信息安全与通信保密・2009.441
方案应用
S o l u t i o n s & 1. 概述
滤波装置随着信息化高速发展和高科技时代的到来,
恶意软件和非法内容也随之增多,危害严重的
蠕虫等恶意代码能够在短时间内传遍全球,感
染上万台主机,并造成无法估量的经济损失、数
时间、人力成本。根据来自国际计算机安全协会
(简称ICSA)的统计,现在全球有99%以上的病
毒是通过SMTP和HTTP协议进入用户的计算
机的,因此目前绝大部分的恶意软件来源于外
关作为应对来自互联网安全威胁的一个重要的
网络设备,由此应运而生。在笔者工作的政府部
门内外网办公过程中,无可避免地要去外网获
毒的侵袭成为首要问题。
2. 实际工作中数据交换过程中存在的问题
和风险
在政府内外网不同安全域进行数据交换时,
安全风险可分为:通过正常服务进行异常访问的
恶意软件传播;恶意软件主动开启异常服务并进
行异常访问和传播。传统安全防护手段防火墙、
防病毒技术通常是针对后者进行防护,对非法端
口进行阻断,将本地开启的恶意程序和服务予以
查杀。但如果恶意程序和非法操作通过正常服
务,如HTTP、FTP、SMTP、POP3传播时,防
火墙、路由器和交换机就成为恶意程序和非法操
作行为的载体,这时,大家通常会采用防火墙来
过滤网络层的非法访问和网络攻击,通过手动设
置规则决定端口开放。但常用的端口还是要开
放,如TCP端口80/21/25/110…,这时,HTTP
等协议就变成当前恶意代码的主要传播途径,防
火墙技术变得力不从心。
近年来兴起的网络入侵防护系统IPS,对常
规互联网协议的恶意软件阻断作用非常有限,它主要通过分析网络中的异常攻击行为(可以通过正常服务),以规则库的方式定义非正常行为,从而采取相应动作。而目前互联网恶意软件绝大多数还是基于正常服务,仅仅从网络传输本身也很难判断其行为的异常性,只是其访问和传输的数据本身包含恶意代码。通常情况下,我们唯一能够依赖的抵御技术手段就只有通过安装在桌面端的防病毒软件,去解决来自各个方面的恶意软件的攻击。即使这样,我们还会面临以下几个方面的问题和风险:(1) 网络带宽被大量占用,影响正常业务办公。恶意程序和非法操作通过正常服务传播时,大量占用网关类设备,如防火墙、路由器和交换机的带宽和资源,从而影响内网间和内外网之间的可用性。当我们在考虑要尽快追加和升级到高端防火墙、IPS、路由器和核心交换机时,我们是否考虑到:当前运营的网络设备有多少流量是正常流量?哪些是异常的、非法的流量?如果减少异常流量,是否还需要高端网络设备?我们投资的大笔资金很多情况下都是为了提高网络访问速度,但与此同时也成为异常的、非法的流量的温床,它们会更快速地传播到网络各个角落,从而对正常数据也造成极 大影响。(2) 传统的网络版防病毒系统不可避免的缺陷。在安全建设最初阶段,部署防火墙、防病毒等系统几乎是每家单位安全建设的必选项,被广泛应用。有些单位甚至是部署一套以上的企业版防病毒系统进行异构组合,认为这样很安全。经过统计,当内网客户端达到一定数量时就会暴露出网络版防病毒系统的隐患:—客户端数量增多后,无法保障每台计算机按时升级病毒库和引擎。—无法保障每台计算机的防病毒客户端程序都在正常运行中。—有些计算机爱好者卸载了单位统一部署的防病毒软件,安装上自己更偏好的产品,而这类产品的使用和升级无法进行集中管理。—客户端操作系统修复、还原、系统重装时防病毒软件随之失效。—防病毒服务器升级后一直到网内最后一个客户端升级完毕,要经历很长时间。—防病毒服务器一旦出现故障,全网将无法升级病毒库,最新病毒无法识别,安全系统形同虚设。—企业版防病毒系统会受到桌面防火墙和软件自身漏洞的干扰和破坏。—新型恶意软件已经更加智能,它们通过自带的防病毒软件识别系统和反安装程序,能够在防病毒软件未识别之前,将防病毒软件直接卸载。当前活跃的恶意软件中,约有20%-30%的病毒已经具备了反监控、
