相比UTM、防毒墙等概念,用户关注的只是网关处如何确保网络安全以及对病毒攻击的拦截。
有一天,在一家大型外企工作的小王,利用午休空挡通过MSN将一个名为Dancing Skeleton的游戏小程序传给朋友分享,当消息发过去后,屏幕上却跳出一个恶意网页的警告窗口。
事后,该企业CIO分析得出,这其实是一个利用节庆活动作为掩饰的攻击程序,用户一旦浏览该网页即会自动下载执行,且无法察觉已遭攻击。至于为什么能够成功抵御这种风险,他解释说,这主要是部署在企业网关处的UTM(统一威胁管理)发挥了作用。
对于网络安全而言,终端的防毒软件就像维护普通治安的警察,网关处的UTM则是抵御外来风险的边防驻守。
UTM驻守
从2008年上半年的十大病毒列表可以看出,“机器狗”、“磁碟机”、“AV终结者”等病毒的主要特性在于破坏电脑的“保安”系统,利用各种手段破坏用户终端的防病毒软件,然后疯狂下载各种木马,从而实施各种形式的攻击破坏。
瑞星公司研发部副总经理马杰表示,这使得防病毒软件对新病毒的防范始终滞后于病毒的出现,在面对熊猫烧香这种技术性不高,但变种数量极其庞大的病毒时,不仅用户倍感煎熬,防病毒厂商也是疲于奔命。
以上述外企为例。在网关端防毒系统的报表数据中,一个月内,网关端便阻拦了超过52万件违例事件,包括不符合企业网站浏览规范如链接游戏网站、股票网站等,平均每天超过1.7万件,换算到每小时则至少有708件。
也就是说,网关端平均每分钟所阻止的各种违例事件高达12件,试想,如果把这些任务都转交给客户端的防毒软件,其结果可想而知。
因此,对于企业的整体网络安全而言,如果仅凭端点防护病毒的入侵,已经显得有些“力不从心”。事实上,网络安全是基于一系列独立端点工具和过滤设备共同构成,它们主要位于网络的边界处,虽然这些设备足以阻击基本的网络攻击,但却无法提供足够的集成、智能或策略执行能力。
对此,更多企业开始把目光投向了UTM(统一威胁管理)。它将防病毒、IPS、防火墙、反垃圾邮件等功能模块封装成一个“盒子”。在马杰看来,这样有助于机构部署众多对策,而无需部署、管理和维护相应数据的独立的、物理的“盒子”和相应的管理控制台。
智能化反病毒引擎
虽然UTM集合了多种功能模块,可以在网关处对网络安全实施整体的应对防护。但在用户看来,无论UTM是侧重于防火墙还是防毒墙,这些概念上的区别并不重要,他们关注的只是网关处如何确保网络安全以及对病毒攻击的拦截。
曾经,思科和华为提出了一种三维防护网络的概念,如今,反病毒厂商瑞星又对其做了更新。与思科等网络厂商注重网络流量的顺畅和高可用性不同,瑞星将焦点聚集到网关处,在UTM的基础上,关注网关的稳定性和病毒处理的效果。
一旦发现数据包出现异常,三维网络防护模型就可以为内容安全,如URL过滤、信息防泄露和应用安全提供必要的策略。其实,瑞星就是试图提供更加智能的反病毒引擎、更快捷的安全事件响应和更全面的反安全解决方案。
以瑞星最新推出的RSW-9300为例,这种倾向于X86架构的UTM,使用了四核双至强平台,防火墙最大的吞吐量可达到900Mbps,HTTP杀毒吞吐则为600MBps,并提供了4个千兆端口。
值得一提的是,它对HTTP协议进行了特殊的优化处理。在用户通过HTTP协议获取数据时,防毒墙会向用户端发送数据并对数据实施缓存,直到用户完整接收到最后一个数据包时,防毒墙会暂时不向用户转发数据,而是对数据进行还原检查,当防毒墙发现病毒时,立刻就将停止最后一个数据包的转发,从而避免用户遭遇病毒威胁。
