solution ahn lab trusguard utm

安博士（中国）有限公司

AAhhnnLLaabb Category Version Issue Date

AhnLab Confidential Restricted 1.0 2011-03-17

Ahnlab Confidential Restricted Working copy if printed

of 16 最后打印日期: 2011-3-17 9:30:00

利用UTM和APC的综合安全网络

构筑解决方案





of 16 最后打印日期: 2011-3-17 9:30:00

文件信息 / 修改内容

文件名 :

原案制作者 :

修改操作者 :

修改日期修改者版本添加/修改项

目内容

CONFIDENTIALITY/SECURITY WARNING

此文件中包含的信息是安博士公司及的资产, 没有安博士公司及的

书面形式允许的情况下不能擅自使用, 不能擅自公开, 不能擅自向外部透露. 对此文件的可阅读及保

管负责人，自动履行防盗窃, 防丢失等义务。





of 16 最后打印日期: 2011-3-17 9:30:00

目录

1 方案概述 ......................................................................................................................................................................................... 4

1.1 解决方案构建目标 ................................................................................. 4

2 安全趋势 ......................................................................................................................................................................................... 4

2.1 最近安全趋势 ..................................................................................... 4 2.1.1 多样化、复杂化、系统化 ....................................................................... 4

2.1.1.1. 复杂化 ..................................................................................................................................................................... 5 2.2 产品概要 ......................................................................................... 6 2.2.1 网络及内容安全功能 ........................................................................... 6

2.3 AHNLAB TRUSGUARD UTM 特点及优点 ..................................................................... 7 2.3.1 应对安全威胁的“生成/维持/传递” ............................................................. 7 2.3.2 多重安全功能 ................................................................................. 7 2.3.3 更高的可用性 ................................................................................. 8 2.3.4 有效阻止DDoS攻击 ............................................................................. 8 2.3.5 与End-point安全解决方案的联动 ................................................................ 9 2.3.6 监视及报告书 ................................................................................ 10

3 服务提案 ....................................................................................................................................................................................... 10

3.1 现状分析 ........................................................................................ 10 3.1.1 存在的问题 .................................................................................. 11

3.1.1.1. 危险因素 ............................................................................................................................................................... 11 3.1.1.2. 垃圾流量 ............................................................................................................................................................... 11

3.1.2 服务提案 .................................................................................... 12 3.1.2.1. 不同型号TrusGuard UTM的选用依据 ............................................................................................................ 13 3.1.2.2. 危险因素消除方案 ............................................................................................................................................... 14 3.1.2.3. 控制垃圾流量 ....................................................................................................................................................... 14 3.1.2.4. 推荐系统数量 ....................................................................................................................................................... 15

4 参考资料. ...................................................................................................................................................................................... 16

4.1 提案设备详细参数 ................................................................................ 16





of 16 最后打印日期: 2011-3-17 9:30:00

1 方案概述

本文旨在对安全高效的网络运营解决方案的构建背景、目标及规格进行说明，并提供

能够应对急剧增加的综合攻击的整合型安全网络框架和结合网络安全和安全内容的强有力的安全措施，

从而构建强大的安全网络。

1.1 解决方案构建目标

向提供的本解决方案的目的如下：

构建防止内部恶意代码的感染扩散到整个网络系统的防御系统

a. 在主要入口（互联网区段、专线区段（乡级区段）及对内/外区段等）安装UTM，从而从源头

上阻止恶意代码的入侵

b. 在功能上将服务器领域及用户计算机区段相混合的网络分类成逻辑领域，从而确保相互之间

的完整性

阻止危险通信

a. 阻止增加网络负担的危险通信

b. 控制并阻止P2P、Messenger及垃圾邮件等非业务性通信

可用性及扩展性

a. 在恶意代码入侵等突发性通信状态下也能保证其可用性及扩展性

b. 从突发性通信状态下保护主要资产（服务器及网络设备等）

c. 利用针对UTM设备自身障碍的旁路功能(Bypass)确保网络的稳定性

d. 远程保存在UTM中设置的主要文件，从而确保设置值的备份

最大限度地降低成本TCO（Total Cost of Operation）

a. 需解决因购买各种安全解决方案而增加投入的问题

b. 需解决因单独解决方案数量的增加而增加管理成本的问题

c. 需解决统一管理不同厂商的不同技术支持的问题

d. 需解决为熟悉各种安全解决方案增加时间成本的问题

e. 需解决需为运营提供更多的物理空间和人员的问题

除防火墙的基本功能之外，需应对急剧增加的综合攻击

2 安全趋势

2.1 最近安全趋势

2.1.1 多样化、复杂化、系统化

最近，网络威胁呈“多样化、复杂化及系统化”的趋势，因此，随着威胁的多样化和复杂化，网络

安全解决方案的功能也得到了发展。





of 16 最后打印日期: 2011-3-17 9:30:00

恶性代码（Virus、Worm、Trojan、Bot）仍是很大的威胁

SPAM+Trojan+Phishing+Pharming的复杂性

补丁管理的局限性

攻击的对象从不确定多数转换为对特定目标的攻击

以经济利益为目的的虚拟犯罪呈增加的趋势

2.1.1.1. 复杂化

随着威胁的多样化和复杂化，网络安全解决方案的功能也得到了发展，具有代表性的是通过

“All in one Box” 结构，整合综合功能，从而有效应对新的变化。





of 16 最后打印日期: 2011-3-17 9:30:00

2.2 产品概要

2.2.1 网络及内容安全功能





of 16 最后打印日期: 2011-3-17 9:30:00

2.3 AhnLab TrusGuard UTM 特点及优点

2.3.1 应对安全威胁的“生成/维持/传递”