防病毒安全网关技术
在数据交换中的应用
p p l i c a t i o n s
方案应用
反识别和自身隐藏技术。
(3) 对应用系统的影响。每个政府单位都
具有政府网站、政府邮箱和电子政务等系统。
这类应用系统的潜在威胁包括:
—邮件服务器接受和发送大量病毒邮件
和垃圾邮件,造成收发邮件速度下降,影响正
常邮件收发。
—Web服务器不能只依靠防病毒软件
的防护,政府网站服务器如果受到黑客、病毒
的入侵,受影响的不仅仅是数据的丢失。
—邮件服务器、Web服务器等平台都是
对外提供服务最多的系统,也是最容易受到攻
击的平台。
3. 如何构建有效的安全的数据交换平台
(1) 政务外网数据交换防恶意代码的有效新
手段。一般典型政府办公外网网络拓扑的新防
护手段如图1所示。日常办公网与Internet存在wsrd
双向数据交换,在防火墙与核心交换机之间部
署防病毒安全网关,重点防治互联网到办公网
可能携带的病毒和恶意代码。在网络边界处部
署方正熊猫安全网关后,能够起到下列作用:
—防病毒安全网关能够与企业版防病毒系
统配合,形成立体防毒体系,将恶意软件拦截在
网络出口以外,形成安全防护屏障和第一道防线。
—采用不同类别的产品,使得防病毒安
全网关与企业版防病毒系统形成异构组合,扩
展识别范围。
b型钢
—防病毒安全网关的病毒库升级后,弥
补了企业版防病毒客户端病毒库升级不及时的
安全风险。
针织牛仔布—防病毒安全网关的部署,弥补了防病
毒软件自身漏洞、被有意或无意卸载等风险。
—扫描恶意软件传播的正常端口,进行
深度过滤。支持HTTP、FTP、SMTP、POP3、
IMAP4和NNTP等易被病毒利用的正常协议。
—保护客户端的同时,对Web服务器、
邮件服务器、在线查询平台服务器进行安全防
护,抵御恶意软件和系统漏洞。
—在网关处针对HTTP、FTP、SMTP、
POP3、IMAP4和NNTP等正常协议的恶意软
件防护,能够将90%左右的恶意软件拦截在网
络出口处。—在网关病毒拦截过程中,对网络中的设备和应用系统能够起到流量优化等作用。(2) 政务专网数据交换安全保障补充手段。专网之间与互联网物理隔离,但也存在不同安全域包括一级中心到二级、三级单位的连接、各单位与横向业务系统的专网连接。虽然相对办公网系统,政务专网有着较高的安全级别,但不排除其他安全域到本单位专网数据导入时,也会携带某些恶意程序等安全隐患。对政务专网的安全保障手段包括以下几种手段:—封闭专网所有重点主机光驱、USB、打印口等物理接口。防止工作人员采用光盘、移动存储介质在重点服务器之间直接交换数据,或由于读取光
盘、移动存储介质,导致病毒或恶意代码传播。同时,防止非法外联导致的信息泄露(见图2)。—采用光盘介质进行数据交换。由于外网与互联网联接,根据相关要求,专网与外网间只能采用光盘方式进行数据交换,避免恶意程序写入。—采用认证方式的移动存储。对于需要进行交换数据并且保密级别较高的主机,可以采用移动存储认证方式进行有限制的权限开放。具有认证功能的移动存储设备可以与专属主机或专人进行绑定,即只允许某几个人或某几台主机之间进行数据交换,其他未授权主机将无法识别、读取、写入。—专网中采用防病毒安全网关保护网络边界。在政府专网数据交换过程中,上下级单位之间、横向业务合作单位之间都存在大量的数据传输,且大部分应用系统都基于HTTP、FTP等协议,这就不可避免地存在非法内容和恶意软件的传播。在各级单位安全域边界部署防病毒网关可以有效地与边界防火墙形成从网络层到应用层的安全屏障。4. 探讨实现防病毒安全网关在数据交换平台的技术有效性防病毒安全网关作为高性能的硬件设备,通过全面领先的内容过滤技图2 业务专网数据交换的安全保障设计图1 政府办公网数据交换的安全保障设计
