从单机版走向网络版,再到网关,杀毒市场正悄然面临一场新的变革――网关杀毒。这项被誉为能够守住病毒第一道关口的技术,可谓“一夫当关,万毒莫开”。尽管NAI、赛门铁克、趋势等国外信息安全公司的技术已经相当成熟,尽管冠群金辰、北信源、瑞星等国内厂商也相继推出了产品,但很多人还是会有疑问:网关杀毒时代真的到来了吗?
1月25日,一种针对SQL Server服务器的网络蠕虫病毒――Slammer迅速在互联网上蔓延,其危害性已经远远超过了曾经肆虐一时的“红色代码”病毒。该病毒的出现,使我们叹言Internet是如此脆弱的同时,又再一次证实了它不仅仅是企业拓展业务以及与外界保持联系的主要渠道,同时也是超过90%的病毒传播入口。
来自IDC的调查报告显示,全球电子邮件流量在2002年就达到了310亿,预计到2006年将达到600亿。其中,有83%的病毒是通过电子邮件进行传播的,像尼姆达、红色代码以及Slammer均在不到一天的时间内即在全球范围内自动传播,它们所造成的经济影响以几十亿美元计。此外,IDC在调查中还发现,垃圾邮件的传送数量将会超过正常的邮件数量,而一些机密文件的外泄、不良信息、不法信息的传送也将会通过电子邮件来进行。
市场是因需求而定,网关杀毒也是如此。早在1995年,趋势网关防毒技术就在美国申请了专利。但此后的几年,用户并没有太多关注它。伴随着互联网技术的发展,网关杀毒市场也日趋成熟。直至今天,从桌面杀毒到网关杀毒已是互联网发展的必然。
从用户的角度来看,他们对安全的意识已经由最初的被动杀病毒转变为主动防护,因此他们需要的是一个“Total Solution”。由于病毒具有不可预知性,当有病毒攻击时,他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。此外,当他们通过电子邮件与外界沟通时,他们还希望不被那些与自己无关的信息打扰。而所有这些正是网关杀毒软件所要做的工作。
诚然,网关杀毒仅仅是“Total Solution”的一小部分,但却承担着“一夫当关,万毒莫开”的重要角色。我们相信,伴随着互联网技术的成熟,网关杀毒时代已经来临!
技术评述
网关杀毒四种实现方式
目前,在比较优秀的网络防病毒解决方案中都提到了立体防病毒体系这个概念,立体防病毒体系简单地说,就是在每台工作站、服务器、邮件服务器及网关处全部安装相应的防病毒产品,在不同层面上查杀病毒,从而不给病毒留有任何藏身的空间。其实,早在20世纪90年代中后期,网关防病毒技术及相应产品就已出现,目前网关防病毒产品在国外应用较为成熟。从概念上讲,网关防病毒就是从整个网络的入口开始,阻止来自Internet的病毒入侵,同时还要防止它们在进出公司内部网络时的传播。
目前,国内市场上有很多网关防病毒产品,如趋势、赛门铁克、NAI、F-secure等,国内也只有北信源和瑞星公司开发出基于网关的防病毒产品。网关防病毒技术主要有两部分,一是如何对进出网关的数据进行查杀;一是对要查杀的数据进行检测与清除。后者对于防病毒厂商来讲是很容易做到的。综观国外的网关防病毒产品,其对数据的病毒检测还是以特征码匹配技术为主,其扫描技术及病毒库与其服务器版防病毒产品是一致的。而如何对进出网关的数据进行查杀,则是网关防病毒技术的关键。由于目前国内外防病毒产品还无法对数据包进行病毒检测,所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理,在此方面,防病毒厂商所采取的方式又各不相同,主要分为以下四种方式:
第一种,基于代理服务器的方式实现。此种方式主要是依靠代理服务器对数据进行还原,在数据通过代理服务器时将其数据根据不同协议进行还原,再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀。
