隨著單位業(yè)務(wù)的發(fā)展，更多的業(yè)務(wù)應(yīng)用（例如辦公自動(dòng)化等）依賴于IT信息系統(tǒng)來實(shí)現(xiàn)，在業(yè)務(wù)運(yùn)轉(zhuǎn)過程中，不斷面臨病毒、木馬和間諜軟件的嚴(yán)重威脅。當(dāng)內(nèi)網(wǎng)用戶在瀏覽網(wǎng)頁，收發(fā)電子郵件等操作時(shí)，就很容易招致病毒木馬的入侵，嚴(yán)重干擾單位的正常運(yùn)作。

傳統(tǒng)的桌面型防病毒軟件無法阻止病毒的泛濫，對(duì)網(wǎng)絡(luò)攻擊行為無法防范。雖然外部的攻擊威脅性很大，不過最關(guān)鍵的還是個(gè)人的安全意識(shí)單薄，這才是最危險(xiǎn)的環(huán)節(jié)。即使網(wǎng)絡(luò)安全配置的很合理，但是管理員安全意識(shí)薄弱，警惕性很低，很容易在黑客社會(huì)工程學(xué)的誘騙下，泄漏各種管理密碼，那么網(wǎng)絡(luò)安全還是脆弱不堪的。例如員工濫用P2P、IM等隨意訪問非法網(wǎng)站。如果內(nèi)部員工對(duì)外部訪問不受控制的話，就會(huì)被不安全的網(wǎng)絡(luò)鏈接，惡意下載植入代碼，輕則感染病毒重則使機(jī)構(gòu)變成了僵尸網(wǎng)絡(luò)。

根據(jù)以上分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊逐漸從網(wǎng)絡(luò)層向應(yīng)用層以及業(yè)務(wù)層延伸，對(duì)資源以及內(nèi)容的優(yōu)化管理，成為很重要的主題。即越來越重視技術(shù)（例如Service Awareness，業(yè)務(wù)感知技術(shù)等）上和內(nèi)容上的安全，即從網(wǎng)絡(luò)安全向安全網(wǎng)絡(luò)轉(zhuǎn)化，而不局限于傳輸層、網(wǎng)絡(luò)層、鏈路層等底層安全，以適應(yīng)客戶從設(shè)備需求到服務(wù)需求的轉(zhuǎn)化。為了有效對(duì)抗網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)產(chǎn)品和安全產(chǎn)品日益相互融合。

對(duì)于廣域網(wǎng)的安全來說，對(duì)多臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，將路由器和安全產(chǎn)品進(jìn)行融合，來建立安全的網(wǎng)絡(luò)。對(duì)于一些具有轟動(dòng)性的泄密事件來說，不僅和相關(guān)的網(wǎng)絡(luò)設(shè)備有關(guān)，也和數(shù)據(jù)庫(kù)等軟件產(chǎn)品有關(guān)。因此，對(duì)網(wǎng)絡(luò)威脅的防御，需要建立軟硬件一體化的方法機(jī)制。利用UTM（統(tǒng)一威脅管理）技術(shù)，就可以對(duì)網(wǎng)絡(luò)安全進(jìn)行全面保護(hù)。

UTM融合了IPS入侵防御系統(tǒng)、防病毒、上網(wǎng)行為管理、防止DDOS攻擊等特性，有效解決了來自單位內(nèi)部和外部的攻擊威脅，可以防御諸如非法網(wǎng)站、釣魚、P2P、病毒、木馬、間諜軟件、蠕蟲、DDOS攻擊等入侵行為。對(duì)于下一代防火墻來說，UTM技術(shù)已經(jīng)融合在其中了。

激活防火墻UTM防護(hù)機(jī)制

例如，在華為某款支持UTM功能的防火墻上先申請(qǐng)并激活License(因?yàn)閁TM功能是需要Licese支持的)并升級(jí)知識(shí)庫(kù)和病毒庫(kù)，因?yàn)樵谑褂梅床《尽DS、入侵防御系統(tǒng)、URL分類、應(yīng)用控制等功能前，必須指定所需的病毒庫(kù)、IDS簽名庫(kù)、URL熱點(diǎn)庫(kù)和知識(shí)庫(kù)。申請(qǐng)License的過程并不復(fù)雜，先通過查看License授權(quán)證書獲取LAC授權(quán)碼，在購(gòu)買設(shè)備時(shí)會(huì)提供該LAC信息。在設(shè)備標(biāo)簽上或者管理界面中可以獲得ESN號(hào)，之后在設(shè)備官網(wǎng)上進(jìn)行License自助服務(wù)，來獲取License文件。將該文件上傳進(jìn)來，進(jìn)行激活即可。

