金山KingGate防毒墙产品白皮书
版权声明
本文件所有内容受版权保护并且归金山公司所有。未经金山公司明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。
金山及Kingsoft是金山公司的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。
金山公司不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外,金山公司保留修改本文件和本文件中所描述产品的权力。如有修改,恕不另行通知。
信息更新
本产品最新版本信息、升级信息以及相关技术文档将在金山公司www.kingsoft.com 网站上及时推出,敬请留意。
支持信息
如果希望得到关于金山公司产品的报价、产品信息以及技术支持,请查阅公司网站:www.kingsoft.com 。
面对日益复杂的企业信息应用以及日益增长的互联网业务,企业在信息防护方面已经从基本的网络层安全(通过防火墙、防黑客等产品来实现)上升到对应用层安全的要求。特别在企业连通Internet的网络通道上的应用信息安全,已经越来越成为企业的安全瓶颈。
对于企业互联网网关而言,信息防护的安全需求包括对信息访问控制、病毒防御、内容监控等方面。金山KingGate防毒墙产品的功能正是针对这些需求的。
访问控制需求
越来越多的用户从传统的办公方式转向Internet全开放的办公方式,他们对信息的获取变得更具任意性,在这样的情况下,不利的一面暴露无遗,比如:
当您试图通过Internet获取自己所需的信息时,您将面临一些未知可疑的数据对你造成影响甚至威胁到您网络中的其他访问者。
当您的网络在日益壮大的过程中,是否有对信息访问者加以控制,授权访问者对授权数据进行访问,防止泛滥访问数据,降低工作效率。
当您的企业业务发展了,需要根据企业业务需要将具有相同属性的访问者分为相同类或组,访问控制技术将实现您的目标。
病毒防护需求
瞬息万变的信息化时代,病毒事件如走马灯般在新世纪的舞台上一出出上演。病毒、黑客在不经意中与企业不期而遇,随后便是与企业网络安全防护系统之间的一场殊死搏斗。针锋相对的较量之后,许多企业面对巨大的损失不得不承认自己的网络防护系统成为了失败者。面对惨痛的代价,他们才开始充分地、真正地意识到网络安全的重要性。问题是,如何去建设网络安全防护系统?
纵观病毒的发展史,90年代初,绝大多数病毒的传播途径是磁盘,因而这一时期的病毒破坏力大多局限于某个区域的范围,传播的速度也相对较慢。多数企业偏好使用本地防毒软件,因为它们获取病毒样本,寻找解决方案的速度会比国际大厂商来的迅速。然而,当今病毒传播的方式已经完全改变,根据ICSA统计报告,磁盘传播的病毒仅仅占1%,93%来自email,2%来自Internet的下载,另有4%来自其它途径。一只源自美国的病毒可在24小时内散播至全球,若遇上类似Nimda之类的多重渠道感染的黑客型病毒,1-5分钟就可遍及全球。因此,如何在最短时间内取得病毒样本、分析并找出解决方案,愈发显得刻不容缓。随着全球经济运行对互联网的依赖,企业同时也面对着日趋升温的病毒和黑客的侵扰,越来越多的企业考虑通过构建网络安全系统从整体上对企业的网络实行更为有效的多重防护。ICSA 2006年的数据表明,99%的病毒都是通过SMTP或HTTP进入用户的计算机的,全球因此造成的经济损失达到了129亿美元。由此,采用在Internet入口就封杀“毒源”的高效益的网关防毒产品已成为企业的网络管理员的迫切需求,同时这种需求也将成为防病毒软件市场新的增长点。
根据IDC的报告,从2001年起到2006年,世界网络安全市场加速发展,营销额年增长率可达23%,到2006年,收入已超过200亿美元。从2002年中国的网络安全市场来看,总的市场规模达到50多亿元,呈高速增长状态。在一项有关2003年安全开支准备的调查中,调查对象79%的人表示,他们所在的机构将在防火墙硬件和软件上进行投资,网关防病毒产品被排在第二的位置。
那么,企业为什么对网关防病毒产品有如此大的需求呢?
