1. 概述
计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时,无论是浏览WEB页面,还是通过FTP下载文件,或者是收发E-mail,甚至MSN聊天等,都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为当前防病毒体系中的重中之重。
ICSA统计数据:90%以上是通过Internet传播的。不同于市场上其他基于软件处理的防病毒网关,FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒网关,可以提供高于同类产品数倍的防病毒性能,FortiGate高端型号采用了Fortinet最新一代ASIC芯片——FortiASIC CP8,最高可以达到单台10Gbps以上的HTTP防病毒吞吐量,均远超同类其它产品,对于Web浏览这样的实时应用的性能影响也微乎其微。
FortiGate目前的支持的病毒特征数量超过1500万个,而且防病毒特征可通过Internet自动更新,每天4次的病毒库更新频率是业界最高标准之一,可以确保用户在第一时间实现对最新型网络威胁的防御。FortiGate支持手动、自动、推送式更新。其中推送式更新当服务器上有新的特征库时,会主动“推送”至用户的FortiGate,响应速度最快。
FortiGate支持启发式扫描,对于未知病毒,可以根据其行为进行判断,及时将可疑的文件报告给用户。
Fortinet公司在国内的北京和天津成立了病毒及入侵防御研发中心,其中天津的研发中心与国家病毒应急响应中心密切合作,迅速捕获国内产生的病毒和入侵。这两个研发中心共有150名以上研发人员。
2. 外部病毒防御
如下图所示,FortiGate可以部署在Internet和内部网络之间,既可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件等,也可以防止内部用户向外发送这些病毒等安全威胁。
DMZ区的服务器也可使用FortiGate进行保护,防止病毒、蠕虫、木马等攻击Web、Email、Proxy等服务器。
FortiGate的病毒过滤针对标准协议,与应用无关。无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,FortiGate都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播。FortiGate还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中,HTTP协议不使用TCP80端口,却使用了TCP8080端口),FortiGate同样可以对其中的病毒进行过滤。
在协议支持的全面性上,FortiGate走在了业界的前面。在FortiGate上启用防病毒功能,对HTTP、FTP、SMTP、POP3、IMAP、MAPI等协议进行过滤,便可将外网病毒传入内网的风险降至最低。
FortiGate支持基本病毒库和扩展病毒库,用户可以针对不同协议开启不同级别的安全保护,在安全和性能之间进行良好的平衡。
当邮件附件中带有病毒时,FortiGate会自动插入提醒信息,通知收件人由于附件带毒,所以被FortiGate删除。提示信息可以由管理员自己来设置。
管理员还可以使用FortiGate对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽,便可在FortiGate上设置,超过50M大小的文件一律阻止。
3. 内部病毒防御
虽然目前90%以上的病毒来自于Internet,但仍然有部分病毒通过其它途径进入内网,例如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络入侵的方式,利用网络中其它主机的安全漏洞进行传播,并可能导致DoS攻击。
如前图所示,除了在Internet出口处部署FortiGate之外,还可以在内网各区域(如下属单位、部门等)之间使用FortiGate进行隔离,防止一个区域感染的病毒扩散到其它区域。
另一方面,FortiGate安全网关不能仅针对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行病毒扫描,同时还能够基于IPS原理,识别各类蠕虫病毒的内网传播特征,对内网中的病毒传播进行定位和阻拦。
FortiGate的IPS功能还能限制单个IP地址产生的会话数量,防止蠕虫病毒爆发时导致的DoS/DDoS攻击;还能利用防火墙功能阻挡常见病毒的传播端口。以上功能均能协助防病毒功能,获得更好的防御效果。
当前的病毒传播方式多种多样,病毒、蠕虫、木马、恶意软件、网络入侵等的界限越来越模糊,用户只有结合防病毒、IPS、防火墙等多项安全技术,才能真正有效地过滤新一代病毒。
4. 病毒扫描模式
FortiGate支持两种病毒扫描模式,分别是基于代理扫描和流扫描。
基于代理扫描
FortiGate充当代理接管网络流量,代理时对扫描的文件进行缓存,当文件缓存完毕后,进行重组并执行病毒扫描,直到扫描结束,不会发送数据到客户端和服务器。代理扫描模式可以提供高的准备率,但会带来比较高的延时。
流扫描
文件通过FortiGate时,逐包检查,没有文件重组过程。如果检测到病毒,最后一个包会被丢弃,或者连接会被reset,客户端不会收到完整的文件。流模式因为没有文件缓存的过程,因此执行效率较高,病毒扫描的延时也较小,但可能会出现漏报的情况。
原文地址:http://blog.51cto.com/abnerhuang/2069500