在現今的網絡時代,病毒的發展呈現出以下趨勢:病毒與黑客程序相結合、蠕蟲病毒更加泛濫、病毒破壞性更大、制作病毒的方法更簡單、病毒傳播速度更快,傳播渠道更多、病毒感染對象越來越廣。因此,一個完善的安全體系應該包含了從桌面到服務器、從內部用戶到網絡邊界的全面地解決方案,以抵御來自黑客和病毒的威脅。近年來逐漸興起的網關防病毒技術在安全體系中的應用“熱”起來了。
網關防病毒技術的發展
蠕蟲病毒產生以前,計算機病毒主要是以移動存儲介質傳播的;自蠕蟲病毒出現之後,網絡則取代了移動存儲介質的位置。許多業內人士得出的結論是,只要斬斷郵件自動轉發這一主要傳播途徑,就可以有效控制計算機病毒的擴散,網關防毒則是斬斷其傳播途徑的最為有效的手段之一。
在信息安全技術領域中,基於硬件開發的防毒網關已經推出一段時間,而具有相同功能的軟件產品在市場上出現得更早。從應用效果上看看,硬件產品以高性能高穩定性得到用戶的青睐。軟件防毒牆最大的缺陷是軟件在易用性、安全性等方面與硬件產品存在一定的差異。由於軟件防毒牆要安裝到基於NT、Unix或者是Linux等開放式操作系統平台上才能使用。而開放式系統往往存有安全漏洞,且這些安全漏洞在互聯網上就可查到,若不及時打補丁,非法入侵者只需采用對開放系統進行攻擊的方法就可突破網絡防護。這時網絡安全產品不僅起不到安全防護作用,反而成為網絡的安全隱患。不僅如此,這類產品安裝維護工作極其復雜,技術人員除了要熟悉相關軟件的技術之外,還要熟練掌握多種操作系統以適應各種各樣郵件服務器的維護需要。同時軟件防毒牆產品的性能和效率也會受到硬件環境的限制而無法達到最佳效果。
同防火牆產品發展的過程類似,防毒牆產品的發展也經歷了由軟件到硬件的發展過程,而且從應用到技術實現有許多類似之處。首先,這兩類產品在網絡上處於相同位置,均在網關上起著十分重要的安全防護作用;其次,硬件防火牆和防毒牆都是基於工控機開發的,是獨立於操作系統平台之外的產品。對於硬件防毒牆來講,這個產品特性使其便捷性更為突出。過去在用戶挑選相關軟件產品時,不僅要考慮用戶使用何種操作系統,還要對用戶使用的郵件系統進行甄別,不同的郵件系統要使用不同的郵件安全過濾產品來適應。而且當用戶的郵件系統升級或者改用其它郵件系統時,往往需要重新購買與之相匹配的安全產品;最後,隨著用戶對網絡速度的要求越來越高,基於硬件的信息安全專用產品可以很好地滿足用戶需求。對於硬件防毒網關來講,在產品設計上廠商采用與防火牆產品大致相同的策略――精簡操作系統,基於專用硬件平台等辦法,來保證數據在網絡中快速傳輸。
網關防病毒技術的應用
網關防病毒技術主要有兩部分,一是如何對進出網關的數據進行查殺;二是對要查殺的數據進行檢測與清除。綜觀國外的網關防病毒產品,其對數據的病毒檢測還是以特征碼匹配技術為主,其掃描技術及病毒庫與其服務器版防病毒產品是一致的。如何對進出網關的數據進行查殺,是網關防病毒技術的關鍵。由於目前國內外防病毒產品還無法對數據包進行病毒檢測,所以各廠商在網關處只能采取將數據包還原成文件的方式進行病毒處理,在此方面,防病毒廠商所采取的方式又各不相同,主要分為以下四種方式:
第一種,基於代理服務器的方式實現。此種方式主要是依靠代理服務器對數據進行還原,在數據通過代理服務器時將其數據根據不同協議進行還原,再利用其安裝在代理服務器內的掃描引擎對其進行病毒的查殺。
第二種,基於防火牆協議還原的方式實現。此種方式主要是利用防火牆的協議還原功能,將數據包還原為不同協議的文件,然後傳送到相應的病毒掃描服務器進行查殺,掃描後再將該文件傳送回防火牆進行數據傳輸。病毒掃描服務器可以有多個,防火牆內的防病毒代理根據不同協議,將相應的協議數據轉送到不同的病毒掃描服務器。
第三種,基於郵件服務器的方式實現。此種方式也可認為是以郵件服務器為網關,在郵件服務器上安裝相應的郵件服務器版防病毒產品。郵件服務器版防病毒產品主要通過將防病毒程序內嵌在郵件系統內,它在進出郵件轉發前對郵件及其附件進行掃描並清除,從而防止病毒通過郵件網關進入企業內部。目前,郵件版防病毒產品主要支持Exchange Server、Lotus Notes和以SMTP協議的郵件系統。
第四種,基於信息渡船產品方式實現。它能夠實現網關處的病毒防護。信息渡船俗稱網閘,它采用GAP技術實現,在產品內建立信息孤島,通過高速電子開關實現數據在信息孤島的交換。我們只需在信息孤島內安裝防病毒模塊,就可實現對數據交換過程的病毒檢測與清除。
上面四種實現方式雖然不同,但最終對數據進行掃描仍是通過各廠商的病毒掃描引擎實現的,也就是說與該廠商其它防病毒產品使用的是相同的掃描引擎和病毒庫,這也大大方便了網關防病毒產品的更新與升級。