首先,传统的防病毒软件无法抵御类似于SQLSlammer的新型蠕虫的功击,如果工作站上的防病毒软件未及时更新或被禁用了,那么病毒仍然有机会感染工作站。网关防毒产品在企业网络的入口提供了简单的“即插即用”式的保护,病毒在进入网络之前被直接拦截,同时也避免了由于病毒入侵到服务器和工作站所引起的一系列的典型问题,为企业网络提供了一个边界保护层。
其次,在病毒传播事件中(就像以前LoveLetter、Nimda、Klez和SQLSlammer所引起的),邮件服务器可能会由于超负荷而宕机或拒绝服务,或者是仅仅因为害怕被感染而关机。网关防毒是唯一的一种能够减小这种风险的解决方案,因为它可以避免由于病毒传播而对邮件服务器造成的额外负载(记住,99%的病毒通过email传播的)。
再次,从采用与防火墙集成的防病毒软件和采用网关防毒两种方案的对比来看,硬件防毒墙能够拦截操作系统和应用软件安全漏洞的新型蠕虫(如SQLSlammer),而传统的与防火墙集成的防病毒软件是无法检测和清除该类蠕虫的;在新病毒的传播事件中,一台集成了防病毒软件的防火墙将消耗其大部分的资源用于拦截病毒,而将它的主要任务――防止网络攻击放在了从属的地位;从效益来看,安装与防火墙集成的防病毒软件需要一笔重大的投资,并牵涉到改变防火墙的安全规则和改变边界网络的配置。
设计思想
金山KingGate防毒墙针对网络病毒防御而设计,在从网络层到应用层进行全面病毒扫描和查杀,将病毒拒绝于网络之外,最大限度降低网络内病毒防御的压力。金山公司充分考虑了企业网络环境和用户的多样需求。金山KingGate防毒墙的总体设计原则体:
设计原则
为了适应企业的各种网络环境,在实施安装上为客户提供最大的方便性,金山KingGate防毒墙采用NAT、路由、透明网桥模式的网络结构设计。采用透明网桥模式能够将金山KingGate防毒墙无缝接入用户网络,如:将防毒墙放在防火墙或路由器后面,或者放在子网和主干网络的连接处等。选择网桥模式实施时不需要对网络结构做任何改变,更不需要改变PC的任何网络配置。对于需要网关防护的企业,在实施金山KingGate防毒墙时,可以使用路由模式或NAT模式。
金山KingGate防毒墙采用模块化的设计方式。网关防毒完全独立防火墙,金山KingGate防毒墙能够根据用户的需求来配置。
金山KingGate防毒墙的防火墙防护、病毒防护采用动态特征码方法识别最新的安全威胁,用户无需担心,金山KingGate防毒墙会自动及时的从安全服务器上获取最新的特征码库。
金山KingGate防毒墙采用基于WEBGUI的管理方法设计,为用户提供了方便的管理手段。同时,金山KingGate防毒墙在产品设计时,充分考虑了系统报告、报表对用户的重要性,用户通过Web界面就能浏览详尽的图形化统计数据并且能导出数据。
产品综述
金山KingGate防毒墙是一个软硬件相结合的安全系统,通过系统智能集成的防火墙、病毒防护提供服务。突出特点为公共框架共享,使得用户可以根据自身需求灵活的选取产品的功能配置。
防火墙
金山KingGate防毒墙提供的防火墙功能适用于企业、政府以及学校等各个行业的用户,帮助客户在网关位置或子网间建立访问控制的屏障,用户可以根据防火墙的功能创建多样性的安全策略。防火墙具体功能如下:
工作模式
金山KingGate防毒墙的防火墙充分考虑到用户网络的多样性、复杂性,用户使用水平的参差不齐,因此产品功能做到通俗易懂、使用方便。支持:NAT、路由、透明网桥模式。用户可以根据自身需求实现基于一对一的NAT、一对多的NAT、多对一的NAT;支持常用的PPPOE、DHCP Client、静态IP多种外线连接方式。
链路支持
金山KingGate防毒墙的防火墙在NAT、路由默认情况下,启用一个WAN;用户可以根据自身需求创建多WAN接口,并可根据防火墙的Session、访问控制、策略路由创建基于多WAN的规则。
链路负载均衡
金山KingGate防毒墙的防火墙如果启用了多WAN的情况下,在防火墙规则、策略路由许可的情况下,系统根据流量状态可配置或自动决定选择WAN的出口,达到负载均衡。
链路冗余备份
金山KingGate防毒墙的防火墙如果启用了多WAN的情况下,在防火墙规则、策略路由许可的情况下,如因部分链路中断,系统自动将断网用户分配到链路可到达的WAN上,确保业务的顺利进行。
策略路由
