随着PC及网络带宽的普及,计算机病毒入侵和病毒泛滥也随之越来越“普及”,和电脑病毒抗争已经成为我们网管员IT作的一个重要部分。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。国内的安全形势同样不容乐观,诸如最近的“熊猫烧香”、“金猪拜年”等病毒通过网路途径大肆传播,并且出现了百余个变种、400多个不同样本,在一些著名网站的网页上甚至也潜藏着病毒,随着用户的点击迅速扩散,数以千计的企业因此受到侵害,数以百万计的个人用户遭受感染。
病毒肆虐极大地影响了人们的日常工作与信息传播,也将国内各界对信息安全的需求推到最高。目前对病毒的防范最主要的就是部署各类杀毒软件,包括单机版杀毒软件、网络版杀毒软件及网关杀毒(防毒墙),这些杀毒软件对病毒确实起到了一些防范效果,但是我们往往发现虽然部署了正版的杀毒软件,局域网里面感染病毒的事件仍然层出不穷。
究竟是什么原因造成部署杀毒软件后病毒事件仍然频现,怎么从根本上去解决病毒问题,更好的实现立体防御,我们发现通过采用国内深信服公司推出的AC上网行为管理设备,结合一般的网络版杀毒软件进行配合,就可以很好的得到解决。
一、“客户端准入规则”可以更好的协助实施网络版杀毒软件
常见的主机防病毒(网络版杀毒软件)主要是针对主机进行防范,需要每台电脑都部署专门的客户端,这样对于没有安装客户端的电脑主机还是有可能在上Internet的时候感染上病毒,另外对于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒,从而导致整个局域网中毒。
深信服AC上网行为管理设备提供了一个“客户端准入规则”(Network Admission Rules,NAR)认证的功能,可以通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。当启用了AC的NAR功能后,内网用户第一次发起互联网连接请求时,NAR将动态分发准入代理(Sinfor Ingress Agent,SIA)至客户端主机。SIA是轻量级软机代理,用于确定端口是否遵从管理员设定的安全策略,SIA中可配置用于检查预定义的和可定制的标准,比如该PC终端有没有打操作系统补丁、有没有安装杀毒软件、杀毒软件有没有升级到最新版本。当SIA将搜集到的客户端信息传回AC网关后,如果该PC终端的安全状态不符合SIA的规则设置,AC网关将对该用户执行预定义的策略,比如直接禁止上网或弹出警告,从而有效避免某些员工因为忙碌或者偷懒而不安装杀毒软件和打补丁,或者虽然安装了杀毒软件但没有做及时升级而引发的病毒事件。
二、“网关杀毒”和“网络版杀毒”的结合——“一夫当关,万夫莫开”
前面提到,主机防病毒(网络版杀毒软件)主要是针对主机进行防范,需要每台电脑都部署专门的客户端,这样对于没有安装客户端的电脑主机还是有可能在上Internet的时候感染上病毒,另外对于没有及时升级最新杀毒版本的电脑主机也同样有可能会感染上病毒,从而导致整个局域网中毒。——深信服SINFOR AC上网行为管理里面独特的客户端准入规则认证专利可以很好的解决这个问题;除此之外,AC设备里内置的网关防毒模块也可以很好的解决上述问题,所有流经网关的网络数据,都会经过杀毒处理。
传统的防病毒方案只是在每台计算机上安装防病毒软件,这样是无法在当前病毒的主要入口处进行防病毒,也就是只有在病毒到达网络中的客户端计算机和服务器后,才通过本地已经安装的防病毒软件进行病毒查杀。大的集团客户/行业客户一般都拥有庞大数量的计算机,监督每台计算机是否感染病毒是无法实现的,由于License费用的高昂在每台计算机安装正版杀毒软件的也是不现实的;因此在网关处进行防病毒保护的实际意义尤为显著。
从用户的角度来看,越来越多的用户对安全的意识已经由最初的被动杀病毒转变为主动防护,因此他们需要的是一个“Total Solution”。由于病毒具有不可预知性,当有病毒攻击时,他们需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。此外,当他们通过电子邮件与外界沟通时,他们还希望不被那些与自己无关的信息打扰。而所有这些正是网关杀毒软件所要做的工作。
