KILL过滤网关_技术白皮书

KILL 过滤网关过滤网关 KILL Shield Gateway 技技术术白皮白皮书书 冠群金辰冠群金辰软软件有限公司件有限公司 CA Jinchen Software Co Ltd KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 2 页 共 18 页 目目录录 版权说明 Copy Right 4 文档说明 4 阅读对象 4 1 网络的安全风险和防御策略 5 互联网带来网络病毒威胁 5 更大的危害 蠕虫 5 混合型威胁 6 垃圾邮件的危害 6 网络安全的积极防御策略 7 2 KILL 过滤网关 KILL Shield Gateway 概述 8 3 保护原理 9 保护的资产 9 应用协议的完整支持 9 OSI 多层次过滤 10 简单灵活的接入 10 参考标准 11 4 主要功能 11 蠕虫过滤 11 病毒过滤 11 垃圾邮件过滤 12 内容过滤 12 5 产品特性 13 独立的硬件平台 13 专有的安全操作系统 13 国际技术 本地化开发 13 友好的中文管理界面 13 安全管理方式 14 用户权限控制 14 SMTP 认证 14 访问控制和入侵阻断 14 简单灵活的配置策略 15 实时过滤和报警 15 完整的日志 丰富的报表 15 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 3 页 共 18 页 高效的处理能力 15 资源自适应控制 16 带宽保护 16 双机容错 Spanning Tree 16 特征码自动升级 16 6 典型部署方式 17 典型部署方式 1 保护关键网络 17 典型部署方式 2 保护内部网络 17 典型部署方式 3 保护邮件系统 18 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 4 页 共 18 页 版权说明版权说明 Copy Right 版权所有 c 2002 2005 冠群金辰软件有限公司 CA JinChen Software Co Ltd 本文件中涉及的所有产品 文字描述和图片 除特别注明 版权均属冠群金辰软件有 限公司所有 受国家知识产权和版权有关法律保护 未经冠群金辰软件有限公司授权 任 何组织和个人不得以任何方式对本文件的内容进行散发 复制或引用 如果使用该文档 必须标明文档出处 文档说明文档说明 本文件对网络边界的安全风险进行了分析 提出积极防御的策略 同时 重点介绍了 KILL 过滤网关 KILL Shield Gateway 产品的功能特性 工作原理和典型应用 目的是使 企业用户能够针对网络存在的安全风险 找到有效的应对措施 此外 对于关心信息安全 的读者 本文也将提供有价值的参考 阅读对象阅读对象 期望了解网关过滤技术和 KILL 过滤网关 KILL Shield Gateway 产品功能特性的用 户 系统管理员 网络管理员 安全管理员等 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 5 页 共 18 页 1 网络的安全风险和防御策略网络的安全风险和防御策略 互联网带来网络病毒威胁互联网带来网络病毒威胁 随着计算机网络技术的飞速发展和应用 大量的计算机病毒已将网络作为其主要的传 播途径和攻击目标 其中 电子邮件 Web 方式是其最直接的传播方式 据 ICSA 的病毒 流行性调查结果 电子邮件和 Internet 互联网已成为病毒传播的绝对主要途径 由于互联网的普及 世界上任何一个角落发起的病毒传播和网络攻击事件都可能在极 短的时间内蔓延到全球 全球每年因此造成的经济损失高达几十亿到几百亿美元 对于企业和政府事业部门 带来的直接损失是数据破坏 系统异常 网络瘫痪 还有 由此造成的信誉损失 我们很可能在收发电子邮件 Internet 冲浪 文件传输的时候引入各 种威胁 只要我们与外界相连 便时刻面临着威胁 更大的危害更大的危害 蠕虫蠕虫 