邊界安全是藍(lán)盾的強(qiáng)項(xiàng)，也是藍(lán)盾自成立以來就有的產(chǎn)品。邊界網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在經(jīng)歷了四個(gè)階段，從網(wǎng)絡(luò)邊界部署的硬件防火墻；過渡到深度包過濾防火墻；再到目前邊界上比較流行的混合式安全，即UTM；到目前，整個(gè)網(wǎng)絡(luò)安全發(fā)展趨勢(shì)是朝著高效的安全平臺(tái)、模塊化的運(yùn)用、可聯(lián)動(dòng)的系統(tǒng)管理、可定制的功能需求和快速開發(fā)維護(hù)的產(chǎn)品體系架構(gòu)發(fā)展。
　　這十年來，我們藍(lán)盾在邊界安全產(chǎn)品線的研發(fā)也同樣經(jīng)歷了四個(gè)階段，1999年開發(fā)出了國內(nèi)具有自主知識(shí)產(chǎn)權(quán)的防火墻產(chǎn)品，2002年開發(fā)出深度包過濾防火墻產(chǎn)品，期間同時(shí)開發(fā)出漏洞掃描、IDS、DDOS網(wǎng)關(guān)等專業(yè)防御產(chǎn)品，2005年開始研發(fā)UTM統(tǒng)一威脅管理產(chǎn)品，從2009年開始我們基于四維UTM的安全平臺(tái)架構(gòu)（以下簡(jiǎn)稱4d-UTM，4-dimensional Unified Threat Management）開發(fā)出更加高效、更加靈活、可拓展更高的安全產(chǎn)品。

2. 藍(lán)盾4d-UTM體系
　　藍(lán)盾的4d-UTM安全體系是由UTM統(tǒng)一威脅管理，UEM統(tǒng)一終端管理，UPM統(tǒng)一策略管理、以及UCM統(tǒng)一通道管理構(gòu)成。UTM是解決邊界上的應(yīng)用融合，UEM是解決終端主機(jī)、服務(wù)器上的安全監(jiān)控。正如目前安全行業(yè)的研發(fā)熱點(diǎn)，可信網(wǎng)絡(luò)與可信終端有一個(gè)融合的趨勢(shì)，在藍(lán)盾4d-UTM的體系里面我們有網(wǎng)絡(luò)上的UTM以及終端上UEM，并且通過UPM對(duì)UTM及UEM進(jìn)行統(tǒng)一的策略管理，體現(xiàn)了這種融合。在4d-UTM體系里，UCM代表者對(duì)IPv4、IPv6以及其他異構(gòu)網(wǎng)絡(luò)、復(fù)合網(wǎng)絡(luò)的協(xié)議自適應(yīng)管理。

　　我們認(rèn)為4d-UTM體系是解決目前點(diǎn)、線、面信息安全單獨(dú)為戰(zhàn)的格局，可以實(shí)現(xiàn)信息化的全面安全聯(lián)動(dòng)。以下我們?cè)偕晕⒕唧w地來看看這個(gè)體系。