自我生成/传递对应恶意代码的安全内容

a. 拥有20年的应对蠕虫/病毒等恶意代码的经验及DB

b. 应对人员达50名规模的7*24小时*365天模式的病毒应急响应中心：起到监控恶意代码及制作

对应Signature的作用（中国法人拥有ASEC对应专业人员）

c. 通过CDN发布稳定的特征码

安全Signatures

a. IPS Signature：拥有主要应对最新恶意代码和发生率较高的恶意代码的Signature压缩包

（6,000多个）

b. V3 Signature：拥有基于20年经验的20万个以上数量的恶意代码应对Signature

c. 进行一日三次的引擎定期更新，若突发性恶意代码则进行紧急更新

通过三阶段的恶意代码扫描防治机制，提供有效地预测、阻止并防止蠕虫扩散的功能

a. 第一阶段：预测模式并发布阻止策略

b. 第二阶段：发布早期阻止策略

c. 第三阶段：发布网络蠕虫阻止策略

2.3.2 多重安全功能

从设计到完成，TrusGuard UTM首先考虑的是多重安全功能的有机结合，除防火墙/IPS之外，通过

Anti-Virus/QoS等功能的有机联动，提供真正的整合型安全功能。

ex）只对通过防火墙的通信应用IPS/AV策略，必要时可通过QoS控制通信





of 16 最后打印日期: 2011-3-17 9:30:00

2.3.3 更高的可用性

为了保持高可靠性，TrusGuard UTM搭载多核处理器，从而除防火墙之外，在IPS/Anti-virus等内

容过滤方面的功能更为强大，尤其是在同时使用防火墙+IPS时，能够保持单独使用防火墙时的80%左右的

吞吐量。

2.3.4 有效阻止DDoS攻击

为了应对作为主要网络攻击类型的分布式拒绝服务攻击，通过采用特殊的机制（分阶段扫描及阻止）有

效阻止DDoS攻击。其分阶段运行方式如下：

第一阶段：运行DDoS Detection Engine





of 16 最后打印日期: 2011-3-17 9:30:00

a. 若Session数量超过一定的临界值，则判定为DDoS攻击

第二阶段：运行Anti Spoofing Protection

a. 若受到攻击，对TCP访问的尝试，过滤通过假想的代理应答的Spoofing Packets

第三阶段：运行Dynamic Protection

a. 实时分析发生攻击时的Packet类型，并对判定为攻击的Packets应用Rate-limit

第四阶段：运行正常Segment（IP带宽） Protection

a. 统计平时访问不同Source IP Segment的Session并进行Self-learning

b. 在发生攻击时，将导致非正常Session访问的IP Segment判定为攻击

c. 对方问相应Segment的Packets应用Rate-limit

2.3.5 与End-point安全解决方案的联动

提供与End-Point安全解决方案联动的NAC功能。例如，阻止未安装APC Agent的计算机的外部互联网

访问并引导到Agent安装画面，从而引导用户安装Agent并通过保持V3 signatures的最新更新进一步强化

End-point安全。

与此同时，在发现有漏洞的共享文件夹/账户或超过允许的流量或发往特定目的地的数据量发生异常

时，在一定时间段内中断网络连接并把情况报告给管理员。若检测到内部的恶意代码（蠕虫）时，利用

被感染系统隔离功能撤消相应数据包并自动将发送IP注册到Quarantine Table之后，撤消该IP发送的所

有数据包。通过与APC的联动，隔离被感染的计算机并进行强制治疗，从而构建完善的安全网络。





of 16 最后打印日期: 2011-3-17 9:30:00

2.3.6 监视及报告书

可通过TrusGuard UTM的UTM Log Server功能，以单一界面方式提供防火墙/IPS/Anti-virus/垃圾邮

件等安全事件扫描、阻止分析及监控信息。

Firewall Log

IPS Log

Anti-Virus Log

Anti-Spam Log

3 服务提案

3.1 现状分析

的网络为省市县的结构，在省、市、县、村之间存在没有专线的区段。需

处理连接省、市及县的专线区段所发生的安全问题，而且要预防通过专线区段的恶意代码的传播及感

染。

另外，需保证视频会议等大容量实时文件的传送并提供足够充分的带宽，从而保证同时访问量较多

的服务器及电子付费服务器的顺利使用。

系统组成





of 16 最后打印日期: 2011-3-17 9:30:00

用户数量

3.1.1 存在的问题

因为只采用防火墙，因此不能对通信进行过滤，产生大量因病毒、垃圾邮件、危险站点访

问等所导致的垃圾流量，从而降低网络资源的有效使用率。

另外，因为一般的防火墙只提供访问控制 / Data Sniffig 防止功能，而不能提供基于

Deep Inspection的防火墙功能，从而暴露于内/外部的Attacks & Virus。虽然使用APC 3.0，但依然存

在通过未安装Agent的计算机的恶意代码的持续感染、传播及二次感染等潜在的危险。

3.1.1.1. 危险因素