人们对计算机病毒已经不再陌生 几乎每一个计算机用户都品尝过被病毒侵害的苦果 计算机病毒是一段有破坏作用的程序 可以导致系统异常和数据破坏 目前公众乃至业界对计算机病毒的理解还不统一 常常将破坏性的计算机程序统称为 病毒 但严格来讲 应该根据危害事件的特点进行区别定义 这样 更有利于采用不同的 技术各个击破 随着近年来蠕虫危害的加剧 在概念和技术控制手段上加以区分就显得更 为必要 计算机病毒和蠕虫有多种定义 根据 RFC 以及 Eugene Spafford 的定义 蠕虫的特点 是 可以独立运行 并能把自身的一个包含所有功能的版本传播到另外的计算机上 而计 算机病毒则是一段代码 能把自身加到其它程序包括操作系统上 不能独立运行 需要由 它的宿主程序运行来激活 我们可以将病毒进一步细分为邮件病毒和普通计算机病毒 例 如 蠕虫蠕虫 Morris Codered Nimda SQL Slammer MS Blaster Sasser KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 6 页 共 18 页 邮件病毒邮件病毒 Mellisa Loveletter Sircam Sobig Mydoom 普通计算机病毒普通计算机病毒 CIH 蠕虫和邮件病毒的共同特征就是具有极强的传染性 设置后门程序 发动拒绝服务攻 击 DoS DDoS 等 蠕虫主要利用系统漏洞进行主动传播和攻击 电子邮件病毒主要利用 社会工程学 Social Engineering 方式进行欺骗传播 这些特点 与传统的病毒有很大不 同 从近几年发生的大范围危害事件来看 蠕虫的危害性更大 例如冲击波 震荡波 混合型威胁混合型威胁 目前网络面临的主要威胁包括 普通病毒 电子邮件病毒 蠕虫病毒 特洛伊木马 入侵攻击 以及由这些威胁导致的具有黑客性质的非法入侵行为等 混合型威胁集成了以 上各种威胁行为 以多种方式进行入侵破坏 造成的危害非常巨大 由于网络传播的快速 性 利用网络传播的混合型威胁也更加难以防范 影响的范围也更大 蠕虫是混合型威胁的典型代表 比如冲击波 蠕虫王等 它具备病毒的传播特性 可 以种植木马 利用系统漏洞进行入侵 通过拒绝服务攻击 DoS DDoS 造成网络瘫痪 我们已经不能单从防病毒角度考虑安全 而应该根据新的威胁发展趋势进行综合防范 为了应对混合型威胁 需要根据混合型威胁的不同特点 采用相应的安全控制技术分别加 以抵御 做到全面防范 垃圾邮件的危害垃圾邮件的危害 按照公安部 教育部 信息产业部 国务院新闻办公室关于垃圾电子邮件专项治理工 作的定义 垃圾邮件是指用户未主动请求或同意接收的电子刊物 电子广告和各种形式的 电子宣传品等电子邮件 没有明确发信人 发信地址 退信方法的电子邮件 含有虚假发 信源 发信地址 路由信息或收件人不存在的电子邮件 在互联网业务中 电子邮件已成为最基本的一项服务 大多数网络用户都会使用电子 邮件处理公务或进行个人交流 随着互联网用户的逐渐增多 商家 政治文化团体 犯罪 分子等通过电子邮件方式进行大量的商业宣传 政治宣传 色情传播 诈骗等活动 不管 人们是否情愿 都只能被动地接收 某些来历不明的垃圾邮件甚至很可能携带病毒 损害 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 7 页 共 18 页 用户的系统安全 垃圾邮件成为了社会公害 这已是不争的事实 垃圾邮件占用户收发电子邮件的比例 呈不断上升趋势 严重干扰了人们的正常工作和生活 已经引起人们的极大反感 同时 垃圾邮件还消耗用户的网络和邮件系统资源 用户不但要花费许多精力来识别和处理垃圾 邮件 而且还可能在思想上遭受蒙骗和侵蚀 国家政府部门已开始制定反垃圾邮件的政策法规 力求从政策 法律上起到制裁和威 慑作用 作为安全厂商 我们根据目前反垃圾邮件的迫切要求 按照垃圾邮件的特征和用 户的定义方式 从技术措施上加以控制 最大限度地控制垃圾邮件的危害 网络安全的积极防御策略网络安全的积极防御策略 