论文部分内容阅读
网络安全攻击手法已经变得越来越复杂,如机器狗、僵尸网络、Strom攻击、熊猫烧香等。许多大公司仍然依赖于像基本防火墙、IDS和网关设备这种陈旧的备用安全技术。但这类系统缺乏与网络的关联——它们可以发现网络基本的2~4层的信息和已知攻击,但是它们无法检查每个包或提供精度的基于策略的安全执行情况。
病毒令网络疲惫
瑞星公司研发部副总经理马杰说:“从2008年上半年的10大病毒列表可以看出机器狗、磁碟机、AV终结者等病毒,其程序的主要功能是破坏电脑保安系统,利用各种手段破坏防病毒软件,然后启用另一个主要功能。”
这类病毒会关闭大多数部署在端点的主流防病毒软件,随后会疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本和数量。下载器和盗取机密信息的木马在工作重点上有所不同,前者是手段,后者去实现入侵的目的。
而传统的终端防病毒软件利用特征码识别技术查杀病毒,这已经决定了防病毒软件在本质上是一种亡羊补牢的软件。也就是说,只有某一段代码被编制出来之后,才能判断这个代码是不是病毒,才能谈到去检测或清除这种病毒。防病毒厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。
“这使得防病毒软件对新病毒的防范始终滞后于病毒出现。面对熊猫烧香这种技术性不高,但是变种数量极其庞大的病毒来说,防病毒厂商确实显得很无奈。让网络备感疲惫,也让安全厂商疲于奔命。”马杰无奈地表示。
企业CIO在网络不断变革满足企业新业务需求的同时,还要面对网络安全远远落后于病毒传播速度的尴尬现实。光靠端点防护病毒的入侵,已经显得捉襟见肘。往往网络安全是基于一系列独立端点工具和过滤设备构成的,这些设备主要位于网络的边界处。虽然这种设备足以狙击基本的网络攻击,但是无法提供足够的集成、智能或策略执行能力。
所以,更多的企业开始选择UTM(统一威胁管理)设备,将防病毒、IPS、防火墙、反垃圾邮件等功能模块封装在一个“盒子”中。马杰说,这样有助于机构部署众多对策,而无需部署、管理和维护相应数目的独立的物理“盒子”和相应的管理控制台。
瑞星公司销售部网络事业部总经理马建军说,其实用户并不关心UTM的主要用途是防火墙还是防病毒,它们之间的区别和概念也并不重要,他们关注的只是在网关处如何确保业务安全和对攻击以及病毒的拦截。
三维体系防范网络
然而,也不能夸大一个UTM解决方案支持最初部署和运行当中的管理能力的重要性。网络厂商和防病毒厂商在对待UTM的技术思想上也有着完全不同的视角。网络厂商关注网络流量的顺畅和高可用性,防病毒厂商关注病毒的处理效果和网关的高稳定性,在用户进行选择的时候要分清。
2005年,一种被称为三维防护网络的概念,被思科和华为提出。如今,这一概念已经被翻新,不同于思科和华为所占领的网络阵营,将焦点聚集在网关处,并在UTM的基础上,关注网关的稳定性和病毒处理效果。一旦发现数据包出现异常,三维网络防护网络模型就可以为内容安全,如URL过滤、信息防泄漏和应用安全提供必要的策略。
简单来说,就是提供更智能的反病毒引擎、更快捷的安全事件响应和更全面的安全解决方案。
瑞星作為反病毒厂商,推出的UTM 瑞星RSW-9300更倾向于x86架构,使用四核双至强平台,防火墙最大的吞吐可以达到900Mbps,HTTP杀毒吞吐600MBps,并提供了4个千兆端口,因为在应用层防护病毒的效果更强,对病毒分析处理可以更加深入,在指令集处理方面有更好的优势。
此外,为了让用户获得良好的体验,瑞星防毒墙对HTTP协议进行了特殊的优化处理。在用户通过HTTP协议获取数据时,防毒墙会向用户边发送数据边对数据进行缓存,直到用户完整接收到最后一个数据包的时候,防毒墙暂时不向用户转发数据而对数据进行还原检查。当防毒墙发现病毒时,就不会将最后一个数据包转发给用户,因此避免了用户受到病毒的威胁。
马杰解释说,只有当防毒墙检查确认无毒后,才会将最后一个数据包发送给用户,这样可以确保网络的通畅。如用户在下载文件时,偶尔会在99%出现一下停顿,这也是正常情况。