金山KingGate防毒墙的防火墙无论在简单网络还是复杂网络,路由可配。在单一子网和多子网的静态路由、RIP、OSPF以及与三层设备间的路由配置。在启用多WAN的网络中,配置策略路由,用户可以根据数据访问的入口、访问源地址(主机地址、网络地址、任何地址)、访问的出口、访问目标地址(主机地址、网络地址、任何地址)实施策略路由。
访问控制
金山KingGate防毒墙的防火墙采用基于对象的管理方式,用户可以建立地址组策略、服务组策略、时间组策略,达到灵活的管理。用户可以根据自身需求创建细腻的访问控制策略。
用户认证
金山KingGate防毒墙的防火墙用户认证可以运行在网关、网桥的模式下,通过在系统上建立的本地帐号,达到对用户访问外部网络的控制。用户可以创建单一的本地帐号,也可以根据IP或MAC地址进行免认证。
入侵检测
金山KingGate防毒墙的防火墙内置基于状态检测的特征码,根据攻击的特征模式对网络报文进行匹配。通过与定义的入侵检测规则库进行匹配,发现潜在的攻击,对其进行拦截。
金山KingGate防毒墙的防火墙内置基于协议异常分析检测技术,针对网络协议自身的缺陷,利用网络协议的有序性,发现异常的序列。大大提高了入侵检测的准确度。
金山KingGate防毒墙的防火墙内置基于流量异常分析检测技术,通过网络流量分类统计的方法对被保护网络的流量进行检测,超过定义阀值的流量将被认为是非法流量。
攻击防范
支持强大的防御攻击功能,提供DoS/Ddos、Land、Franggle、WinNuke 、Ping of Death 、IP Spoofing 、SYS Flood、ICMP? Flood 、UDP Flood、ARP 欺骗等恶性攻击,确保内部网络安全。
其他功能
金山KingGate防毒墙的防火墙提供DHCP Server功能、IP与MAC地址绑定、批量IP与MAC地址绑定。
网关防毒
防护协议
金山KingGate防毒墙的网关防毒支持对通用的Internet协议进行病毒扫描。目前,支持的协议包括:HTTP、POP3、SMTP、IMAP、FTP、ESMTP和NETBIOS。在网关处对这些协议的病毒扫描,为企业内部提供了强有力的病毒防护。
自动更新
金山KingGate防毒墙的网关防毒每天自动更新病毒库和扫描引擎,及时获取最新的病毒引擎和病毒特征码库,从而能够在最快的时间内为用户提供第一时间的病毒防范。系统提供了多种升级的方法:系统自动更新、手动更新、离线更新。
病毒扫描
为了提高病毒扫描效率,金山KingGate防毒墙的病毒过滤提供给客户进行扫描配置的选项,允许产品对相关的文件类型不进行扫描,同时对某些文件类型自动清除,这样提高了病毒扫描的速度。
在线杀毒
金山KingGate防毒墙的病毒过滤在提供基于协议的网关防毒的同时,还提供先进的在线杀毒功能,帮助最终用户对其桌面PC或者服务器进行进行全面的病毒查杀,从而将从其他途径进入到网络内部的病毒进行清除,确保了内部网络的安全性。
病毒警告
金山KingGate防毒墙的网关防毒为用户网络提供保护后,当检测到病毒时,将以警告的方式第一时间提示用户。用户可以选择发送警告、不发送警告、批量发送警告。如:用户访问HTTP网页检测到病毒,将在用户的浏览窗口直接提示用户,并且目的网址不可到达。
带宽管理
金山KingGate防毒墙提供采用深度检测技术和行为分析技术,可提供按地址组、时间段、协议组方法进行流量分配。同时,提供多级带宽管理,目前定义三级;提供最大带宽控制、最小带宽保障。
即时通讯控制
MSN控制
金山KingGate防毒墙针对MSN可能带来的信息泄漏隐患,提供了基于MSN的过滤功能。采用MSN透明代理的方式,金山KingGate防毒墙能够在保证内部终端用户正常使用MSN的同时,对通过MSN 发送的信息进行监控和过滤,同时能够阻止用户通过MSN发送文件。对于MSN通讯,用户可以设置基于IP地址的黑白名单。对于在黑名单上的用户,使用MSN将被禁止,所有来自于这个用户的MSN通讯将被拦截。对于在白名单上的用户,MSN 通讯将不会被过滤和记录。
QQ控制
金山KingGate防毒墙针对QQ的管理,监控QQ上线/下线时间、IP、帐号、登陆状态。
金山KingGate防毒墙记录QQ的聊天内容,金山公司在在桌面端提供QQ代理程序,通过代理程序对QQ聊天过程中的信息进行采集,代理程序与系统进行联动,在系统上显示QQ的聊天内容。
P2P控制
金山KingGate防毒墙针对P2P的管理,采用基于对象的方式实现,通过动态特征码技术识别P2P应用,同时通过流量控制方式进一步控制P2P软件。目前,支持QQLive、PPLive、PPStream、QVOD、沸点网络电视、POCO等控制,支持对BT、电驴、迅雷、超级旋风、跑跑卡丁车等的控制。