传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制 面对外界的动态 攻击 即便采取一些简单控制手段加以解决 也仍然不能消除来自外界的继续攻击 短期 消灭的危害仍然会再次出现 如果形成拒绝服务攻击和分布式拒绝服务攻击 DoS DDoS 往往会造成网络堵塞或瘫痪 我们面临的威胁已不仅仅是单纯的病毒 而是更多形式的威胁 为了实现全面的控制 除了防御病毒外 还必须对蠕虫 垃圾邮件以及非法内容传播进行安全控制 一个更为有 效的控制手段是从网络边界入手 切断传播途径 进行网关级的过滤控制 这样 变被动 防御为积极主动防御 将混合型威胁 垃圾邮件等阻止在受保护网络之外 根据 IATF 信息安全技术框架 网络安全是信息安全的重要组成部分 我们按照 参 考监视器 Reference Monitor 安全模型 针对企业 政府 事业单位等拥有独立网络的 机构来构建这样一个网络安全体系 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 8 页 共 18 页 来自主体的数据流除了合法信息外 还可能有非法连接 恶意代码 非法信息 防火 墙 主要实现对连接的控制 从网络层阻挡非法连接 恶意代码过滤 对病毒 蠕虫 以及由蠕虫造成的入侵攻击等破坏行为进行控制 可以从网络层 传输层 应用层分别处 理 信息内容过滤 实现对垃圾邮件 敏感信息等非法内容的过滤 经过多种手段控制 最后保证只有合法的信息能够到达客体 根据 CERT CC 发布的关于最新入侵者攻击方式的趋势分析结果 网络攻击呈现攻击 过程自动化 攻击技术复杂化 漏洞发现的更快 以及渗透防火墙的趋势 采用蠕虫攻击 病毒扩散等混合型威胁的复杂攻击事件越来越多 这几年来多起大范围的网络安全事件 如 SQL Slammer MSBlaster Sobig MyDoom 等 都是属于这种类型的攻击 而传 统的防火墙依靠对 IP 地址 端口号来过滤数据的方式 显然不能有效地拦截住这些攻击 为了弥补防火墙的不足 过滤恶意代码和非法信息 实现全方位的边界控制 采用网 关过滤技术是非常必要的 冠群金辰的 KILL 过滤网关 KILL Shield Gateway 就是一个 同时具备恶意代码过滤和信息内容过滤功能的产品 主要针对电子邮件 互联网访问等途 径带来的混合型威胁进行安全控制 2 KILL 过滤网关 过滤网关 KILL Shield Gateway 概述 概述 KILL 过滤网关 KILL Shield Gateway 简称 KSG 是冠群金辰公司新一代网络过滤 专用设备 能够同时在网络层 传输层 应用层对病毒 蠕虫 垃圾邮件 非法内容分别 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 9 页 共 18 页 进行过滤 KILL Shield Gateway 是一个独立的硬件产品 针对通过 SMTP POP3 HTTP FTP 等协议传输的内容进行过滤处理 使有害数据无法通过邮件 Internet 访问 文件传输等方 式进入到受保护网络 KILL Shield Gateway 除了可以有效地实现电子邮件病毒过滤 内容过滤 垃圾邮件过 滤外 更重要的是可以实现蠕虫过滤 过滤静态蠕虫扩散 阻断蠕虫动态攻击 KILL Shield Gateway 独有的抗蠕虫攻击技术 Anti Worm 能够全方位抵御所有已知蠕虫病毒的 攻击和传播 可以阻断后门程序 DoS DDoS 等动态入侵攻击行为 3 保护原理保护原理 保护的资产保护的资产 由于 Kill Shield Gateway 是网关级的过滤系统 在网络的边界实施保护 因而 它实 际上保护了网络内部资源 主要包括 保护企业内部网络 相应地起到保护内部网络相关资源的作用 保护企业内部关键网段 例如 DMZ 区或关键服务器所在区域 保护企业内部邮件系统 切断病毒 蠕虫 垃圾邮件 非法内容等危害的最大来 源 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 