　　首先是邊界層面的UTM，分為4層，從下到上依次為多核安全硬件層、安全內(nèi)核層、可模塊化的功能層、以及設(shè)備表現(xiàn)層/管理層。通過這種系統(tǒng)架構(gòu)，藍(lán)盾的邊界產(chǎn)品線可以很容易地按功能模塊進(jìn)行劃分，分解為多種專項(xiàng)功能產(chǎn)品，如防火墻、UTM、VPN、漏洞掃描系統(tǒng)、流控墻、郵件過濾網(wǎng)關(guān)等。
　　其次是關(guān)鍵信息終端上部署的UEM，在藍(lán)盾4d-UTM架構(gòu)圖中，我們看到具體體現(xiàn)為HSC主機(jī)安全控制插件，該插件可以運(yùn)行在主機(jī)及服務(wù)器上進(jìn)行遠(yuǎn)程安全管理。同時(shí)，UTM與主機(jī)上的UEM安全控件可以進(jìn)行策略聯(lián)動(dòng)設(shè)置，實(shí)現(xiàn)網(wǎng)絡(luò)與終端的安全聯(lián)動(dòng)。
　　然后是管理層面的UPM統(tǒng)一策略管理平臺(tái)，通過集中及分級(jí)管理方式，該UPM平臺(tái)能對(duì)多臺(tái)UTM設(shè)備進(jìn)行統(tǒng)一的管理，包括了日志的收集和分析、統(tǒng)一的策略下發(fā)、統(tǒng)一的風(fēng)險(xiǎn)管理。同時(shí)，我們通過部署在互聯(lián)網(wǎng)上的藍(lán)盾安全系統(tǒng)管理服務(wù)器對(duì)UPM平臺(tái)、UTM網(wǎng)關(guān)實(shí)時(shí)或定時(shí)進(jìn)行更新升級(jí)，包括對(duì)入侵特征庫、病毒庫、網(wǎng)頁黑名單，以及目前越來越流行的應(yīng)用層級(jí)別的程序特征進(jìn)行升級(jí)。
　　最后，通過該體系的UCM自適應(yīng)通道管理實(shí)現(xiàn)對(duì)異構(gòu)網(wǎng)絡(luò)和復(fù)合型網(wǎng)絡(luò)的協(xié)議支持。
　　以下給大家舉個(gè)例子了解一下4d-UTM在實(shí)際網(wǎng)絡(luò)中的作用。在下面這張拓?fù)鋱D中，大家可以看到一個(gè)典型的分布式網(wǎng)絡(luò)，里面有總部和分部的網(wǎng)絡(luò)拓?fù)洹Ｎ覀兪紫劝裊TM架設(shè)在總部和各個(gè)分布的出口位置，保障邊界的安全；再將UEM終端安全控件部署在各子網(wǎng)絡(luò)中重點(diǎn)的信息控制點(diǎn)，實(shí)現(xiàn)安全從邊界到終端的控制，包括對(duì)進(jìn)程、注冊(cè)表、USB接口、敏感文件、殺毒軟件、系統(tǒng)補(bǔ)丁等方面的安全管理；我們?cè)偻ㄟ^統(tǒng)一的策略管理平臺(tái)UPM程序進(jìn)行設(shè)備的統(tǒng)一管理、日志的統(tǒng)一收集分析，以及風(fēng)險(xiǎn)級(jí)別、警告級(jí)別的統(tǒng)一設(shè)置。整個(gè)網(wǎng)絡(luò)涉及到點(diǎn)（及信息終端）、線（即網(wǎng)絡(luò)邊界）、面（及管理層面）各個(gè)安全漏洞的易發(fā)點(diǎn)，形成了立體網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全體系的建立。

3. 異常監(jiān)控技術(shù)
　　另外，在4d-UTM的平臺(tái)上有個(gè)很重要的技術(shù)，就是基于網(wǎng)絡(luò)層的異常監(jiān)控。大家可能會(huì)問，對(duì)于UTM來說，實(shí)現(xiàn)了單純的功能性復(fù)合，而這些功能性的復(fù)合到底是否可以聯(lián)動(dòng)工作其實(shí)更加重要。另一方面，單純從功能而言，UTM可以實(shí)現(xiàn)對(duì)邊界上各種威脅的管理任務(wù)，但是這種管理的復(fù)合性對(duì)復(fù)雜網(wǎng)絡(luò)有一定難度，網(wǎng)管人員用起來會(huì)眼花繚亂，光顧及功能方面就夠看的了。于是我們?cè)谙耄欠衲苡羞@樣的一種簡(jiǎn)單的管理平臺(tái)來支持，使用戶能方便的管理網(wǎng)絡(luò)？我們發(fā)現(xiàn)，相對(duì)于各種花哨的功能，網(wǎng)管人員其實(shí)更加關(guān)注網(wǎng)絡(luò)異常情況，希望網(wǎng)絡(luò)安全設(shè)備能對(duì)異常進(jìn)行預(yù)警、定位。于是我們有了這樣一個(gè)異常監(jiān)控系統(tǒng)作為4d-UTM體系的補(bǔ)充，與目前潮流反其道而行，拋開應(yīng)用層各種層出不窮的特征分析、程序分析，從網(wǎng)絡(luò)底層發(fā)現(xiàn)網(wǎng)絡(luò)異常狀況。一旦發(fā)現(xiàn)異常狀況即進(jìn)行警報(bào)，同時(shí)聯(lián)動(dòng)UTM上的各項(xiàng)功能進(jìn)行聯(lián)動(dòng)防御工作。通過獲取在網(wǎng)絡(luò)層流進(jìn)流出的數(shù)據(jù)流，對(duì)端口數(shù)據(jù)、連接數(shù)據(jù)和流量數(shù)據(jù)加以分析，形成相應(yīng)的關(guān)鍵點(diǎn)監(jiān)控，包括每個(gè)IP的流量、連接、端口情況，從數(shù)據(jù)包包頭分析提升到應(yīng)用分析，如對(duì)FTP、郵件收發(fā)、網(wǎng)頁瀏覽等應(yīng)用的異常分析，從最根本的網(wǎng)絡(luò)層推測(cè)到應(yīng)用層的各種異常原因。

