当悠扬的中国乐曲缓缓响起，当Neusoft与Nokia双方的领导人优雅的抬起印章，记录见证这个双赢时刻时，不仅让人想起，古今之成大事业必经的三个境界。2004年当我们与Nokia携手掀起安全战略合作序幕时，那真是‘昨夜西风凋碧树。独上高楼，望尽天涯路’。在技术研发上，双方经历了一场耐人感动的合作，双方的技术人员为此做出了巨大的贡献。2005年双方在技术融合的基础上，都十分认可彼此的公司文化以及经营的策略，从此开辟了第二个境界‘衣带渐宽终不悔，为伊消得人憔悴’。2006年双方在市场、渠道、销售方面进行了更多的合作并取得了不错的业绩。2007年双方在技术上进一步开拓合作计划，经过了Nokia美国加洲实验室、麻省实验室以及Neusoft研究院双方的严格测评，并在得到了一致高度认可结果的前提下，双方再次牵手书写未来篇章，这时双方才发现彼此的合作真正迎来了双赢的时代。也感悟到了‘众里寻他千百度，蓦然回首，那人却在灯火阑珊处’的合作意境。
　　优秀的企业永远不会停留在以往的成绩中，他们永远以用户和市场的需求为运营的导向，通过优质的服务和质量达到更好，通过满足用户需求达到更快，通过与合作伙伴的不断融合达到更紧密。在本期我们依然为您发布月度安全公告，同时和您一起交流一下关于UTM和IDS方面的技术话题。
　　东软安全期待与所有的合作伙伴及用户在未来可以进行更为深入的技术交流和合作，不断的实现双赢乃至多赢的合作策略。同时也欢迎就您关注的技术、产品等方面的问题反馈给我们，我们将及时与您沟通。

