熊猫安全网关GDP9000技术白皮书

1/21熊猫安全网关GDP9000系列技术白皮书专注边界保护的策略熊猫安全（中国）2009-082/21此文档包括的信息代表熊猫安全在讨论相关主题时的当前观点。此文档仅作信息参考。熊猫安全在此文档中没有任何保证，发布或隐含意义。遵守版权法是每个用户应尽的义务，因此未经版权允许和熊猫安全的书面授权，不得将此文档的任何部分复制，保存或引进查询系统，或者为任何目的而通过任何形式或途径（电子，机器印刷，引印，录音或其它）进行发行。熊猫安全拥有专利，专利应用程序，商标，版权及此文档中提及的有关事宜的其它知识产权。除非有熊猫安全的书面许可协议，否则您不具有这些专利，专利应用程序，商标，版权和其它知识产权的任何许可。3/21目录边界保护策略...................................................................................................................................5分层次的保护策略...........................................................................................................................7熊猫安全网关：分层次地保护.......................................................................................................8技术细节.........................................................................................................................................13抵御漏洞.........................................................................................................................................17容错系统.........................................................................................................................................20WatchDog........................................................................................................................................204/21读者对象此文档针对那些在小型，中型和大型公司中负责IT安全管理的人员。概要最新数据显示在204封电子邮件中有一封邮件包含病毒，并且99%的病毒通过SMTP邮件和HTTP网页浏览进入公司内部的。并且并非只有病毒会造成破坏。例如SQLSlammer蠕虫利用缓存溢出漏洞对SQL服务器发起拒绝服务式攻击，攻击了全世界成千上万的服务器，根据ComputerEconnomics的估计，造成的损失高达705，000，000欧元。此外，员工生产力地大大降低，不仅因为他们需要花费大量的时间判别和清除邮箱中的大量垃圾信息，还要费时对付那些不合适的或是非授权的网页内容，而这些内容如果传播出去，可能会破坏公司的形象。由于因特网产生的攻击越来越复杂，熊猫安全提出了分层次保护的策略，其中因特网关层的防护非常重要，因为99%的病毒通过该网关收发的电子邮件和所有内容访问而传入。熊猫安全网关是一个集成了软硬件的高性能设备，它在网关处提供最大程度的保护。它是您企业中为服务器和工作站提供的恶意软件防护的补充和提升，阻止病毒，垃圾邮件，非法的内容和其它因特网攻击。5/21边界保护策略最近几年，计算机病毒的入侵点不断变化，不象以前，软盘和其它可移动设备是最主要的感染方式，现在，因特网是最重要感染途径。同时，根据统计，通过因特网进入的病毒更快更危险，它们通常具有多重繁殖能力和传播方式，从而被称作“混合攻击”。由于大多数病毒通过电子邮件或因特网下载传入，因此在网关处安装防护是最基本的。然而，在企业网络中还有其它的病毒入口和传播途径，如远程笔记本或通过调制解调器与因特网的连接，即时消息，WEB邮件或POP3外部邮件帐号。由于如此众多的攻击和未被监控的入口，公司将继续受攻击，因此因特网通讯安全应该被最优先考虑。根据ComputerEconomics统计，99%的企业安装了防病毒保护。尽管如此，其中的76%近年来仍然受到过病毒的感染，并且其中50%报告受到过大规模的病毒攻击。简单地回答也许就是防病毒软件没有提供足够地防护。然后事实上答案并非如此，尽管99%公司的拥有不同的防病毒保护，但大多数情况下只防护了以下某一入侵点。防病毒软件只保护某些平台。大多数情况下，保护了工作站和服务器，但并不是所有的公司都防护因特网和邮件网关服务器。防病毒软件设置经常不够充分以对付最新的因特网攻击，如桌面计算机的实时保护被关闭，防病毒软件过期，不足的病毒特征文件更新策略以及不恰当的网关内容过滤策略。在很多公司，不少的用户组并没有应用防病毒策略，因为他们是远程用户，管理员组或只是因为没有建立策略。“对我们而言最严重的事是病毒将降低浏览因特网的速度。某一天，熊猫安全网关阻断了病毒Bugbear.B，网络速度没有下降，并且不需要网络管理员做任何事。”FIESTACANDY（西班牙），EmilioLopez,IT经理6/21感染和传播途径以下图表列出了病毒的不同入侵点，传播途径以及如何影响每一层结构。