信息安全与通信保密・2009.4
术,从网络层、传输层、应用层,对网络危害数
据进行智能识别、关联分析、优化处理,全面过
滤病毒、蠕虫、垃圾邮件、非法内容,实现最大
程度的安全防护。
(1) 恶意软件防护技术。针对病毒、蠕虫、木
马、间谍软件、拨号程序、玩笑程序、网络钓鱼、
黑客工具、安全风险和其他未分类威胁,集成在
防病毒安全网关中的防恶意软件模块,可以检测
和清除其他恶意或不受欢迎的内容,如防玩笑程
序保护、防盗拨保护、防间谍软件保护、抵御
MIME报头漏洞、抵御漏洞、抵御
SQLSlammer等蠕虫、抵御双扩展名的文件。
(2) 内容过滤、网页过滤技术。内容过滤和
网页过滤作为恶意软件扫描功能的补充,可以
按照协议、入站出站、文件类型和过滤器,单独
定制文件或邮件过滤。
网页过滤模块允许网络管理员控制网络资
源的使用,并且阻止非法、情或暴力网页内
容进入内网(它们将降低网络性能),这些非法
内容如果被员工外发或转发的话,有碍单位形
象。该模块扫描通过HTTP访问的URL,并且
阻断访问那些未被授权的内容,使管理员知道
哪些内容用户正在访问。过滤规则根据预定义
内容目录、管理员定义的白名单(允许)和黑名
单(非授权)。该安全网关允许创建VIP用户列
表以使用户不应用过滤规则。防病毒安全网关
将会是网络中更新速度最快的设备,它每隔90
分钟自动下载恶意软件特征文件库、垃圾邮件
数据和分类网址。
(3) 反垃圾邮件技术。反垃圾邮件扫描作为
其反恶意软件扫描的补充,检查从单位邮件服
务器发出的,从而减少垃圾邮件的产
生,避免降低网络性能。可以启用针对SMTP、
团队监控POP3和IMAP4的反垃圾邮件扫描,将只对通
过上述协议进入的邮件进行垃圾邮件扫描。
(4) IM和P2P过滤技术。通过防病毒安全网关
内置的网络特征码,能够识别和监测即时通讯软
件,如MSN、QQ、Yahoo等聊天工具,能够检
测和阻断P2P工具,如BT、电驴等,优化网络带
宽,将网络带宽的利用率提高到最大值。
(5) 针对高流量、大规模应用所采用的负载
均衡技术。防病毒安全网关负载均衡技术是这类
型设备必须要具备的功能,也是当时产品选型的重点。搭建负载均衡环境
时不需要额外的负载均衡产品来实现,从而在节约成本的基础上提高设备
性能和高可靠性。采用负载均衡方式部署防病毒安全网关的优势如下:
—扩展性强:随着单位内网终端数量增多时,进行设备追加后能
够明显扩展网络处理能力。
—节约成本:采用防病毒网关内置的负载均衡功能,无需采购高
昂的负载均衡产品,节约成本。
—充分利旧:不同型号的方正熊猫安全网关产品均能够实现负载
均衡环境,不浪费前期的安全投入。
—全指向性麦克风
性能提升:将多台设备加入到负载均衡环境时,其处理性能成
倍数扩展,支持各类网络规模。
—集中管理:支持多台设备集中管理、策略统一分发、统一升级,
便于安全管理。
—提高可靠性:多台防病毒网关负载时,当一台出现宕机、掉线
等故障,其他设备将在瞬时接管其处理的流量,在保障网络安全性的基
础上实现不间断的高可用性方案。
采用负载均衡方式部署防病毒网关的案例如图3所示,图中内网用户在
6000点以上,网络流量大,安全性、稳定性要求非常严格,采用5台防病毒
安全网关进行负载均衡部署后,能在满足安全性的基础上提高设备稳定性。
综上所述,防病毒安全网关类型产品无论在政务外网、内网、专网
环境下,以及高应用、高性能、高稳定性要求的条件下,都具有良好的
可用性,是一种继传统防火墙、网络版病毒软件、桌面终端管理系统等
在数据交换平台上的新技术、新方案、新理念,做到层层加固、立体式
防御的解决方案。
(国家广播电影电视总局办公厅网络机要处 王祥;
方正信息安全技术有限公司 王钊)
43
方案应用
S o l u t i o n s&
图3 某区政府5台防病毒安全网关负载均衡部署