10 页 共 18 页 应用协议的完整支持应用协议的完整支持 KILL Shield Gateway 完整地实现了对 SMTP HTTP POP3 FTP 等协议的支持 对 于其它特殊协议数据 KILL Shield Gateway 不加任何处理 使其透明通过 保证通讯数据 的完整性 由于是基于协议进行过滤的 和用户使用的 Email WWW FTP 等服务器具体 细节不直接相关 即使用户更换了新的服务器系统 KILL Shield Gateway 也无需修改或替 换 这样可以有效地保护用户的已有投资 OSI 多层次过滤多层次过滤 根据蠕虫 病毒 垃圾邮件 非法内容过滤的不同特点 KILL Shield Gateway 从 OSI 七层协议的网络层 传输层 应用层分别进行过滤处理 网络层网络层 实现了基于 IP 地址 端口号等网络层特征的过滤功能 传输层传输层 传输层恰恰是蠕虫攻击 黑客攻击数据的理想识别位置 KILL 过滤网关根据 数据包的特征 在传输层有效地拦截蠕虫攻击和动态入侵攻击数据 应用层应用层 能够对多种常用的网络协议 HTTP SMTP POP3 FTP 等 进行深度分析 并还原出的原始的传输数据 进行病毒检查 蠕虫检查 垃圾邮件处理和内容检查 简单灵活的接入简单灵活的接入 KILL Shield Gateway 的接入非常简单 主要使用透明 Bridge 模式 串联 方式接入 用户网络 透明模式接入时 用户基本不需要修改其它网络设备的配置 而且 KILL 过滤 网关是基于协议进行过滤的 和用户使用的 Email WWW FTP 等服务器具体细节不直接 相关 即使用户更换了新的服务器软件 也无需修改或替换 KILL 过滤网关 保护用户的 已有投资 KILL Shield Gateway 会自动对所有通过它的网络流量进行识别分析 过滤普通病毒 电子邮件病毒 蠕虫代码 恶意网页代码 非法内容 垃圾邮件等 同时阻击蠕虫动态攻 击行为 KILL Shield Gateway 截取网络数据进行过滤处理 将过滤后的数据传递给目的地 确保信息安全 对于蠕虫和动态攻击 KILL Shield Gateway 将其彻底阻断 使其不能扩散 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 11 页 共 18 页 此外 KILL 过滤网关也支持非透明 Router 模式 旁路并联 方式的接入 这种情况 下 主要用于对用户自身的邮件系统进行病毒过滤 参考标准参考标准 SMTP RFC821 POP3 RFC1939 HTTP RFC1945 RFC 2616 RFC 2617 FTP FTP RFC959 FTP OVER HTTP 4 主要功能主要功能 蠕虫过滤蠕虫过滤 蠕虫可以利用电子邮件 文件传输等方式进行扩散 也可以利用系统的漏洞发起动态 攻击 近几年蠕虫造成的危害越来越大 可以导致系统严重损坏和网络瘫痪 如尼姆达 Nimda 红色代码 CodeRed 蠕虫王 Slammer 冲击波 Blaster 等 根据蠕虫的特点 Kill Shield Gateway 从 OSI 的多个层次进行处理 在网络层和传输层 过滤蠕虫利用漏洞的动态攻击数据 在应用层过滤利用正常协议 SMTP HTTP POP3 FTP 等 传输的静态蠕虫代码 Kill Shield Gateway 所独有的抗蠕虫攻击技术 Anti Worm 处于国际领先地位 能够 全方位抵御所有已知蠕虫病毒的攻击 弥补了国内同类产品空白 这一技术标志着 Kill Shield Gateway 不仅可以过滤静态蠕虫代码 而且能够阻断蠕虫的动态攻击 包括所引发 的病毒传播 后门漏洞 DoS DDoS 攻击等 这样 可以实现全面防御蠕虫的目的 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 12 页 共 18 页 病毒过滤病毒过滤 这里的病毒过滤是指普通病毒 