恶意软件感染和传播表，它们如何感染企业网络每一层企业网络层感染和传播途径物理连接防火墙WEB浏览服务器SMTP网关和转发群件和协作服务器应用和文件服务器工作站计算机笔记本电子邮件和群件SMTP邮件中的病毒ＹＹＹＹＹＹＹPOP3帐号中的病毒ＹＹＹＹＹ通过Outlook,Exchange和地址簿传播的电子邮件和信息蠕虫ＹＹＹＹＹＹ非法内容ＹＹＹＹＹＹＹ垃圾邮件ＹＹＹＹＹＹ漏洞通过软件漏洞传播ＹＹＹＹＹＹＹＹ过期或未激活的防病毒保护ＹＹＹＹＹＹＹＹ因特网隐藏在网页（ActiveX,Java）中的恶意代码ＹＹＹＹＹ非法内容ＹＹＹＹＹ间谍软件ＹＹＹＹＹＹ拨号器ＹＹＹＹＹ共享资源通过网络共享传播病毒，蠕虫和特洛依木马ＹＹＹＹＹ后门和其它黑客工具ＹＹＹＹＹＹＹＹ外设外部存储设置，如软盘，光盘，pendrive等ＹＹＹ图1.感染和传播途径7/21分层次的保护策略如今，100%的安全并不存在。但是，熊猫安全通过不断提升的分层次的防恶意软件保护策略尽可能地提供保护。通过保护所有层面的组织，进/出因特网连接（路由），网页浏览（代理服务器，WEB和数据库服务器），电子邮件网关（SMTP），数据存储（内部数据库服务器），内部消息（群件和协作），文件服务器和最终用户（桌面和远程用户），所有产品中尽可能多的通讯和信息交换协议，安全层面广泛，以期100%的保护。通过这种方式，对于每一层结构，熊猫提供不同的产品，针对环境进行优化（针对地因特网的熊猫安全网关，针对邮件服务器的ExchangeSecure，针对桌面计算机的ClientShield等）。每个层次所添加的防病毒保护非常有效，因此投资回报最大。这种分层次的保护策略使得病毒或其它恶意软件很难进入公司组织，因此减小了感染和传播的可能性。受保护的层面越多，企业越接近100%的安全，因为防病毒效率越高。“自从我们安装了熊猫安全网关，我们注意到进入我们网络的病毒数量显著减少。内部技术支持的事件大大减少，包括那些未被管理的工作站，我们获得了很好地保护。”SORIALOCALGOVERNMENT(西班牙),JuanCarlosGracia,IT经理8/21熊猫安全网关：分层次地保护最新的熊猫安全网关是一台高性能的专门边界保护服务器，它集成了软硬件，并且提供最简单的管理。它从因特网网关处保护客户，防护主要的因特网攻击（病毒，蠕虫，特洛依木马，垃圾邮件和不受欢迎的内容），在其它安全系统发现它们之前，阻止它们进入公司网络传播。硬件和软件的集成使得该解决方案提供优化性能。由于它被安装在网络边界，所以保护因特网网关，减小网络计算机的危险和工作负载，并且由于它是专门的解决方案，它在为其配置的任务中保证性能最大化。它为任何网络提供网关级的保护，并且不降低企业网络性能，而且也并不影响其它主要系统，如防火墙，应用程序和WEB服务器。熊猫安全网关提供三种型号以满足小型到大型的公司，最高可支持40,000台工作站以上，根据网络通讯量调节扫描容量。*测试扫描邮件为15KB信息，四分之一感染病毒。新版熊猫安全网关的主要优势是高效，功能全面，使用简单（“即插即忘”），性能高并且稳定。全面保护扫描最常用的6种协议（HTTP，FTP，SMTP，POP3，IMAP4和NNTP）。“自从我们应用了该解决方案，我们的用户可以忘了病毒。在安装它之后，不需要手动维护并且在任何时间通知您所发生的事件。熊猫安全网关给了我们全面的安心。”MUSEUMOFFINEARTSBILBAO(西班牙)CarlosDelgado.IT部门9/21高性能，对用户透明每日自动更新管理简单，‘即插即忘’反垃圾邮件网页过滤熊猫安全网关分担您网络中工作站和服务器上传统防病毒软件的负载，优化网络资源。它提供极好的性能和最高的扫描能力。它可以每秒最多扫描740封信息（SMTP通讯）和每秒1GB（HTTP通讯），对企业网络用户完全透明。病毒和垃圾邮件特征文件每90分钟时自动更新一次，扫描引擎每12小时更新一次。安装在您网络中熊猫安全网关将是最新的保护系统。与任何企业网络集成简单，不需要重新配置网络通讯。熊猫安全网关向管理员发送预警信息。通过交互式的WEB控制台，远程安全地管理它。熊猫安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。信息被扫描并且被划分成垃圾或非垃圾，在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题。这将显著地减少垃圾邮件的产生。网页过滤模块允许管理员限制因特网访问。可以定义不受欢迎内容目录，授权和非授权网页。允许管理员控制公司网络资源，并且阻断非法，黄色或暴力网站内容，或只是不受欢迎内容进入公司。可以建立VIP用户列表，这些用户不需应用上述限制。10/21内容过滤P2P和即时通讯应用限制资源占用少高扩展性和负载均衡详细报告和自定义警告阻止未知病毒和计算机蠕虫进入公司网络。此系统通过将潜在危险内容抵达网络之前进行拦截，从而减少带宽占用并且优化资源利用。限制网络中非业务流量，例如：BT，电驴下载和聊天工具等应用限制，保障网络带宽和正常业务流量。通过阻止网络资源被浪费和达到饱和，以及“即插即忘”的操作，熊猫安全网关占用极低的资源。熊猫安全网关满足所有小型，中型和大型企业，最多支持40,000台工作站，根据网络通讯总量调节扫描。其负载均衡完全自动和内建，允许负载在多台设备间共享，结果是提高了稳定性和防病毒性能。熊猫安全网关提供网络通讯和防病毒保护活动的统计。同时还提供复杂的病毒，垃圾邮件和内容过滤的报告，以及自定义警告和通知。11/21分层次的保护如今，完全保护并不存在。但是，熊猫安全通过分层次保护策略尽可能地达到，其中包括在每一个层次安装不同的产品，从而根据环境优化。（熊猫安全网关保护因特网连接，ExchangeSecure保护邮件服务器，ClientShield保护桌面等）。熊猫安全网关是公司环境中额外的屏障，它阻挡蠕虫，病毒和特洛依木马进入网络，是所安装的其它类型保护的完美补充。工作站上防病毒软件能阻止那些利用膝上型电脑，W