《网络安全技术与实践》第二篇边界安全.pptVIP

* 防火墙策略控制所有通过UTM设备的通信流量。添加防火墙策略控制UTM接口、区域以及VLAN子接口之间的连接与流量。 * 虚拟域的设置可以使一台UTM设备能够根据服务商的管理安全服务对多重网络提供独立的防火墙与路由、VPN服务。 UTM可以划分多个虚拟域，每个虚拟域就相当于一台独立的UTM。每个虚拟域有自己独立的端口（逻辑端口或物理端口）、独立的路由规则、独立的管理员账户、独立的访问策略。多个虚拟域使用共同的软件版本和特征库版本。虚拟域可以更加简化客户的策略配置，每个管理员只需要管理自己虚拟域内的策略就可以了，减轻了管理员的工作量。 UTM能够满足的客户需要： 一些大企业，有多个事业部，各个事业部之间相对独立，有各自独立的管理员和访问策略。这种环境特别适合使用UTM的虚拟域。 此外，UTM的虚拟域还可以满足客户在UTM透明模式的前提下部署双路由的要求。UTM的混合模式也要借助虚拟域实现。 * UTM支持与微软AD域用户的同步，可以将域中的用户信息同步到网关上，结合域用户信息完成用户身份认证。 这样做的好处是管理员只需要维护已存在的微软AD认证系统，在人员权限有变动的时候，UTM会自动同步AD服务器，管理员只需要更改服务器上的数据库就可以了。这样做减小了工作的复杂度，大大节省了工作时间。 UTM与Windows AD结合的功能为两种工作模式： 第一种为NTLM模式，该模式内网主机只要具有域用户帐号，通过网关认证即可以上网，内网主机不必直接登陆到域内。 第二种为Windows AD同步模式，在这种工作模式下内网主机必须首先登陆到域后，由安装在域服务器的AGENT客户端同步用户信息到UTM网关，此时登陆到域的用户可以根据策略上网，不登陆域的用户无法上网。 由于该功能需要与域进行用户信息的交换，因此需要在域服务器安装相应的客户端agent软件，完对域用户信息的收集和与UTM设备的同步。 * 在系统状态页面中的统计信息列表中，查看通过UTM设备的HTTP、HTTPS、电子邮件、FTP以及IM流量统计信息。针对每种流量类型，点击对应的“详情”查看更为详细的信息。 * 内容保护表是您可以为了配合一些特殊的目而可以调整的一些设置。保护内容表可以对防火墙控制的流量应用不同的保护设置。您可以对每项策略处理的流量类型定 制不同的设置。 保护内容表可以用于： ? 对HTTP，FTP，IMAP，POP3，SMTP以及IM策略配置反病毒保护。 ? 对HTTP策略配置web过滤服务。 ? 对HTTP策略配置网页类型过滤服务。 ? 对IMAP，POP3，SMTP策略配置反垃圾过滤服务。 ? 对所有的服务启动IPS。 ? 对HTTP，FTP，IMAP，POP3与SMTP以及IM策略配置内容存档服务。 ? 对AIM，ICQ，MSN以及Yahoo即时消息配置IM过滤以及访问控制。 ?对Bit Torrent, eDonkey,Gnutella, Kazaa, Skype, 以及WinNY点对点用 户配置P2P访问控制与带宽控制。 ? 配置日志记录哪项内容保护项。 * * * 联想网御UTM入侵检测系统模块将特征与异常入侵检测结合，降低了威胁的潜伏期，增强了设备的可靠性。入侵检测保护中可以创建多个IPS传感器，每个传感器根据特征包含全部的配置，任何IPS传感器都可以应用到每个保护内容表中。DoS传感器也可以创建用于检测流量中是否含有异常特征的攻击。 * 建议使用MSN演示，QQ目前只能选择全部允许或全部阻止。 UTM支持的聊天软件还有AIM、ICQ、MSN、Yahoo！ 注第二招：UTM可以监控用户的在线和离线状况，即使客户伪装成脱机状态也可以显示。 * 联想网御认为合理的利用IM/P2P可以协助公司的业务发展，但是，如果滥用便降低了工作率以及网络性能。 联想网御UTM设备允许设置建立用户列表，允许或屏蔽这些程序的使用以及使用的带宽限制。 通过将所设置的保护策略与简明的统计报告结合，您可以知道应用了怎样的程序以及所应用程序的目的，从而有效地控制IM/P2P程序，提高工作效率。 * * 过滤一些和工作无关的网页，减小了间谍软件的威胁，提高了工作效率 * * 在某些行业用户（如公安系统）中，用户的分支机构（如派出所）众多， 分支机构与用户核心网络的通讯（如户籍管理等）相对简单，分支机构中 没有专门的网络技术力量。为满足这类用户的需求，就必须提供一套比 IPSEC VPN更简单，更易于使用和维护的VPN解决方案，而SSL VPN就能很好的满足用户需求。 * 联想网御UTM提供了安全的远程接入解决方案：IPsec、SSL、PPTP、L2TP。为分支机构和总部、移动用户的远程接入提供了安全的接入方案。 IPSec 基于端对端的安