进阶安全策略部署

    1.面对的威胁

    UTM部署在网络边界的位置，针对2-7层所有种类的威胁。根据威胁破坏产生的后果，网络边界面临的威胁可以分为三类：对网络自身与应用系统进行破坏的威胁、利用网络进行非法活动的威胁、网络资源滥用威胁。

    ①对网络自身与应用系统进行破坏的威胁：此类威胁的特点就是以网络自身或内部的业务系统为明确的攻击对象，通过技术手段导致网络设备、主机、服务器的运行受到影响（包括资源耗用、运行中断、业务系统异常等）。ARP欺骗、DDoS攻击、蠕虫等均属于此类威胁。例如DOS攻击，虽然不破坏网络内部的数据，但阻塞了应用的带宽，对网络自身的资源进行了占用，导致正常业务无法正常使用。

    ②利用网络进行非法活动的威胁：此类威胁的特点是通过技术手段对主机或服务器进行入侵攻击，以达到政治目的或经济利益目的为目标。包括盗号木马、SQL注入、垃圾邮件、恶意插件等。例如盗号木马，通过这个工具，不法分子获得用户的个人账户信息，进而获得经济收益；又如垃圾邮件，一些不法分子通过发送宣传“法 轮 功”的邮件，毒害人民群众，追逐政治目的。

     ③网络资源滥用的威胁：此类威胁的特点是正常使用网络业务时，对网络资源、组织制度等造成影响的行为。包括大量P2P下载、工作时间使用股票软件、工作时间玩网络游戏等。比如P2P下载是一种正常的网络行为，但大量的P2P下载会对网络资源造成浪费，有可能影响到正常业务的使用；又如，股票软件是正常行为，但上班时间使用，降低了工作效率，对公司或单位构成了间接损失。这些行为都属于网络资源滥用。

    当然，由于是以结果进行分类，有些威胁可以同时归属于两类，例如SQL注入，有些注入是为了获取信息，达到政治或经济目的，属于第二类；有些注入后是为了修改网页，达到破坏正常网站访问业务的目的，属于第一类。这并不影响分类覆盖范围的全面性。

图二