防病毒型网关(NAV Gateway)凭借硬件优势,在并发会话的压力下处理速度可以提高数十倍,维持高线速性能,因此成为发展热点。 基于网络的防病毒,综合防火墙、VPN(虚拟专网)和内容过滤等安全功能, 构成了网络安全新理念。在技术上,通过采用ASIC加速和专用OS来提高处理能力,使得防病毒型网关比网关型防毒软件显示出优越性。
防病毒型网关的含义
称其为防病毒型网关有三层含义。 一. 它是基于网络的防病毒方法, 而不是传统的基于主机的防病毒方法; 二.它除了防病毒功能以外, 更与防火墙、VPN 、内容扫描综合在一起, 融合为复合型网关; 三. 网关采用硬件ASIC, 在专用平台上实现,方能保证性能。
常规的防病毒软件产品运行在客户端,伴随着几个主要弱点:一. 软件安装在受保护系统的同一环境中,造成软件本身对误配置和攻击的脆弱性; 二. 通常只能杀除本地硬盘上受病毒感染的文件,真正的病毒源, 如邮件服务器,并没有得到及时处理;三. 安装在PC机上的防病毒软件需要精心管理,保障各主机不断的升级,涉及到耗费大量的时间和资源。
防病毒型网关的功能
防病毒网关(NAV Gateway)安装在两个网络之间,在网络边缘检测阻挡病毒/蠕虫, 如图一所示。通常安装在内部网和外部网和公网(如Internet)之间,或在单位的网络和外部合作伙伴的网络之间。 网关工作深入到应用层,可实时快速地监测流经网关的任一种方向的数据流。如果发现有病毒,则拦截并清除,同时记录病毒日志和向管理员告示,然后将无病毒的数据流转发到目的地。
基于网络的防病毒系统的特点
1.系统在网络边缘阻挡病毒。将病毒拦截于它们接近内部网服务器和主机之前, 大大减少了主机受攻击的风险。 网关能在网络边界实施防病毒, 而不需要依赖在每一台PC和服务器上进行防毒保护。相比之下,基于主机的防病毒方法,检测和杀病毒在客户端完成。 如果某台计算机发现病毒,说明病毒已经感染内部网的许多计算机。对于新的病毒和变种,旧的杀病毒软件一般不能检测和清除。 在完成给每台计算机更新软件前,实际给网络开了一个“脆弱的窗口”。
2.系统提供了一道安全防线, 使得在它后面的所有主机都受到保护。 这就减少了管理工作量, 并关闭了“脆弱的窗口”。如果出现新病毒,只需要更新防病毒网关特征数据库、网关的扫描算法, 而不用更新每一个终端软件。从而大大节省了企业的资源和用户产品的升级和维护费用。
3.系统减轻了邮件服务器的负荷, 因为受感染的邮件在达到服务器之前就已被删除。 这在邮件传播蠕虫攻击时尤其重要, 因为它们可能产生成千上万的信息, 甚至堵住邮件服务器, 阻塞网络。当前企业面临的网络不安全因素主要源自于邮件系统、文件下载和WEB页面的浏览。作为防病毒功能,除HTTP和SMTP外,还支持POP3和IMAP等协议。
4.系统利用专用的平台, 而不是标准主机。 它由ASIC加速处理,保证速率,结合使用专门的、强化安全的、不能妥协的操作系统。系统在网络中很好地定位扫描Web, 防止在常规基于主机系统中往往企图绕过的流量。
防病毒型网关的技术基础
实现防病毒网关的关键举措有两方面:
1. 实现行为和内容分析技术。
行为和内容分析技术是基于网络的防病毒系统的根本, 是保障高性能的基础。 如图二所示,它包括ASIC内容处理器和专用OS内容处理操作系统。ASIC内容处理器包括功能强大的特征扫描引擎, 能使很大范围类型的内容与成千上万种病毒“特征”、 入侵攻击、 关键词或其它模式的“特征”相匹配。 ASIC内还包括加密加速引擎, 以支持高性能VPN加密和解密。另外, ASIC芯片包含了加速数据包头分析(对防火墙处理和入侵检测)的硬件引擎,以及支持流量管理的流程管理引擎。操作系统是对包处理专用的、强化安全的、实时核心优化的系统。它对防病毒、防火墙、VPN、NIDS提供了一个公共平台。 它本身是封闭的系统, 不会被外来攻击而感染。
2. 建立防病毒应急响应中心。
为了达到及时更新病毒数据库的目的, 需要相应建立,分布在世界多个地点。每一台网关设备保证可与两个响应中心联络上,起到快速反应、更新特征数据库的作用。使用户能收到分钟级响应的信息, 检测和阻挡攻击。在发现新型和变形病毒或接到通知以后,很快就能够进行更新并发布的防病毒体制。
将防病毒处理性能, 兼具综合性安全功能, 因而拉开了与网关型防病毒软件的距离”。 典型产品是具有防病毒和内容过滤等安全防卫功能的高端网关