内容监控
金山KingGate防毒墙的内容监控指在将经过系统过滤后的内容实时呈报给用户,让用户在第一时间知道网络发生的事件。
网页内容
金山KingGate防毒墙的内容监控对网络内访问网页内容的监控,在默认情况下,可以将所有访问者的访问内部全部记录,包括访问时间、IP地址、MAC地址、用户名、URL、网关ID号、内容大小、内容恢复和还原。用户可选择保存监控内容、不保存监控内容、部分保存监控内容。
金山KingGate防毒墙的内容监控在监控的过程中,监控网页的病毒检测情况,记录/显示病毒网页的访问时间、IP地址、MAC地址、用户名、URL、日志类型、病毒名称、网关ID、内容大小
病毒定位,根据系统记录的病毒信息,可根据IP地址、用户名、MAC地址快速定位病毒的访问的发生位置。
FTP内容
金山KingGate防毒墙的内容监控基于在FTP传输过程中监控所有访问者的传输内容是否感染病毒,包括传输的时间、IP地址、MAC地址、用户名、帐号、文件名、文件路径、文件大小、FTP服务器IP、网关ID,并且记录/显示病毒的名称。
邮件内容
金山KingGate防毒墙的内容监控对邮件内容的监控,在默认情况下,自动监控病毒邮件,可以将所有访问者的访问内容记录,包括收发时间、IP地址、MAC地址、用户名、收件人地址、发件人地址、主体、邮件内容、邮件大小、网关ID号。可以对邮件内容进行查看还原。
金山KingGate防毒墙的邮件内容监控,对经过系统的每一封邮件进行深度的病毒检测,当检测邮件感染病毒后,在系统记录/显示,有件的收发时间、IP、MAC地址、用户名、用户名、收件人地址、发件人地址、主体、邮件内容、邮件大小、病毒名称、网关ID号。并对病毒邮件内容还原。
流量内容
金山KingGate防毒墙的内容监控针对网络的IP和网络服务,实时监控当前网络的流量的排名,根据IP、网络服务方式显示,可根据IP显示当前TOP N、可根据网络服务如:HTTP、FTP、SMTP、POP3、netbios、UDP、其他进行统计显示。可根据天、周、月进行流量汇总。
其他内容
金山KingGate防毒墙的内容监控还可监控常用游戏、访问控制行为,通过防火墙的规则启用,可以将访问的时间、源IP、源端口、服务、目标IP、目标端口、动作记录,便于分析经过系统的应用。
系统管理
金山KingGate防毒墙提供多种管理方法,如:WEBGUI、SSH、Console,供不同的用户使用。
金山KingGate防毒墙提供图形化的报表、报告,灵活的查询方式,供不同级别的用户管理,以便最快获取需要的内容。
金山KingGate防毒墙提供大容量的存储介质,保存监控的内容。用户根据实际需要可以对保存内容进行导出、数据迁移,可以将记录以XLS方式导出。
金山KingGate防毒墙监管对系统进行操作的所有记录,如:登录时间、帐号、配置更新。
金山KingGate防毒墙是针对企业网关信息过滤需求设计。针对用户的网络的特点,金山KingGate防毒墙在应用时有两种应用方案:
网关模式:金山KingGate防毒墙提供多个网络接口负责不同子网。LAN:定义为内网;WAN:定义为外网;DMZ定义为非军事管理区。在这种模式下,客户可以定义多个LAN、多个WAN、多个DMZ,详细情况因客户选择型号的不同,接口的数量也不同。对被保护的网络进行全面过滤。
网关模式下防毒部署
网桥模式:金山KingGate防毒墙提供在网桥下,提供内网和外网的的定义,内网、外网接口的选择可以由用户自由选择。内网口和外网口连接的是同一网段的两个部分。管理用户需要为金山KingGate防毒墙配置一个网桥IP。这个IP也是属于金山KingGate防毒墙连接的这个网段的。通常情况下,被部署在防火墙或者路由器的后面。
透明网桥下多子网防毒部署
病毒过滤优异
金山KingGate防毒墙在病毒过滤方面,提供了卓越的病毒扫描引擎和优秀的算法,在同类产品中性能卓越。
病毒引擎/特征码库自动更新
金山KingGate防毒墙充分考虑到用户的维护方便,病毒引擎/特征码库自动从金山公司安全服务器上自动更新,并且记录升级的行为,用户无须手动更新。
全天候病毒防护
金山KingGate防毒墙在系统启用的状态下,实时对经过系统的数据进行病毒扫描,无一例外,为用户筑起一道安全屏障。
运维简单
金山KingGate防毒墙在实施/运维十分简单。采用通用/人性化的WEBGUI管理方式,配置一目了然。灵活多样的报表,帮助管理者了解网络运行情况。