第二种,基于防火墙协议还原的方式实现。此种方式主要是利用防火墙的协议还原功能,将数据包还原为不同协议的文件,然后传送到相应的病毒扫描服务器进行查杀,扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个,防火墙内的防病毒代理根据不同协议,将相应的协议数据转送到不同的病毒扫描服务器。一般来讲,不同厂商在防火墙与病毒扫描服务器之间进行数据交换的过程都采用各自的协议。在这里要重点说明的是,并不是具有协议还原功能的防火墙就支持网关防病毒产品,目前此类产品主要支持CVP协议的防火墙(如Check point防火墙等),相对优秀的产品也能支持PIX等其它防火墙。由于其主要支持CVP协议的防火墙,而国内防火墙厂商都不是基于CVP标准,所以此种方式的网关防病毒产品在国内尚无法大规模地应用。
第三种,基于邮件服务器的方式实现。此种方式也可认为是以邮件服务器为网关,在邮件服务器上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒产品与以上两种方式又不相同,它主要是通过将防病毒程序内嵌在邮件系统内(邮件版防病毒程序一般是以邮件系统的一个服务而存在的),它在进出邮件转发前对邮件及其附件进行扫描并清除,从而防止病毒通过邮件网关进入企业内部。目前,邮件版防病毒产品主要支持Exchange Server、Lotus Notes和以SMTP协议的邮件系统。
第四种,基于信息渡船产品方式实现。此种方式在网关防病毒产品中很少有人提到,原因是它本身不是一个防病毒产品,但其确实能够实现网关处的病毒防护。信息渡船俗称网闸,它采用GAP技术实现,在产品内建立信息孤岛,通过高速电子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安装防病毒模块,就可实现对数据交换过程的病毒检测与清除。目前,国内一些安全公司已有相应的产品。
上面四种实现方式虽然不同,但最终对数据进行扫描仍是通过各厂商的病毒扫描引擎实现的,也就是说与该厂商其它防病毒产品使用的是相同的扫描引擎和病毒库,这也大大方便了网关防病毒产品的更新与升级。
从整体讲,网关防病毒产品只是防病毒产品家族内的一员,它只能检测进出网络内部的数据。目前,网关防病毒产品还大多只能针对HTTP、FTP、SMTP三种协议的数据进行病毒扫描,大部分产品还不支持pop3协议。网关防病毒产品还无法解决整个网络的防病毒问题,只有建立一个有层次的、立体的防病毒体系,才能有效制止病毒在我们网络内部的蔓延。 选购指南
不影响现有网络是关键
防病毒网关以其专用的协议过滤模块、良好的防毒性能而被接受。在使用防病毒网关过程中,应尽可能多地了解防毒网关使用的技术,以避免可能给网络带来的一些不利影响。
防毒网关所使用的协议过滤技术有:
1.议协代理
目前流行几款网关杀毒都采用此协议过滤技术,如北信源的VRVgate。网关杀毒在原有物理网关前后形成一层协议代理逻辑网关,所有通过的信息都须通过防毒网关,防毒网关将这些内容协议暂时拦截,然后交给杀毒引擎进行内容检查。
2.透明代理
透明代理网关杀毒是防火墙技术的扩展,一般基于硬件。数据包经过网关不会更改路由信息,一次会话数据经过网关杀毒后直接转发,但暂存在最后一个数据包,利用其组合成杀毒引擎可识别的格式数据,确认数据安全性后则进行转发,否则将抛弃该数据包,并向用户端发送终止信息,以保护内网安全。它能大大提高网关对带宽的影响,北信源防火墙联动网关便是利用这种原理开发的。
防毒网关使用过程中应注意如下的问题:
1. 防病毒网关不影响原有网关系统
网络多通过宽带接入,防毒网关对网络入口数据流过滤可能导致路由器、交换机数据包转发阻塞,影响网络访问速度。
2. 对进出邮件网关、数据流网关的数据流进行高速过滤
防毒网关同网络中防火墙、入侵检测系统的并存,会加重网络负荷。应尽量选用高性能防火墙,减轻网络数据过滤对网络产生的影响。
3. 高效网关杀毒及合理过滤
防毒网关是针对专用协议进行过滤,对病毒查杀的同时,要求对垃圾邮件、高频率大流量邮件、木马黑客程序能够有效阻止,做到合理过滤、合理阻拦。
4. 用户存在的特殊性要求
1)国内用户对网络应用存在个性化的需求
国内企业级用户信息化程度空前提高,网络安全被提到首要地位,政府、证券、军队等部门存在个性化需求,需要做到对非法数据流、数据传递内容过滤,禁止某些IP段用户进行邮件收发等。
2)网关病毒过滤状态显示
网关系统正常运行之后,防病毒网关管理人员希望能实时察看网络数据流量、用户邮件发送数量;防病毒网关可提供一些不同形式的数据流量显示方式,如曲线、图形等,动态显示防毒网关运行状况。
