传统的防病毒软件是面向单个主机设计的,传统的客户端、服务器防毒解决方案实施困难、管理复杂,需要专人维护。由于IT开支的缩减和专业管理员的匮乏,企业数据和网络的病毒防护面临着越来越大的挑战。根据病毒的发展趋势,着眼于在企业网边界就把病毒拒之门外的网关防毒解决方案可以迅速提高企业网防杀病毒的效率,并可大大简化企业防毒的操作难度,降低企业防毒的投入成本。
网关防毒一点控全局
根据TruSecure下属的ICSA(International Computer Security Association)实验室“2002年度病毒传播趋势报告”的调查分析结果表明,目前病毒的传播方式主要是邮件传播和Internet传播,其中邮件传播比例高达87%,Internet传播占10%。其他传统的,经由磁盘、网络下载的病毒感染方式的传播率只有3%。即97%的病毒是通过网络传播的。
本质上,病毒的生命在于传播,如果有效地遏制了其传播,病毒将不再构成威胁。就像六七年以前,一个企业通过对软驱和光驱使用的严格限制,可以极大地降低病毒对该企业网络造成的威胁一样,如果我们现在对邮件病毒传播和Internet病毒传播方式进行有效抵制和预防,就可以大大降低病毒对企业网络造成破坏性的风险。
目前国内企业采取的防毒措施现状是,绝大多数企业购买客户端、服务器防病毒软件,并安装到企业网络的每一台主机上(如客户端PC机、服务器等),防毒功能的具体实现是落实在企业网络的每一个点上,我们观察和评估该网络的防毒效果需要着眼于每一台主机。如此,我们可能需要付出97%的时间和精力,但却远远无法切断病毒97%的传播途径。此外,由于以下两个原因,客户端、服务器防毒解决方案在一个企业的网络环境中通常不能达到令人满意的效果。
首先,企业的网络通常有成百上千的主机,很难保证所有节点(包括移动节点)的防毒系统都处在最佳状态,例如是否安装了防毒软件,防毒系统是否生效,是否更新到了最新的病毒特征码,是否给操作系统打好了最新的安全补丁等许多影响终端节点防毒的因素;其次,网络病毒的传播和防毒系统的特征码更新都是利用网络,它们之间只是时间上的对抗,由于病毒的出现肯定要先于病毒特征码的出现,从而在客观上造成了拥有大量终端节点的企业防病毒体系在与网络病毒的对抗中,处于一个不利的位置。所以,我们要想在这场对抗中获得主动,就需要把眼光移到企业网的边缘,在大门口就把病毒拒之门外,防毒过滤网关实际上就是企业级病毒防火墙,可谓“一夫当关、万夫莫开”。
赤霄过滤网关高优先级全过滤
最近,冠群金辰软件有限公司在提供防病毒解决方案和防病毒产品方面的新推产品――赤霄过滤网关(KSG)通过部署在用户内部网络与外部网络的接入点,实现邮件病毒过滤及Internet病毒过滤,可以简单、高效地对用户网络来自Internet的病毒威胁实现强有力的深层病毒防护。
图1 邮件传输原理
该产品由邮件病毒过滤、网页病毒过滤和FTP下载过滤等几大防毒功能模块构成,其中最重要的还是邮件病毒过滤功能。我们先谈谈邮件病毒过滤是怎么实现的。在谈邮件病毒过滤之前,我们必须先了解一下邮件的传送机理。
电子邮件的传输很像现实生活中的信件服务,如果你想发信,你会到达离你最近的邮局,这一过程你可能使用汽车、自行车或步行;邮局通过邮政编码的地址对照表搞清楚你信封书写地址的确切位置后,使用邮局的特定传输通道(通常是火车)将信件传到离目标最近的邮局;收信人再去这个邮局取信,取信的过程也有多种方式(使用各种交通工具或邮递员送上门)。