通过分析县/乡/村之间可能发生的危险因素，从而提前排除可能发生的安全问题。

需预先阻止省/市/县之间的安全威胁：蠕虫/病毒等恶意代码的感染

a. 需具备对DDoS（分布式拒绝服务）攻击的应对措施

b. 防止Distribution Network之间恶意代码的扩散

c. 安装在Segment Network的前端，从而防止恶意代码的内部扩散

d. 因内部ARP Spoofing所发生的服务障碍

3.1.1.2. 垃圾流量

省/市/县之间发生的垃圾流量降低网络的使用效率，而且对危险站点的访问存在可能泄露内部信息的危

险。

不必要的流量降低网络的使用效率

a. P2P程序占用网络带宽

b. 通过Messenger的Malicious Code的流入

c. 存在因访问危险站点降低效率及Malicious Code流入的危险





of 16 最后打印日期: 2011-3-17 9:30:00

D ata Sniffing

3.1.2 服务提案

从利用APC 4.0的局域计算机端的安全提高到利用AhnLab TrusGuard UTM的网络端的安全，从而将安

全水平提高到另一个高度，构建更加安全有力的安全体系。

因此，当采用UTM之后，通过与已使用的APC 4.0之间的联动，预防和阻止因未安装Agent计算机所导

致的二次感染及网络流量的发生，而且通过将未安装Agent的计算机自动引导到Agent安装画面，构建整

合型安全网络。

引进设备

a. AhnLab TrusGuard UTM 500

b. AhnLab TrusGuard UTM 100

管理程序

a. AhnLab TrusGuard UTM Manager





of 16 最后打印日期: 2011-3-17 9:30:00

D ata Sniffing

[整体结构图]

[与APC 4.0的联动]

3.1.2.1. 不同型号TrusGuard UTM的选用依据

因为使用SDH，ISP之间的主流量需达到155.520Mbps，需满足Firewall + IPS + Anti-Virus/Anti-

Spam功能全部启动时的需要。

本数值以雪崩测试的数据为基础考虑能够满足SDH的必要条件，而且为了满足UTM性能的稳定性，需

在超出最大容量的80%时也要防止UTM发生故障。

根据主流量选用产品





of 16 最后打印日期: 2011-3-17 9:30:00


- 流量 : SDH最大流量(155.520Mbps)

- Max Sessions: 1,500,000

- CPS (Connections Per Second): 20,000 b. 需考虑内部网络出现恶意代码问题及并发外部网攻击时80%的性能

c. 防止Segment Network端发生的恶意代码流入内部网络

d. 防止内部ARP Spoofing引起的服务障碍

根据市/乡之间的流量选用产品


- 流量 : 2Mbps

- Max Sessions: 1,000,000

- CPS (Connections per Second): 10,000

3.1.2.2. 危险因素消除方案

采用利用AhnLab TrusGuard UTM 防止通过专线的恶意代码的流入及扩散；提升与已安装的APC 3.0

联动的网络端的安全水平；防止没有专线区段的Data sniffing等措施，构建更加强有力的安全网络。

防止通过专线的恶意代码的扩散

a. 防止市/县的恶意代码通过与省连接的专线进行扩散

b. 防止省内部网络的恶意代码扩散到基于Windows的服务器群

c. 防止通过互联网的恶意代码的下载

与APC的联动

a. 通过APC Agent提高网络端的区域计算机的安全水平

b. 若未安装Agent的计算机试图访问互联网或外部网络，则UTM将检测到上述状况并引导到Agent

安装画面之后，自动安装Agent/V3产品，从而去除潜在的恶意代码及危险因素

3.1.2.3. 控制垃圾流量

通过除去省/市/县之间发生的垃圾流量提高网络使用率和业务效率。

消除不必要的流量所造成的网络资源消耗

a. 保证重要流量的网络带宽（QoS）

b. 通过阻止P2P保证网络带宽

c. 通过阻止对危险站点的访问阻止恶性代码

d. 通过控制Messenger阻止恶性代码的入侵





of 16 最后打印日期: 2011-3-17 9:30:00

3.1.2.4. 推荐系统数量

能够处理省/市/县之间发生的安全问题所需的系统数量

地区品名数量备注

省 TG UTM 500

市 TG UTM 400

县 TG UTM 100

※ AhnLab TrusGuard UTM Manager需与相关营销代表进行协商





of 16 最后打印日期: 2011-3-17 9:30:00

4 参考资料.

4.1 提案设备详细参数

※ 请参考附件（提案设备详细参考资料.xls）.

----------------------------------- 完 ---------------------------------

solution ahn lab trusguard utm

Documents