(FortiGate)飛塔防火墻防病毒解決方案
1. 概述
計算機(jī)病毒一直是信息安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)速度越來越快,網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩,使得病毒傳播的風(fēng)險也越來越大,造成的破壞也越來越強(qiáng)。據(jù)ICSA(國際計算機(jī)安全協(xié)會)的統(tǒng)計,目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。內(nèi)網(wǎng)用戶訪問Internet時,無論是瀏覽WEB頁面,還是通過FTP下載文件,或者是收發(fā)E-mail,甚至MSN聊天等,都可能將Internet上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同,它們本身是一個病毒與***工具的結(jié)合體,當(dāng)網(wǎng)絡(luò)當(dāng)中一臺計算機(jī)感染蠕蟲病毒后,它會自動的以極快的速度(每秒幾百個線程)掃描網(wǎng)絡(luò)當(dāng)中其他計算機(jī)的安全漏洞,并主動的將病毒傳播到那些存在安全漏洞的計算機(jī)上,只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ),蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播,即使計算機(jī)上安裝了帶有實(shí)時監(jiān)控功能的防病毒軟件(包括單機(jī)版和網(wǎng)絡(luò)版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網(wǎng)絡(luò)帶寬,造成網(wǎng)絡(luò)擁堵,形成拒絕服務(wù)式***(DoS)。
因此,對于新型的網(wǎng)絡(luò)蠕蟲病毒,必須在網(wǎng)關(guān)處進(jìn)行過濾,防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為當(dāng)前防病毒體系中的重中之重。
ICSA統(tǒng)計數(shù)據(jù):90%以上是通過Internet傳播的。不同于市場上其他基于軟件處理的防病毒網(wǎng)關(guān),F(xiàn)ortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網(wǎng)關(guān),可以提供高于同類產(chǎn)品數(shù)倍的防病毒性能,F(xiàn)ortiGate高端型號采用了Fortinet最新一代ASIC芯片——FortiASIC CP8,最高可以達(dá)到單臺10Gbps以上的HTTP防病毒吞吐量,均遠(yuǎn)超同類其它產(chǎn)品,對于Web瀏覽這樣的實(shí)時應(yīng)用的性能影響也微乎其微。
FortiGate目前的支持的病毒特征數(shù)量超過1500萬個,而且防病毒特征可通過Internet自動更新,每天4次的病毒庫更新頻率是業(yè)界最高標(biāo)準(zhǔn)之一,可以確保用戶在第一時間實(shí)現(xiàn)對最新型網(wǎng)絡(luò)威脅的防御。FortiGate支持手動、自動、推送式更新。其中推送式更新當(dāng)服務(wù)器上有新的特征庫時,會主動“推送”至用戶的FortiGate,響應(yīng)速度最快。
FortiGate支持啟發(fā)式掃描,對于未知病毒,可以根據(jù)其行為進(jìn)行判斷,及時將可疑的文件報告給用戶。
Fortinet公司在國內(nèi)的北京和天津成立了病毒及***防御研發(fā)中心,其中天津的研發(fā)中心與國家病毒應(yīng)急響應(yīng)中心密切合作,迅速捕獲國內(nèi)產(chǎn)生的病毒和***。這兩個研發(fā)中心共有150名以上研發(fā)人員。
2. 外部病毒防御
FortiGate可以部署在Internet和內(nèi)部網(wǎng)絡(luò)之間,既可以阻擋來自Internet的病毒、蠕蟲、***、間諜軟件、惡意軟件等,也可以防止內(nèi)部用戶向外發(fā)送這些病毒等安全威脅。
DMZ區(qū)的服務(wù)器也可使用FortiGate進(jìn)行保護(hù),防止病毒、蠕蟲、***等***Web、Email、Proxy等服務(wù)器。