对应于电子邮件,这一过程是这样的:邮件客户端MUA(现实生活中的你)使用SMTP、Exhange或Notes传输协议(现实生活中的汽车、自行车)将邮件发给MTA(现实生活中的邮局),MTA解析邮件头(信封)得到目标地址,查找DNS服务器(现实生活中的邮政编码地址对照表)搞清楚可以接受该邮件的另一个MTA,通过SMTP协议(火车)将Email传给这个MTA,收信人的MUA再通过POP3或IMAP4协议读取邮件(如图1所示)。
出于容错和扩展方面的考虑,简单邮件传输协议(SMTP)在设计时引入了邮件路由的思想,邮件总是首先试图传递给优先级值相对较高的MX邮件服务器,失败后才试图传递给优先级值稍大的MX邮件服务器;同时邮件总是在试遍了同一优先级的MX邮件服务器都失败后,才试图传递给优先级稍低的MX邮件服务器。因此,一封具有一个收件人地址的Email可以有多个MX邮件服务器目标,每台MX邮件服务器可以设置成不同的优先级,高优先级的邮件服务器将先进行处理,如果高优先级的邮件服务器出现意外,邮件会自动发给第二优先级的服务器,依次直到最低优先级服务器。赤霄防毒过滤网关产品就是利用这种工作原理,通过在用户网络的DNS系统中赋予防毒过滤网关最高的优先级。赤霄防毒过滤网关具有完整的MTA服务功能,这样所有的邮件将先发到防毒过滤网关,进行查杀毒处理,再由防毒过滤网关通过SMTP协议传给MX邮件服务器(如图2所示)。
对于发出去的邮件,可以在DNS中修改Relay服务器(即发件服务器)的IP指向,或者用户直接修改自己所用的邮件客户端软件的Relay服务器,以指向赤霄防毒过滤网关。
图2 赤霄防毒过滤网关典型的接入方式
显然,这种方式在满足防范邮件病毒的同时,规避了在邮件服务器上安装防病毒软件带来的问题。它与具体使用的邮件服务器类型无关,无需占用邮件服务器的系统资源,相比在邮件服务器上安装防毒软件而言,具有更高的查杀毒效率。
它的接入方式也很简单,通常无需修改邮件服务器的任何配置,即使用户更换了新的邮件服务器,也无需更换防毒过滤网关,保护了用户的已有投资。同时,赤霄防毒过滤网关具有很好的伸缩性和扩展性,当一台赤霄不够用时,用户可以简单地再增加一台赤霄防毒过滤网关进行扩充;如果使用集群模块,还可以做成赤霄防毒过滤网关集群,实现统一管理。
硬件防毒网关更有效
硬件防毒网关类产品相比其客户端、服务器软件类防毒产品有以下几个特色:高效稳定,例如冠群金辰公司的赤霄防毒过滤网关,由于采用独立的硬件平台,大大提高了系统的稳定性和查杀病毒的效率;操作简单、管理方便,硬件防毒网关类产品一般采用B/S管理架构,友好的图形管理界面可供用户方便地对设备进行简便易行的配置;接入方式简单易行;免维护,可远程自动更新进行代码和系统升级,无需管理员日常维护;容错与集群,如赤霄就使用了两种独立的技术实现了集群模块,在容错的同时,线性地增加处理能力,满足高带宽的网关杀毒需要。
其实防毒网关并不是什么新技术,早在三四年前,软件形式的防毒网关就出现了。由于当时邮件、Internet病毒传播的比例还不太高,所以网关防毒的作用也没有那么明显;另外,一种新型的技术势必会通过一段时间的发展才日趋成熟,软件类防毒网关由于性能问题一直也无法真正体现其“一夫当关、万毒莫入”的功效。通过几年的磨砺,如今防毒网关可以说已经度过市场的潜伏期,并且随着技术的不断完善、防毒过滤网关硬件专有系统的推出,网关防毒将日益成为企业防毒体系的中流砥柱。