据马杰介绍,这一三维防护网络系统除拥有防病毒、防火墙、防垃圾邮件、防钓鱼和防木马及间谍软件功能外,还拥有内容过滤、上网行为管理及网络监控、虚拟私人网络和入侵侦察等功能。
病毒令网络疲惫
瑞星公司研发部副总经理马杰说:“从2008年上半年的10大病毒列表可以看出机器狗、磁碟机、AV终结者等病毒,其程序的主要功能是破坏电脑保安系统,利用各种手段破坏防病毒软件,然后启用另一个主要功能。”
这类病毒会关闭大多数部署在端点的主流防病毒软件,随后会疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本和数量。下载器和盗取机密信息的木马在工作重点上有所不同,前者是手段,后者去实现入侵的目的。
而传统的终端防病毒软件利用特征码识别技术查杀病毒,这已经决定了防病毒软件在本质上是一种亡羊补牢的软件。也就是说,只有某一段代码被编制出来之后,才能判断这个代码是不是病毒,才能谈到去检测或清除这种病毒。防病毒厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。
“这使得防病毒软件对新病毒的防范始终滞后于病毒出现。面对熊猫烧香这种技术性不高,但是变种数量极其庞大的病毒来说,防病毒厂商确实显得很无奈。让网络备感疲惫,也让安全厂商疲于奔命。”马杰无奈地表示。
企业CIO在网络不断变革满足企业新业务需求的同时,还要面对网络安全远远落后于病毒传播速度的尴尬现实。光靠端点防护病毒的入侵,已经显得捉襟见肘。往往网络安全是基于一系列独立端点工具和过滤设备构成的,这些设备主要位于网络的边界处。虽然这种设备足以狙击基本的网络攻击,但是无法提供足够的集成、智能或策略执行能力。
所以,更多的企业开始选择UTM(统一威胁管理)设备,将防病毒、IPS、防火墙、反垃圾邮件等功能模块封装在一个“盒子”中。马杰说,这样有助于机构部署众多对策,而无需部署、管理和维护相应数目的独立的物理“盒子”和相应的管理控制台。
瑞星公司销售部网络事业部总经理马建军说,其实用户并不关心UTM的主要用途是防火墙还是防病毒,它们之间的区别和概念也并不重要,他们关注的只是在网关处如何确保业务安全和对攻击以及病毒的拦截。
三维体系防范网络
然而,也不能夸大一个UTM解决方案支持最初部署和运行当中的管理能力的重要性。网络厂商和防病毒厂商在对待UTM的技术思想上也有着完全不同的视角。网络厂商关注网络流量的顺畅和高可用性,防病毒厂商关注病毒的处理效果和网关的高稳定性,在用户进行选择的时候要分清。
2005年,一种被称为三维防护网络的概念,被思科和华为提出。如今,这一概念已经被翻新,不同于思科和华为所占领的网络阵营,将焦点聚集在网关处,并在UTM的基础上,关注网关的稳定性和病毒处理效果。一旦发现数据包出现异常,三维网络防护网络模型就可以为内容安全,如URL过滤、信息防泄漏和应用安全提供必要的策略。
简单来说,就是提供更智能的反病毒引擎、更快捷的安全事件响应和更全面的安全解决方案。
瑞星作為反病毒厂商,推出的UTM 瑞星RSW-9300更倾向于x86架构,使用四核双至强平台,防火墙最大的吞吐可以达到900Mbps,HTTP杀毒吞吐600MBps,并提供了4个千兆端口,因为在应用层防护病毒的效果更强,对病毒分析处理可以更加深入,在指令集处理方面有更好的优势。
此外,为了让用户获得良好的体验,瑞星防毒墙对HTTP协议进行了特殊的优化处理。在用户通过HTTP协议获取数据时,防毒墙会向用户边发送数据边对数据进行缓存,直到用户完整接收到最后一个数据包的时候,防毒墙暂时不向用户转发数据而对数据进行还原检查。当防毒墙发现病毒时,就不会将最后一个数据包转发给用户,因此避免了用户受到病毒的威胁。
马杰解释说,只有当防毒墙检查确认无毒后,才会将最后一个数据包发送给用户,这样可以确保网络的通畅。如用户在下载文件时,偶尔会在99%出现一下停顿,这也是正常情况。
据马杰介绍,这一三维防护网络系统除拥有防病毒、防火墙、防垃圾邮件、防钓鱼和防木马及间谍软件功能外,还拥有内容过滤、上网行为管理及网络监控、虚拟私人网络和入侵侦察等功能。