在现今的网络时代,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快,传播渠道更多、病毒感染对象越来越广。因此,一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。近年来逐渐兴起的网关防病毒技术在安全体系中的应用“热”起来了。
网关防病毒技术的发展
蠕虫病毒产生以前,计算机病毒主要是以移动存储介质传播的;自蠕虫病毒出现之后,网络则取代了移动存储介质的位置。许多业内人士得出的结论是,只要斩断邮件自动转发这一主要传播途径,就可以有效控制计算机病毒的扩散,网关防毒则是斩断其传播途径的最为有效的手段之一。
在信息安全技术领域中,基于硬件开发的防毒网关已经推出一段时间,而具有相同功能的软件产品在市场上出现得更早。从应用效果上看看,硬件产品以高性能高稳定性得到用户的青睐。软件防毒墙最大的缺陷是软件在易用性、安全性等方面与硬件产品存在一定的差异。由于软件防毒墙要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用。而开放式系统往往存有安全漏洞,且这些安全漏洞在互联网上就可查到,若不及时打补丁,非法入侵者只需采用对开放系统进行攻击的方法就可突破网络防护。这时网络安全产品不仅起不到安全防护作用,反而成为网络的安全隐患。不仅如此,这类产品安装维护工作极其复杂,技术人员除了要熟悉相关软件的技术之外,还要熟练掌握多种操作系统以适应各种各样邮件服务器的维护需要。同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。
同防火墙产品发展的过程类似,防毒墙产品的发展也经历了由软件到硬件的发展过程,而且从应用到技术实现有许多类似之处。首先,这两类产品在网络上处于相同位置,均在网关上起着十分重要的安全防护作用;其次,硬件防火墙和防毒墙都是基于工控机开发的,是独立于操作系统平台之外的产品。对于硬件防毒墙来讲,这个产品特性使其便捷性更为突出。过去在用户挑选相关软件产品时,不仅要考虑用户使用何种操作系统,还要对用户使用的邮件系统进行甄别,不同的邮件系统要使用不同的邮件安全过滤产品来适应。而且当用户的邮件系统升级或者改用其它邮件系统时,往往需要重新购买与之相匹配的安全产品;最后,随着用户对网络速度的要求越来越高,基于硬件的信息安全专用产品可以很好地满足用户需求。对于硬件防毒网关来讲,在产品设计上厂商采用与防火墙产品大致相同的策略——精简操作系统,基于专用硬件平台等办法,来保证数据在网络中快速传输。
网关防病毒技术的应用
网关防病毒技术主要有两部分,一是如何对进出网关的数据进行查杀;二是对要查杀的数据进行检测与清除。综观国外的网关防病毒产品,其对数据的病毒检测还是以特征码匹配技术为主,其扫描技术及病毒库与其服务器版防病毒产品是一致的。如何对进出网关的数据进行查杀,是网关防病毒技术的关键。由于目前国内外防病毒产品还无法对数据包进行病毒检测,所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理,在此方面,防病毒厂商所采取的方式又各不相同,主要分为以下四种方式:
第一种,基于代理服务器的方式实现。此种方式主要是依靠代理服务器对数据进行还原,在数据通过代理服务器时将其数据根据不同协议进行还原,再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀。
第二种,基于防火墙协议还原的方式实现。此种方式主要是利用防火墙的协议还原功能,将数据包还原为不同协议的文件,然后传送到相应的病毒扫描服务器进行查杀,扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个,防火墙内的防病毒代理根据不同协议,将相应的协议数据转送到不同的病毒扫描服务器。
第三种,基于邮件服务器的方式实现。此种方式也可认为是以邮件服务器为网关,在邮件服务器上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒产品主要通过将防病毒程序内嵌在邮件系统内,它在进出邮件转发前对邮件及其附件进行扫描并清除,从而防止病毒通过邮件网关进入企业内部。目前,邮件版防病毒产品主要支持Exchange Server、Lotus Notes和以SMTP协议的邮件系统。
第四种,基于信息渡船产品方式实现。它能够实现网关处的病毒防护。信息渡船俗称网闸,它采用GAP技术实现,在产品内建立信息孤岛,通过高速电子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安装防病毒模块,就可实现对数据交换过程的病毒检测与清除。
上面四种实现方式虽然不同,但最终对数据进行扫描仍是通过各厂商的病毒扫描引擎实现的,也就是说与该厂商其它防病毒产品使用的是相同的扫描引擎和病毒库,这也大大方便了网关防病毒产品的更新与升级。