FortiGate的病毒過濾針對標(biāo)準(zhǔn)協(xié)議,與應(yīng)用無關(guān)。無論用戶使用何種Email服務(wù)器和客戶端,只要使用的是標(biāo)準(zhǔn)的SMTP、POP3、IMAP協(xié)議,F(xiàn)ortiGate都可以對電子郵件中的病毒進(jìn)行過濾,防止病毒通過郵件傳播。FortiGate還支持HTTP協(xié)議和FTP協(xié)議,對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進(jìn)行攔截。在支持協(xié)議的全面性上走在了業(yè)界的前方。對于使用非標(biāo)準(zhǔn)端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中,HTTP協(xié)議不使用TCP80端口,卻使用了TCP8080端口),F(xiàn)ortiGate同樣可以對其中的病毒進(jìn)行過濾。
在協(xié)議支持的全面性上,F(xiàn)ortiGate走在了業(yè)界的前面。在FortiGate上啟用防病毒功能,對HTTP、FTP、SMTP、POP3、IMAP、MAPI等協(xié)議進(jìn)行過濾,便可將外網(wǎng)病毒傳入內(nèi)網(wǎng)的風(fēng)險降至最低。
FortiGate支持基本病毒庫和擴(kuò)展病毒庫,用戶可以針對不同協(xié)議開啟不同級別的安全保護(hù),在安全和性能之間進(jìn)行良好的平衡。
當(dāng)郵件附件中帶有病毒時,F(xiàn)ortiGate會自動插入提醒信息,通知收件人由于附件帶毒,所以被FortiGate刪除。提示信息可以由管理員自己來設(shè)置。
管理員還可以使用FortiGate對超過一定大小的文件進(jìn)行阻擋。例如管理員不希望內(nèi)網(wǎng)用戶下載電影而大量占用網(wǎng)絡(luò)帶寬,便可在FortiGate上設(shè)置,超過50M大小的文件一律阻止。
3. 內(nèi)部病毒防御
雖然目前90%以上的病毒來自于Internet,但仍然有部分病毒通過其它途徑進(jìn)入內(nèi)網(wǎng),例如光盤、U盤、文件共享、移動用戶等。而病毒進(jìn)入內(nèi)網(wǎng)后通常采用網(wǎng)絡(luò)***的方式,利用網(wǎng)絡(luò)中其它主機(jī)的安全漏洞進(jìn)行傳播,并可能導(dǎo)致DoS***。
如前圖所示,除了在Internet出口處部署FortiGate之外,還可以在內(nèi)網(wǎng)各區(qū)域(如下屬單位、部門等)之間使用FortiGate進(jìn)行隔離,防止一個區(qū)域感染的病毒擴(kuò)散到其它區(qū)域。
另一方面,F(xiàn)ortiGate安全網(wǎng)關(guān)不能僅針對HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協(xié)議進(jìn)行病毒掃描,同時還能夠基于IPS原理,識別各類蠕蟲病毒的內(nèi)網(wǎng)傳播特征,對內(nèi)網(wǎng)中的病毒傳播進(jìn)行定位和阻攔。
FortiGate的IPS功能還能限制單個IP地址產(chǎn)生的會話數(shù)量,防止蠕蟲病毒爆發(fā)時導(dǎo)致的DoS/DDoS***;還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協(xié)助防病毒功能,獲得更好的防御效果。
當(dāng)前的病毒傳播方式多種多樣,病毒、蠕蟲、***、惡意軟件、網(wǎng)絡(luò)***等的界限越來越模糊,用戶只有結(jié)合防病毒、IPS、防火墻等多項(xiàng)安全技術(shù),才能真正有效地過濾新一代病毒。
4. 病毒掃描模式
FortiGate支持兩種病毒掃描模式,分別是基于代理掃描和流掃描。
基于代理掃描
FortiGate充當(dāng)代理接管網(wǎng)絡(luò)流量,代理時對掃描的文件進(jìn)行緩存,當(dāng)文件緩存完畢后,進(jìn)行重組并執(zhí)行病毒掃描,直到掃描結(jié)束,不會發(fā)送數(shù)據(jù)到客戶端和服務(wù)器。代理掃描模式可以提供高的準(zhǔn)備率,但會帶來比較高的延時。
流掃描
文件通過FortiGate時,逐包檢查,沒有文件重組過程。如果檢測到病毒,最后一個包會被丟棄,或者連接會被reset,客戶端不會收到完整的文件。流模式因?yàn)闆]有文件緩存的過程,因此執(zhí)行效率較高,病毒掃描的延時也較小,但可能會出現(xiàn)漏報的情況。
上一篇:勒索病毒解決方案
下一篇:卡巴斯基安全解決方案