在現(xiàn)今的網(wǎng)絡時代,病毒的發(fā)展呈現(xiàn)出以下趨勢:病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫、病毒破壞性更大、制作病毒的方法更簡單、病毒傳播速度更快,傳播渠道更多、病毒感染對象越來越廣。因此,一個完善的安全體系應該包含了從桌面到服務器、從內(nèi)部用戶到網(wǎng)絡邊界的全面地解決方案,以抵御來自黑客和病毒的威脅。近年來逐漸興起的網(wǎng)關防病毒技術在安全體系中的應用“熱”起來了。
網(wǎng)關防病毒技術的發(fā)展
蠕蟲病毒產(chǎn)生以前,計算機病毒主要是以移動存儲介質(zhì)傳播的;自蠕蟲病毒出現(xiàn)之后,網(wǎng)絡則取代了移動存儲介質(zhì)的位置。許多業(yè)內(nèi)人士得出的結(jié)論是,只要斬斷郵件自動轉(zhuǎn)發(fā)這一主要傳播途徑,就可以有效控制計算機病毒的擴散,網(wǎng)關防毒則是斬斷其傳播途徑的最為有效的手段之一。
在信息安全技術領域中,基于硬件開發(fā)的防毒網(wǎng)關已經(jīng)推出一段時間,而具有相同功能的軟件產(chǎn)品在市場上出現(xiàn)得更早。從應用效果上看看,硬件產(chǎn)品以高性能高穩(wěn)定性得到用戶的青睞。軟件防毒墻最大的缺陷是軟件在易用性、安全性等方面與硬件產(chǎn)品存在一定的差異。由于軟件防毒墻要安裝到基于NT、Unix或者是Linux等開放式操作系統(tǒng)平臺上才能使用。而開放式系統(tǒng)往往存有安全漏洞,且這些安全漏洞在互聯(lián)網(wǎng)上就可查到,若不及時打補丁,非法入侵者只需采用對開放系統(tǒng)進行攻擊的方法就可突破網(wǎng)絡防護。這時網(wǎng)絡安全產(chǎn)品不僅起不到安全防護作用,反而成為網(wǎng)絡的安全隱患。不僅如此,這類產(chǎn)品安裝維護工作極其復雜,技術人員除了要熟悉相關軟件的技術之外,還要熟練掌握多種操作系統(tǒng)以適應各種各樣郵件服務器的維護需要。同時軟件防毒墻產(chǎn)品的性能和效率也會受到硬件環(huán)境的限制而無法達到最佳效果。
同防火墻產(chǎn)品發(fā)展的過程類似,防毒墻產(chǎn)品的發(fā)展也經(jīng)歷了由軟件到硬件的發(fā)展過程,而且從應用到技術實現(xiàn)有許多類似之處。首先,這兩類產(chǎn)品在網(wǎng)絡上處于相同位置,均在網(wǎng)關上起著十分重要的安全防護作用;其次,硬件防火墻和防毒墻都是基于工控機開發(fā)的,是獨立于操作系統(tǒng)平臺之外的產(chǎn)品。對于硬件防毒墻來講,這個產(chǎn)品特性使其便捷性更為突出。過去在用戶挑選相關軟件產(chǎn)品時,不僅要考慮用戶使用何種操作系統(tǒng),還要對用戶使用的郵件系統(tǒng)進行甄別,不同的郵件系統(tǒng)要使用不同的郵件安全過濾產(chǎn)品來適應。而且當用戶的郵件系統(tǒng)升級或者改用其它郵件系統(tǒng)時,往往需要重新購買與之相匹配的安全產(chǎn)品;最后,隨著用戶對網(wǎng)絡速度的要求越來越高,基于硬件的信息安全專用產(chǎn)品可以很好地滿足用戶需求。對于硬件防毒網(wǎng)關來講,在產(chǎn)品設計上廠商采用與防火墻產(chǎn)品大致相同的策略——精簡操作系統(tǒng),基于專用硬件平臺等辦法,來保證數(shù)據(jù)在網(wǎng)絡中快速傳輸。
網(wǎng)關防病毒技術的應用
網(wǎng)關防病毒技術主要有兩部分,一是如何對進出網(wǎng)關的數(shù)據(jù)進行查殺;二是對要查殺的數(shù)據(jù)進行檢測與清除。綜觀國外的網(wǎng)關防病毒產(chǎn)品,其對數(shù)據(jù)的病毒檢測還是以特征碼匹配技術為主,其掃描技術及病毒庫與其服務器版防病毒產(chǎn)品是一致的。如何對進出網(wǎng)關的數(shù)據(jù)進行查殺,是網(wǎng)關防病毒技術的關鍵。由于目前國內(nèi)外防病毒產(chǎn)品還無法對數(shù)據(jù)包進行病毒檢測,所以各廠商在網(wǎng)關處只能采取將數(shù)據(jù)包還原成文件的方式進行病毒處理,在此方面,防病毒廠商所采取的方式又各不相同,主要分為以下四種方式:
第一種,基于代理服務器的方式實現(xiàn)。此種方式主要是依靠代理服務器對數(shù)據(jù)進行還原,在數(shù)據(jù)通過代理服務器時將其數(shù)據(jù)根據(jù)不同協(xié)議進行還原,再利用其安裝在代理服務器內(nèi)的掃描引擎對其進行病毒的查殺。
第二種,基于防火墻協(xié)議還原的方式實現(xiàn)。此種方式主要是利用防火墻的協(xié)議還原功能,將數(shù)據(jù)包還原為不同協(xié)議的文件,然后傳送到相應的病毒掃描服務器進行查殺,掃描后再將該文件傳送回防火墻進行數(shù)據(jù)傳輸。病毒掃描服務器可以有多個,防火墻內(nèi)的防病毒代理根據(jù)不同協(xié)議,將相應的協(xié)議數(shù)據(jù)轉(zhuǎn)送到不同的病毒掃描服務器。
第三種,基于郵件服務器的方式實現(xiàn)。此種方式也可認為是以郵件服務器為網(wǎng)關,在郵件服務器上安裝相應的郵件服務器版防病毒產(chǎn)品。郵件服務器版防病毒產(chǎn)品主要通過將防病毒程序內(nèi)嵌在郵件系統(tǒng)內(nèi),它在進出郵件轉(zhuǎn)發(fā)前對郵件及其附件進行掃描并清除,從而防止病毒通過郵件網(wǎng)關進入企業(yè)內(nèi)部。目前,郵件版防病毒產(chǎn)品主要支持Exchange Server、Lotus Notes和以SMTP協(xié)議的郵件系統(tǒng)。
第四種,基于信息渡船產(chǎn)品方式實現(xiàn)。它能夠?qū)崿F(xiàn)網(wǎng)關處的病毒防護。信息渡船俗稱網(wǎng)閘,它采用GAP技術實現(xiàn),在產(chǎn)品內(nèi)建立信息孤島,通過高速電子開關實現(xiàn)數(shù)據(jù)在信息孤島的交換。我們只需在信息孤島內(nèi)安裝防病毒模塊,就可實現(xiàn)對數(shù)據(jù)交換過程的病毒檢測與清除。
上面四種實現(xiàn)方式雖然不同,但最終對數(shù)據(jù)進行掃描仍是通過各廠商的病毒掃描引擎實現(xiàn)的,也就是說與該廠商其它防病毒產(chǎn)品使用的是相同的掃描引擎和病毒庫,這也大大方便了網(wǎng)關防病毒產(chǎn)品的更新與升級。