利用UTM防火墻，實(shí)現(xiàn)入侵檢測(cè)功能

當(dāng)激活UTM功能后，在“License資源”列表中可以看到諸如虛擬系統(tǒng)、內(nèi)部安全組合、SSL VPN、入侵防御、反病毒、URL過濾等模塊均處于“已授權(quán)”狀態(tài)。要想發(fā)揮UTM防火墻的威力，需要對(duì)其支持的入侵檢測(cè)和防護(hù)以及網(wǎng)關(guān)防病毒功能進(jìn)行合理的配置。對(duì)于前者來說，包括新建入侵防御配置文件、過濾簽名過濾器、配置例外簽名，將入侵防御配置文件引入到安全策略中等步驟。在入侵防御配置文件管理界面顯示設(shè)備自帶的安全配置文件，可以適用于不同的應(yīng)用場(chǎng)景。

例如可以保護(hù)Web服務(wù)器、文件服務(wù)器、DNS服務(wù)器以及郵件服務(wù)器等。點(diǎn)擊“新建”按鈕，輸入其名稱，描述信息，選擇“抓包”項(xiàng)，表示當(dāng)檢測(cè)到網(wǎng)絡(luò)入侵行為后，抓取包含網(wǎng)絡(luò)流量入侵特征碼的數(shù)據(jù)包，可以在日志中查看抓包內(nèi)容，便于對(duì)入侵報(bào)文進(jìn)行分析。在“簽名過濾器”欄中點(diǎn)擊“新建”按鈕，輸入簽名過濾器的名稱，選擇簽名所監(jiān)測(cè)的對(duì)象（包括服務(wù)器和客戶端），選擇操作系統(tǒng)（包括Windows、Unix/Linux/HP_Unix/AIX/Sun等），選擇嚴(yán)重性類型（包括高/中/低），如果默認(rèn)不選，則表示選用所有項(xiàng)目。選擇合適的協(xié)議（包括網(wǎng)絡(luò)文件類協(xié)議、網(wǎng)絡(luò)服務(wù)類協(xié)議、郵件類協(xié)議、聊天類協(xié)議、數(shù)據(jù)庫(kù)類協(xié)議、其他類型等）。

選擇威脅的類型，包括病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、CGI攻擊、跨站腳本攻擊等。根據(jù)需要選擇具體的處理動(dòng)作，包括告警（當(dāng)報(bào)文命中該簽名過濾器中的任意簽名時(shí)，均按照告警進(jìn)行處理，忽略簽名本身的動(dòng)作），阻斷（當(dāng)報(bào)文命中該簽名過濾器中的任意簽名時(shí)，均按照阻斷進(jìn)行處理，忽略簽名本身的動(dòng)作）等。點(diǎn)擊“預(yù)覽簽名過濾結(jié)果”按鈕，在配置簽名過濾器后，系統(tǒng)自動(dòng)將過濾出的簽名按照入侵類型進(jìn)行分類，按照ID從小到大排列，可預(yù)覽過濾結(jié)果。配置簽名過濾器來過濾出滿足特定需求的多個(gè)簽名，每個(gè)過濾器必須滿足所有過濾條件才可以加入簽名過濾器，簽名過濾器按照配置先后順序依次顯示，顯示循序匹配報(bào)文過濾的過程。

簽名過濾包含一些匹配條件，來特定的應(yīng)用進(jìn)行對(duì)應(yīng)。例如對(duì)象、嚴(yán)重性、操作系統(tǒng)、協(xié)議、威脅類型、處理動(dòng)作（告警或阻斷等）。在“例外簽名”欄中點(diǎn)擊“添加”按鈕，可以創(chuàng)建例外簽名項(xiàng)目，例外簽名可以設(shè)置和簽名過濾器不同的簽名，能夠針對(duì)特定的簽名配置一個(gè)動(dòng)作。如果管理員需要為某個(gè)簽名設(shè)置與簽名過濾器不同的動(dòng)作，那么該例外簽名擁有更高的優(yōu)先級(jí)。例如某個(gè)簽名過濾器采取的處理動(dòng)作是警告，與之對(duì)應(yīng)的例外簽名采取的動(dòng)作是阻斷，那么當(dāng)處理具體的入侵行為時(shí)，優(yōu)先執(zhí)行阻斷動(dòng)作。即例外簽名的處理動(dòng)作如果與簽名過濾器不同，則以例外簽名的處理動(dòng)作為準(zhǔn)，即例外簽名擁有更優(yōu)先的匹配權(quán)利。注意，在同一個(gè)配置文件下的簽名過濾器是存在優(yōu)先級(jí)的，簽名過濾器按照配置的先后依次顯示在界面上，顯示順序即為報(bào)文匹配順序，簽名過濾器的優(yōu)先級(jí)可以手動(dòng)調(diào)整。

