NAVGateway技術:網路安全的新理念(轉)

NAVGateway技術:網路安全的新理念(轉)[@more@]

　　防病毒型閘道器（NAV Gateway）憑藉硬體優勢，在併發會話的壓力下處理速度可以提高數十倍，維持高線速效能，因此成為發展熱點。 基於網路的防病毒，綜合防火牆、VPN（虛擬專網）和內容過濾等安全功能， 構成了網路安全新理念。在技術上，透過採用ASIC加速和專用OS來提高處理能力，使得防病毒型閘道器比閘道器型防毒軟體顯示出優越性。

　　防病毒型閘道器的含義

　　稱其為防病毒型閘道器有三層含義。 一. 它是基於網路的防病毒方法， 而不是傳統的基於主機的防病毒方法； 二.它除了防病毒功能以外， 更與防火牆、VPN 、內容掃描綜合在一起， 融合為複合型閘道器； 三. 閘道器採用硬體ASIC， 在專用平臺上實現，方能保證效能。

　　常規的防病毒軟體產品執行在客戶端，伴隨著幾個主要弱點：一. 軟體安裝在受保護系統的同一環境中，造成軟體本身對誤配置和攻擊的脆弱性； 二. 通常只能殺除本地硬碟上受病毒感染的檔案，真正的病毒源， 如郵件伺服器，並沒有得到及時處理；三. 安裝在PC機上的防病毒軟體需要精心管理，保障各主機不斷的升級，涉及到耗費大量的時間和資源。

　　防病毒型閘道器的功能

　　防病毒閘道器（NAV Gateway）安裝在兩個網路之間，在網路邊緣檢測阻擋病毒／蠕蟲， 如圖一所示。通常安裝在內部網和外部網和公網（如Internet）之間，或在單位的網路和外部合作伙伴的網路之間。 閘道器工作深入到應用層，可實時快速地監測流經閘道器的任一種方向的資料流。如果發現有病毒，則攔截並清除，同時記錄病毒日誌和向管理員告示，然後將無病毒的資料流轉發到目的地。

　　基於網路的防病毒系統的特點

　　1.系統在網路邊緣阻擋病毒。將病毒攔截於它們接近內部網伺服器和主機之前， 大大減少了主機受攻擊的風險。 閘道器能在網路邊界實施防病毒， 而不需要依賴在每一臺PC和伺服器上進行防毒保護。相比之下，基於主機的防病毒方法，檢測和殺病毒在客戶端完成。 如果某臺計算機發現病毒，說明病毒已經感染內部網的許多計算機。對於新的病毒和變種，舊的殺病毒軟體一般不能檢測和清除。 在完成給每臺計算機更新軟體前，實際給網路開了一個“脆弱的視窗”。

　　2.系統提供了一道安全防線， 使得在它後面的所有主機都受到保護。 這就減少了管理工作量， 並關閉了“脆弱的視窗”。如果出現新病毒，只需要更新防病毒閘道器特徵資料庫、閘道器的掃描演算法， 而不用更新每一個終端軟體。從而大大節省了企業的資源和使用者產品的升級和維護費用。

　　3.系統減輕了郵件伺服器的負荷， 因為受感染的郵件在達到伺服器之前就已被刪除。 這在郵件傳播蠕蟲攻擊時尤其重要, 因為它們可能產生成千上萬的資訊， 甚至堵住郵件伺服器， 阻塞網路。當前企業面臨的網路不安全因素主要源自於郵件系統、檔案下載和WEB頁面的瀏覽。作為防病毒功能，除HTTP和SMTP外，還支援POP3和IMAP等協議。

　　4.系統利用專用的平臺， 而不是標準主機。 它由ASIC加速處理，保證速率，結合使用專門的、強化安全的、不能妥協的作業系統。系統在網路中很好地定位掃描Web， 防止在常規基於主機系統中往往企圖繞過的流量。

　　防病毒型閘道器的技術基礎

　　實現防病毒閘道器的關鍵舉措有兩方面：

　　1． 實現行為和內容分析技術。

　　行為和內容分析技術是基於網路的防病毒系統的根本， 是保障高效能的基礎。 如圖二所示，它包括ASIC內容處理器和專用OS內容處理作業系統。ASIC內容處理器包括功能強大的特徵掃描引擎， 能使很大範圍型別的內容與成千上萬種病毒“特徵”、 入侵攻擊、 關鍵詞或其它模式的“特徵”相匹配。 ASIC內還包括加密加速引擎， 以支援高效能VPN加密和解密。另外， ASIC晶片包含了加速資料包頭分析（對防火牆處理和入侵檢測）的硬體引擎，以及支援流量管理的流程管理引擎。作業系統是對包處理專用的、強化安全的、實時核心最佳化的系統。它對防病毒、防火牆、VPN、NIDS提供了一個公共平臺。 它本身是封閉的系統， 不會被外來攻擊而感染。

　　2． 建立防病毒應急響應中心。

　　為了達到及時更新病毒資料庫的目的， 需要相應建立，分佈在世界多個地點。每一臺閘道器裝置保證可與兩個響應中心聯絡上，起到快速反應、更新特徵資料庫的作用。使使用者能收到分鐘級響應的資訊， 檢測和阻擋攻擊。在發現新型和變形病毒或接到通知以後，很快就能夠進行更新併發布的防病毒體制。

　　將防病毒處理效能， 兼具綜合性安全功能， 因而拉開了與閘道器型防病毒軟體的距離”。 典型產品是具有防病毒和內容過濾等安全防衛功能的高階閘道器

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·