　　UTM是由硬件、软件和网络技术组成的具有专门用途的设备，由于媒体及UTM厂商的大力宣传，用户往往对UTM期望很高，以为UTM是万能的。通常来说，UTM需要具备防火墙、VPN、防病毒、入侵检测与阻断、流量分析、内容过滤、P2P协议过滤、3A认证等众多功能。UTM往往被称为网络安全的“瑞士军刀”，然而事实的情况是用户在实际使用时，发现这把军刀非常钝，甚至到了无法使用的程度：比如在启用防病毒功能后，绝大多数UTM产品性能都会下降到一个用户不能接受的程度－启用防毒功能前的十分之一甚至更低，这在当今千兆网络日益普及，大步向万兆迈进的时候，UTM低得可怜的性能显然难当网络安全防护的重任。
　　UTM的问题在哪里？UTM的问题在于，UTM所需的硬件平台远没有到成熟的水平。UTM的关注点是在应用层安全，然而，真正实现应用层安全，无论是相应的硬件技术，还是应用层深度检测的软件架构，以及两者的紧密结合，技术上还有很长的路要走。
　　UTM无疑是定位在网关安全防护，我们来看一下网关安全产品的发展过程：最早的交换机的访问控制是在二层，路由器的访问控制是在三层，由于路由器的CPU处理能力很低，因此路由器上做状态检查和三层的访问控制会严重影响路由器的性能，因此逐渐出现了防火墙产品，两者在硬件体系结构上最大的差别就是CPU的处理能力，即使是基于ASIC技术的防火墙，其使用的CPU的处理性能也远高于路由器的CPU，这是因为，相对于路由处理，防火墙的计算是一个计算密集型的任务，因此，必须有相应的具有强大计算能力的硬件支持。
　　我们回过头看一下UTM，以病毒过滤为例，通常处理的都是七层数据（SMTP、HTTP等等）。要准确地检测应用层的攻击，单包检测的准确率是很低的，必须进行协议级数据的还原以保证检测的准确性，降低漏报率。网络中常用的应用协议在数十种，与状态检测相比，不同应用层协议重组的计算量提升了一个数量级以上，即使是目前计算能力最强的CPU在进行数百兆流量的协议还原时也会造成性能瓶颈，并大大增加网络延迟。因此，目前的硬件体系结构还不足以支持深度的应用检测和过滤。多核CPU，包括RMI、CAVIUM等公司的多核平台是一个突破的方向，但目前产品还处于市场导入期，价格昂贵，大规模普及并成为主流尚待时日。多核平台是UTM性能满足部署要求的前提条件，如果多核技术走向成熟，比如INTEL的80核的CPU产品实现量产，完全可以突破目前硬件平台的处理瓶颈。
　　硬件的问题解决后，软件上最大的挑战在于计算任务的并行化以及攻击防御开发的模式上。一个UTM产品必须能够在协议、漏洞、攻击以及业务等多个层次上进行检测，才能提供全方位的防护，否则，针对一个漏洞的攻击理论上可以开发出无数种攻击工具，只针对攻击特征进行检测难免挂一漏万。同样道理，协议层次上的安全防护及安全性增强也是UTM必须的功能。
　　东软在五年就开始进行深度防御的基础研究工作，在多引擎/多核并行计算以及深度检测语言平台（NEL）都取得了重大的突破，下一步的工作将是NEL平台与领先的多核计算平台进行紧密的集成。通过与INTEL等硬件厂商的合作，预计在2008年左右就可以解决目前UTM所存在的性能瓶颈，以及漏报率和误报率居高不下的问题。
　　东软的NEL是一个开发的平台，在这个平台之上可以进行比较复杂的计算。NEL在五个层面上考虑了攻击防御的问题：第一个层面是协议异常检测。为什么放在最前面呢？因为对于特定的协定，比如说HTTP、SMTP、FTP等等都可以找到规律，哪些协议交互数据是正常的，哪些交互或数据包是RFC规范所不允许的。通过这样的方式，在协议上的层次上就可以拦截很多的攻击和非法访问。
　　第二个层次是基于漏洞特征的攻击检测规则。漏洞规则核心的想法是基于漏洞特征而不依赖于攻击者使用漏洞的方式来做检测。这个检测最大的好处是可以非常高效地防御众多的攻击变种，而且可以在攻击者实施攻击之前就可以把这些东西检测出来。
　　第三个层次是基于攻击签名的规则。签名的规则实际上有一个最大的好处就是能够比较清晰地了解攻击具体实施的方式，了解攻击者利用的到底是一些自己的编码或工具，还是利用了一些固定的攻击工具来实施攻击。
　　UTM在具体部署和实施当中，用户会根据自己特有的需要，制定一些个性化、定制化的应用级安全防御规则。这就需要用自定义的方式来做的，也就是第四个层次上的用户自定义规则。
　　第五个层次上的规则也是与具体部署环境相关的，不过是自动化的，即系统通过学习，了解正常的访问模式，通过正常访问模式与异常访问模式的对比，在攻击发生的时候及时发现并有效地进行拦截。
　　NEL最主要的革命性思想，就是它实现了一个攻击检测、协议分析以及NEL平台本身完全独立的分层体系结构。使用NEL可以多次不断扩充协议或检测规则，而不会影响到另外层次上的代码。同时，在NEL还可以完全复用大量的C语言代码。这是攻击检测方法学上的一个全新的突破和方向。
　　在多核硬件平台以及多层次的防御体系之外，UTM还需要集成高性能的安全协处理器以保证加解密，压缩/解压缩等安全防护外围处理的性能，否则，这些外围处理可能会造成UTM的性能瓶颈。这三方面的问题解决后，UTM才会真正成熟和普及，高效地检测各种类型的网络攻击和非法流量，包括检测未知的新型攻击和零日攻击，真正成为网络安全防护的利器。

　　在采用HUB连接的共享环境下实现网络嗅探是非常容易的，只需要安装Iris、Sniffer等网络协议分析软件即可。因此目前的网络都是采用交换机替代HUB来实现网络互连，然而使用交换机进行互联的网络事实上存在着很多安全隐患，尤其是内部的恶意员工更是可怕，对于稍微了解一些网络知识的攻击者完全可以采取“隔空取物”式的攻击方法如ARP欺骗攻击，来实施交换环境下的网络嗅探。

　　一、ARP欺骗的技术原理
　　ARP欺骗，也可称为ARP中间人攻击，主要适用于以交换网络环境的局域网内。举例说明如下：
　　●　局域网环境为10.1.1.*，子网掩码为255.255.255.0；
　　●　网关为10.1.1.95，10.1.1.95网卡的MAC地址为01-03-04-AE-BC-06；
　　●　局域网中有三台测试主机，分别是：

　　　…详细内容请访问NetEye网站：面对ARP欺骗的东软IDS应对之道

发布日期：2007年5月 东软NetEye攻防小组

摘要

2007年5月8日，微软发布5月份安全公告，包括7个漏洞公告，描述并修复了18个安全问题，全部7个漏洞公告都属于“紧急”风险级别，攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

同时攻防小组对其他的一些高危漏洞公告进行了汇编。建议用户检查自己的系统是否受这些漏洞的影响，并安装补丁予以解决。

紧急 (10)

　　　…详细内容请访问NetEye网站：2007年5月安全公告汇编