在网关杀毒方面,SINFOR AC的网关杀毒模块采用了灵活的设计手段,经过实际的测试和应用效果检验,深信服科技选用了来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎作为缺省的杀毒模块,杀毒速度达到50Mb/s,远远超过大多数杀毒厂商的网络杀毒速度,也超过一般用户的Internet带宽。该病毒引擎获得国际权威机构VB 100%的认证,不仅可以查杀普通病毒,还可以检查出各种压缩包(zip,rar,gzip等)内部隐藏的病毒。病毒库可每天在线升级,保护内网的所有用户免受病毒困扰。
F-Prot网络杀毒功能一览表:
功能 |
详细指标 |
支持协议 |
HTTP、SMTP、POP3、FTP、NETBIOS |
邮件附件杀毒 |
支持 |
查杀压缩文件类型 |
Zip、gzip、rar、tar、bz2 |
网页恶意代码过滤 |
支持 |
病毒库升级 |
自动(每天)/手动 |
病毒引擎 |
F-PROT(获得VB100%认证) |
当然,网关防病毒主要是防范通过网关传播的病毒,对于网络内部通过U盘、软盘等移动存储介质、局域网文件共享等途径传播的病毒,是网关防病毒鞭长莫及的,必须要通过主机防病毒才可以补充防范。为了解决这个问题,深信服科技在提供网关式防护的同时,还提供了在线杀毒的功能,通过访问URL的方式启用在线杀毒,简单、易用,不受License控制,就能够对最终用户的桌面电脑及网络中的服务器进行全面的病毒查杀,从而确保通过其他途径进去网络内的病毒能够被清除掉。
对于有比较充足IT经费预算的用户,我们的建议是在网络里面同时部署网络版杀毒软件,这样可以在AC上网行为管理设备“网关杀毒”模块的配合下,实现双重防御。
三、从根源上防止病毒,治标还要治本
以上所介绍的单机版杀毒软件、网络版杀毒软件及网关杀毒(防毒墙)能够对病毒的防范起到非常有效的作用,但都还只是停留于对病毒的防范和清除上,没有从病毒的根源上去真正解决,“治标不治本”。
回顾我们曾经的中毒史,我们发现很多病毒事件都是因为一些员工访问一些非法网页/非法BBS论坛,或通过FTP下载文件及即时通讯软件传播文件而引发。统计数据也显示了这一点,中国内地针对网络游戏、聊天软件的木马数量比去年增加了五倍,达到90421个,占到总病毒数量的75.7%。值得留意的是与IM有关的“网络钓鱼”攻击目前正呈上升势头。这些有害的信息不仅会降低系统效率、侵占网络带宽,而且使企业的网络门户洞开,受到病毒、特洛伊木马以及其它各种威胁,使企业网络处于高风险状态。网络使用的简易性和开放性使得这种威胁越来越严重。
针对这些病毒的来源和传播途径,深信服AC上网行为管理设备可以很好的配合杀毒软件实现“治标治本”的效果。AC网关里面的URL过虑功能,可以对常见的非常网址/非法BBS论坛直接实现过虑,AC网关提供的对下载及P2P软件的封堵和管理功能也可以有效减少因为文件下载而引发的病毒传播,尤其值得一提的是AC里面的SSL控制功能,可控制用户通过SSL协议访问的URL,并可对SSL协议的证书做有效性检查,允许或拒绝用户访问持有指定X.509证书的网站,以防止用户通过SSL协议泄密和访问色情、反动和钓鱼网站,从而起到“防网络钓鱼”的效果,避免客户陷入“网络钓鱼”陷阱。
正是鉴于以上几点,我们发现,SINFOR AC上网行为管理设备可以和传统的杀毒软件进行很好的配合,为客户提供更好的立体安全防御策略,这在当前国内越来越严峻的安全形势下无疑为我们提供了一个新的病毒防范思路。据了解,现在,越来越多的杀毒软件厂商及其渠道伙伴,也纷纷加入了深信服的大合作体系里,为新老杀毒软件客户提供更立体的安全防范。我们有理由相信,随着上网行为管理概念的普及,上网行为管理设备和杀毒软件的结合将愈来愈成为网络安全业内的一个趋势。