例如 CIH 邮件病毒 例如求职信 美丽杀手 爱虫 Mydoom 特洛伊木马 网页恶意代码的过滤等 对于网页浏览 HTTP 协议 文件传输 FTP 协议 邮件传输 SMTP POP3 协议 等病毒 基于专门的病毒引擎进行查杀 对邮件病毒 可以定义对病毒的处理方式 决定 清除病毒 删除附件 丢弃等操作 发现病毒时通知管理员 收件人 发件人等操作 Kill Shield Gateway 具有卓越的病毒查杀能力 能够对多种应用协议 SMTP HTTP POP3 FTP 等 所传递的数据进行病毒过滤 其反病毒引擎获得了 ICSA 国际计算机安全协会 实验室的查杀病毒认证 能够 100 地检测出目前 流行病 毒名单 上的病毒 该反病毒引擎还凭借其卓越的病毒查杀功能荣获 Virus Bulletin 病 毒公告牌 授予的 VB 100 奖 这是自 1998 年设立该奖项以来 该引擎第 19 次获得 此殊荣 垃圾邮件过滤垃圾邮件过滤 垃圾邮件过滤是 KILL Shield Gateway 的一个独立模块 采用国际先进技术 依据公安 部反垃圾邮件技术标准开发 KILL Shield Gateway 既可以将反垃圾邮件模块采用嵌入方式 进行过滤处理 也可以划分出单独的反垃圾邮件产品独立工作 垃圾邮件类型大致可以分为 邮件头部包含垃圾邮件特征的邮件 邮件内容包含垃圾 邮件特征的邮件 使用 Open Relay 主机发送的垃圾邮件 Open Relay 方式的 SMTP 邮件服 务器被利用向任何地址发送的垃圾邮件 邮件头部和内容都无法提取特征的垃圾邮件 Kill Shield Gateway 使用连接限制技术 关键字过滤技术 黑名单技术 贝叶斯智能分 析技术 对垃圾邮件进行全面高效过滤 过滤的协议支持 SMTP POP3 协议 KILL Shield Gateway 的反垃圾邮件技术按照协议特征对数据包进行分析 重组及解码 按照安全规则通过智能分析对 SMTP 连接 IP 地址 邮件地址 数据内容进行处理 KILL Shield Gateway 可以限制 IP 地址 邮件地址 邮件数量 邮件大小 对邮件标题 正文 附件 包含特定关键字的邮件进行过滤 对特定邮件头信息 邮件发送者地址 邮件接收 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 13 页 共 18 页 者地址 域名等进行过滤 支持 HELO EHLO 标志过滤 可以基于 RFC821 信封规范进行 检查 支持对伪装邮件过滤 这样 以多种过滤方式最大限度防止垃圾邮件的泛滥 内容过滤内容过滤 Kill Shield Gateway 基于 SBPH BCR Sparse Binary Polynomial Hashing Bayesian Chain Rule 技术进行内容检查 这是一种基于稀疏多项哈希和贝叶斯链的评定系统 具有高度 准确的内容识别能力 Kill Shield Gateway 支持对邮件的关键字 附件文件类型进行过滤 通过定义可信或不可信的 URL 并进行过滤 可以选择对网页脚本进行过滤 对传输的信息 进行智能识别过滤 防止敏感信息的侵扰和扩散 5 产品特性产品特性 独立的硬件平台独立的硬件平台 硬件平台不易被发现和攻击 安全性比较高 在很大程度上可以达到自我保护目的 专有的安全操作系统专有的安全操作系统 KILL Shield Gateway 采用专有的安全操作系统 比常规的商用操作系统具备更高的安 全级别 国际技术 本地化开发国际技术 本地化开发 KILL Shield Gateway 采用国际最先进的网关过滤技术 本地化开发 能够提供本地化 的技术支持和面向用户特定需求的专门定制开发 安全控制技术和策略完全符合国家信息 安全的政策 友好的中文管理界面友好的中文管理界面 KILL Shield Gateway 的配置管理采用 B S 方式 用户可使用浏览器远程查看 修改系 统配置及各项过滤策略 用户界面中文显示 界面友好 操作简单 