之后點(diǎn)擊“提交”按鈕，執(zhí)行編譯操作，將其變成可執(zhí)行文件。在安全策略管理界面中新建安全策略，設(shè)置其名稱、描述信息、源安全區(qū)域、目的安全區(qū)域、源地址/地區(qū)、目的地址/地區(qū)、用戶、服務(wù)、應(yīng)用、時(shí)間段等項(xiàng)目，源目的地址可以不進(jìn)行配置，默認(rèn)為處理所有IP報(bào)文。在“動(dòng)作”欄中必須選擇“允許”，為的是讓應(yīng)用的配置文件生效。在“入侵防御”欄中選擇上述創(chuàng)建的配置文件。這樣，才可以發(fā)揮入侵防御配置文件的威力，來有效抗擊不法的入侵行為。

使用UTM防火墻，抵御病毒入侵

網(wǎng)關(guān)防病毒的配置包括新建反病毒配置文件，選擇過濾協(xié)議（包括文件傳輸協(xié)議、郵件協(xié)議、共享協(xié)議等），配置應(yīng)用例外及病毒例外，在安全策略中引用防病毒配置文件等步驟。在反病毒配置文件管理界面中顯示了設(shè)備自帶的默認(rèn)配置文件，可以針對(duì) HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB等協(xié)議在上傳和下載方向上進(jìn)行過濾，注意，默認(rèn)的配置文件不能修改和刪除。點(diǎn)擊“新建”按鈕，輸入其名稱、描述信息，選擇“抓包”項(xiàng)，表示檢測(cè)到病毒后，會(huì)抓取包含病毒的數(shù)據(jù)包，便于管理員在日志中查看數(shù)據(jù)包的內(nèi)容。在“高危特征檢測(cè)”欄中選擇“啟用”項(xiàng)，如果傳輸?shù)奈募嬖跐撛陲L(fēng)險(xiǎn)，可以將其檢測(cè)出來。這適用于對(duì)安全性要求較高的環(huán)境，因?yàn)槠淇赡軙?huì)產(chǎn)生誤報(bào)。

在“文件傳輸協(xié)議”、“郵件協(xié)議”、“共享協(xié)議”欄目中選擇數(shù)據(jù)的上傳或者下載方向，并為其設(shè)置處理動(dòng)作，包括告警和阻斷等。對(duì)于告警來說，雖然可以對(duì)其放行，但是會(huì)生成病毒日志，對(duì)于阻斷來說，可以直接對(duì)其攔截同時(shí)也會(huì)生成病毒日志。對(duì)于SMTP和POP3協(xié)議來說，還可以選擇宣告動(dòng)作，可以對(duì)其放行，但是會(huì)在郵件正文中添加檢測(cè)到的病毒提示信息，同時(shí)會(huì)生成病毒日志。對(duì)于病毒郵件來說，還可以自動(dòng)刪除包含病毒的附件，并在郵件正文中添加檢測(cè)到的病毒提示信息，同時(shí)會(huì)生成病毒日志。

在配置完成后，可以創(chuàng)建應(yīng)用例外和病毒例外。前者可以為協(xié)議中的某個(gè)應(yīng)用配置不同的響應(yīng)動(dòng)作。對(duì)于病毒例外來說，可以放過可能為誤報(bào)的情況。例如對(duì)于某個(gè)常用的工具軟件來說，其本身不是病毒，但是可能被誤報(bào)為病毒，為其創(chuàng)建病毒例外，可以防止產(chǎn)生誤報(bào)。方法是從病毒日志中找到相關(guān)的ID信息，將其輸入到病毒例外的編輯欄中，點(diǎn)擊添加按鈕，使其擺脫檢測(cè)操作。之后新建安全策略項(xiàng)目，設(shè)置其名稱、描述信息、源安全區(qū)域（選擇“untrust”）、目的安全區(qū)域（選擇“ytust”）、源地址/地區(qū)、目的地址/地區(qū)、用戶、服務(wù)、應(yīng)用、時(shí)間段等項(xiàng)目，在“動(dòng)作”欄中必須選擇“允許”項(xiàng)，在“反病毒”列表中選擇上述配置文件。這樣，可以全方面的對(duì)病毒進(jìn)行防御。