 加密算法 188
10.4.4 DES/3DES算法介绍 189
10.4.5 RSA算法介绍 191
10.4.6 PKI与CA 192
10.4.7 LDAP 194
10.4.8 活动目录协议(AD)简介 195
10.4.9 远程验证拨入用户服务(RADIUS) 196
10.4.10 TACACS+ 196

10.5 准入控制与UTM结合的发展趋势 197
10.5.1 内网**管理和UTM的协同控制 197
10.5.2 UTM从互联网网关逐步发展至域控制器 198
10.5.3 UTM、准入控制与可信网络连接 198

第11章 UTM的高可用性 200
11.1 什么是高可用性 200
11.2 UTM设备高可用性的意义 201
11.3 UTM高可用性的分类及原理 202
11.3.1 VRRP/HSRP技术 202
11.3.2 UTM的双机热备 204
11.3.3 UTM设备高可用性技术的选择 205
11.3.4 应用情况说明 206

11.4 UTM高可用性的用户价值 207
11.4.1 用户场景支持 207
11.4.2 自动同步配置 208
11.4.3 防病毒与入侵检测特征同步 208

11.5 UTM设备双机热备典型应用案例 209
11.5.1 路由模式主备模式组网 209
11.5.2 NAT模式主备模式组网 209
11.5.3 透明模式主备模式组网 210
11.5.4 路由模式下主主组网 211
11.5.5 透明模式下主主组网 211

第12章 流量管理 213
12.1 流量管理的内涵与意义 213
12.2 UTM中的流量管理技术与应用 214
12.2.1 服务质量(QoS) 215
12.2.2 NetFlow 219
12.2.3 UTM中的会话管理 229

第13章 日志分析和审计 232
13.1 日志分析和审计系统与UTM结合的意义 233
13.2 Syslog与日志分析 234
13.2.1 Syslog协议 234
13.2.2 日志分析 237
13.2.3 日志存储 241
13.2.4 日志分析参考规范 243

13.3 网络系统**审计 244
13.3.1 网络系统**审计的重要性 245
13.3.2 **审计技术的分类 245
13.3.3 网络审计技术的应用 246
13.3.4 网络**审计的关注点 247
13.3.5 网络**审计的展示能力 247
13.3.6 网络**审计的应用举例 248

13.4 业务跟踪和分析 249
13.4.1 资产跟踪和分析 250
13.4.2 用户跟踪和分析 253
13.4.3 文件跟踪和分析 256

13.5 数据** 257
13.5.1 功能概述 257
13.5.2 功能要素 258
13.5.3 数据**对UTM的意义 262

13.6 日志分析和审计系统在UTM上的应用 262
13.6.1 日志产生 263
13.6.2 日志发送 265
13.6.3 日志接收 265
13.6.4 分析和审计 266
13.6.5 产生报表 266

第14章 UTM的系统管理 267
14.1 以**策略为核心的UTM系统管理 268
14.1.1 从命令行到GUI管理 268
14.1.2 从访问控制列表到**策略 270
14.1.3 以**策略为核心的UTM系统管理 271
14.1.4 基于**策略的连接管理 275

14.2 UTM“易管理”的实现 277
14.2.1 UTM管理的复杂性 277
14.2.2 “简单”管理的目标和原则 278
14.2.3 “简单”管理的实现方法 279
14.2.4 UTM“简单”管理的实例 280

14.3 UTM管理的**性考虑 282
14.3.1 使用**的设备管理方式 282
14.3.2 UTM管理员的**策略 285
14.3.3 UTM配置管理的PDR**模型 288

14.4 UTM系统的升级与更新 289
14.4.1 升级和更新对UTM的重要性 289
14.4.2 UTM升级和更新的原则 291
14.4.3 使用集中管理**的统一升级 293

14.5 UTM的集中管理 293
14.5.1 UTM为什么需要集中管理 293
14.5.2 UTM集中管理所关注的内容 295
14.5.3 UTM集中管理**部署的实例 296

第15章 UTM在**体系中的位置和作用 301
15.1 **体系结构概述 301
15.1.1 **体系的层次化结构 301
15.1.2 **体系的多样化结构 302
15.1.3 **建设的思路和方法 303
15.1.4 UTM在**体系中的位置 304
15.1.5 UTM在**体系中的作用 305

15.2 **体系构筑的案例 306
15.2.1 企业应用 306
15.2.2 教育应用 310
15.2.3 政府应用 312
参考文献 315