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 14 页 共 18 页 安全管理方式安全管理方式 KILL Shield Gateway 提供 HTTPS SSH 等方式的安全管理 https 不同于 http 配置页 面传递过程经过加密 不会泄漏配置信息 如密码 SSH 远程管理方式 比 telnet 方式安 全 配置页面传递过程加密 用户权限控制用户权限控制 管理用户在第一次使用 Kill Shield Gateway 产品时 对管理用户设置自己的口令 以 后只有授权用户才可以浏览和修改 KILL Shield Gateway 的配置 SMTP 认证认证 KILL Shield Gateway 支持 SMTP 认证 认证的过程完全遵循 ESMTP 的认证协议标准 如果用户的 RELAY 邮件服务器支持并要求用户认证 可使用 KILL Shield Gateway 作 为 RELAY 服务器进行 SMTP 认证 KILL Shield Gateway 会将认证过程的数据流重新定向 给用户的 RELAY 邮件服务器 根据认证的结果来决定是否接收发信请求 如果用户的 RELAY 邮件服务器不支持 SMTP 认证 可使用 KILL Shield Gateway 的 SMTP 认证扩展模 块 将 SMTP 认证协议转变为对 POP3 用户的认证协议 这样用户就可以使用 KILL Shield KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 15 页 共 18 页 Gateway 进行发信认证了 Kill Shield Gateway 通过将邮件地址和 SMTP 认证用户进行绑定 来识别并过滤伪装邮件 阻止假冒发信人的邮件 管理员不仅可以通过配置保护企业内部网 对于出差在外的员工 也可以通过用户认 证来使用 KILL Shield Gateway 进行病毒和内容检查 垃圾邮件隔离垃圾邮件隔离 只有最终用户才有权决定一封邮件是否属于垃圾邮件 为避免过滤后丢失邮件现象的 发生 保护用户权益 我们设置了垃圾邮件隔离功能 隔离的 垃圾邮件 保存在过滤网 关的隔离区 用户在及时得到隔离邮件的通知消息后 可登录到隔离区找回需要的邮件 对不需要的邮件彻底删除 访问控制和入侵阻断访问控制和入侵阻断 KILL Shield Gateway 可以根据 IP 地址和端口号进行访问控制 还可以根据入侵特征对 动态入侵攻击进行阻断 防火墙控制策略 基于 IP 地址 TCP 端口号等网络层特征设置控制策略 入侵阻断策略 采用专门的入侵防御 IPS 规则库 启用该策略时 可以对入 侵行为进行阻断 可以体现为入侵防御系统的功能 简单灵活的配置策略简单灵活的配置策略 KILL Shield Gateway 可以根据过滤对象的不同 通过直观的管理界面灵活配置定义各 种过滤策略 例如 可以分别定义是否过滤 HTTP FTP SMTP POP3 内容 对邮件病 毒 垃圾邮件的处理方式 报警时如何通知等 配置定义十分丰富 实时过滤和报警实时过滤和报警 KILL Shield Gateway 实时过滤蠕虫 病毒 垃圾邮件 入侵攻击事件 阻止它们进入 到用户的网络 并可根据系统安全管理的记录日志并发出报警 通知发送方 接收方或管 理员 帮助管理员及时了解安全事件 掌握安全状态 KILL Shield Gateway White PaperCA JinChen Software Co Ltd 第 16 页 共 18 页 完整的日志 丰富的报表完整的日志 丰富的报表 KILL Shield Gateway 采用独立的日志和报表分析系统 提供详尽完整的过滤日志报告 还可根据这些数据生成图形化统计报表并支持数据挖掘 形象直观 帮助管理员查看 调 整相应的过滤策略 例如 病毒过滤报告 垃圾邮件报表 内容过滤报表 入侵阻断报表 等 高效的处理能力高效的处理能力 KILL Shield Gateway 构建在高性能的硬件平台上 采用高效过滤