　　通過這樣一種由底而上的異常分析系統(tǒng)，我們可以實(shí)現(xiàn)很多網(wǎng)管員關(guān)心的網(wǎng)絡(luò)異常情況診斷工作。
　　比如，異常監(jiān)控分析系統(tǒng)首先會(huì)對(duì)部署在各網(wǎng)絡(luò)中的UTM設(shè)備進(jìn)行自檢，對(duì)設(shè)備的網(wǎng)卡工作情況、系統(tǒng)資源等方面建立了一個(gè)系統(tǒng)自檢表，保證設(shè)備的正常運(yùn)行，同時(shí)對(duì)設(shè)備資源情況也有個(gè)異常監(jiān)控。
　　然后，對(duì)網(wǎng)絡(luò)層會(huì)話數(shù)實(shí)現(xiàn)快照，對(duì)網(wǎng)絡(luò)連接數(shù)、新建連接數(shù)進(jìn)行跟蹤、記錄、異常報(bào)警。現(xiàn)在有越來越多的小包的會(huì)話充斥在網(wǎng)絡(luò)中，可以產(chǎn)生比大流量爆發(fā)更具有威脅的破壞力，我們可以監(jiān)測(cè)網(wǎng)絡(luò)中的小包數(shù)量，設(shè)置警戒線，當(dāng)過了警戒線即實(shí)時(shí)向管理員報(bào)警，使其能采取相應(yīng)的預(yù)防補(bǔ)救措施。同時(shí)，在流量方面通過以預(yù)設(shè)警戒線的方式進(jìn)行報(bào)警，對(duì)網(wǎng)絡(luò)進(jìn)出的流量進(jìn)行了實(shí)時(shí)的分析，并且比對(duì)數(shù)據(jù)包方面的監(jiān)控?cái)?shù)據(jù)進(jìn)行多維分析，將流量還原歸類為不同大小的數(shù)據(jù)包。
　　在實(shí)際應(yīng)用中，越來越多的網(wǎng)絡(luò)里小包的產(chǎn)生率越來越高，在眾多實(shí)施過的網(wǎng)絡(luò)中我們發(fā)現(xiàn)如果不對(duì)小包加以控制的話，如果讓 64 bytes到 256 bytes的小包比重達(dá)到30-50%時(shí)，就會(huì)造成網(wǎng)絡(luò)不穩(wěn)定，就會(huì)有網(wǎng)絡(luò)連接慢、連接不穩(wěn)定的情況發(fā)生。通過對(duì)數(shù)據(jù)包、流量、連接情況進(jìn)行警戒線的比對(duì)捕捉，我們就可以實(shí)現(xiàn)異常網(wǎng)絡(luò)情況的實(shí)時(shí)分析和報(bào)警。
　　通過以上的介紹，大家可以了解到，經(jīng)過藍(lán)盾4d-UTM體系的部署，用戶能真實(shí)解決信息安全管理散亂的格局，統(tǒng)一對(duì)多維安全域?qū)崟r(shí)監(jiān)控，實(shí)現(xiàn)信息化安全的全面聯(lián)動(dòng)。