KILL过滤网关_技术白皮书

1、KILL Shield Gateway White PaperCA-JinChen Software Co.,Ltd.KILL过滤网关（KILL Shield Gateway）技术白皮书冠群金辰软件有限公司CA-Jinchen Software Co.,Ltd目录版权说明 - Copy Right4文档说明4阅读对象41.网络的安全风险和防御策略5互联网带来网络病毒威胁5更大的危害 - 蠕虫5混合型威胁6垃圾邮件的危害6网络安全的积极防御策略72.KILL过滤网关（KILL Shield Gateway）概述83.保护原理9保护的资产9应用协议的完整支持9OSI多层次过滤10简单灵活的接入10

2、参考标准114.主要功能11蠕虫过滤11病毒过滤11垃圾邮件过滤12内容过滤125.产品特性13独立的硬件平台13专有的安全操作系统13国际技术、本地化开发13友好的中文管理界面13安全管理方式14用户权限控制14SMTP认证14访问控制和入侵阻断14简单灵活的配置策略15实时过滤和报警15完整的日志、丰富的报表15高效的处理能力15资源自适应控制16带宽保护16双机容错（Spanning Tree）16特征码自动升级166.典型部署方式17典型部署方式1 - 保护关键网络17典型部署方式2 - 保护内部网络17典型部署方式3 - 保护邮件系统18版权说明 - Copy Right版权所有 (

3、c) 2002-2005，冠群金辰软件有限公司（CA-JinChen Software Co.,Ltd）。本文件中涉及的所有产品、文字描述和图片，除特别注明，版权均属冠群金辰软件有限公司所有，受国家知识产权和版权有关法律保护。未经冠群金辰软件有限公司授权，任何组织和个人不得以任何方式对本文件的内容进行散发、复制或引用。如果使用该文档，必须标明文档出处。文档说明本文件对网络边界的安全风险进行了分析，提出积极防御的策略。同时，重点介绍了KILL过滤网关（KILL Shield Gateway）产品的功能特性、工作原理和典型应用，目的是使企业用户能够针对网络存在的安全风险，找到有效的应对措

4、施。此外，对于关心信息安全的读者，本文也将提供有价值的参考。阅读对象期望了解网关过滤技术和KILL过滤网关（KILL Shield Gateway）产品功能特性的用户、系统管理员、网络管理员、安全管理员等。1. 网络的安全风险和防御策略互联网带来网络病毒威胁随着计算机网络技术的飞速发展和应用，大量的计算机病毒已将网络作为其主要的传播途径和攻击目标。其中，电子邮件、Web方式是其最直接的传播方式。据ICSA的病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。由于互联网的普及，世界上任何一个角落发起的病毒传播和网络攻击事件都可能在极短的时间内蔓延到全球，全球每年因此

5、造成的经济损失高达几十亿到几百亿美元。对于企业和政府事业部门，带来的直接损失是数据破坏、系统异常、网络瘫痪，还有由此造成的信誉损失。我们很可能在收发电子邮件、Internet冲浪、文件传输的时候引入各种威胁。只要我们与外界相连，便时刻面临着威胁。更大的危害 - 蠕虫人们对计算机病毒已经不再陌生，几乎每一个计算机用户都品尝过被病毒侵害的苦果。计算机病毒是一段有破坏作用的程序，可以导致系统异常和数据破坏。目前公众乃至业界对计算机病毒的理解还不统一，常常将破坏性的计算机程序统称为病毒。但严格来讲，应该根据危害事件的特点进行区别定义，这样，更有利于采用不同的技术各个击破。随着近年来蠕虫危害的加剧，在概

6、念和技术控制手段上加以区分就显得更为必要。计算机病毒和蠕虫有多种定义。根据RFC以及Eugene Spafford的定义，蠕虫的特点是：可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。而计算机病毒则是一段代码，能把自身加到其它程序包括操作系统上，不能独立运行，需要由它的宿主程序运行来激活。我们可以将病毒进一步细分为邮件病毒和普通计算机病毒。例如：蠕虫：Morris，Codered，Nimda，SQL Slammer，MS Blaster，Sasser；邮件病毒：Mellisa，Loveletter，Sircam，Sobig，Mydoom；普通计算机病毒：CIH。蠕虫和邮件

7、病毒的共同特征就是具有极强的传染性、设置后门程序、发动拒绝服务攻击（DoS/DDoS）等。蠕虫主要利用系统漏洞进行主动传播和攻击，电子邮件病毒主要利用社会工程学（Social Engineering）方式进行欺骗传播。这些特点，与传统的病毒有很大不同。从近几年发生的大范围危害事件来看，蠕虫的危害性更大（例如冲击波、震荡波）。混合型威胁目前网络面临的主要威胁包括：普通病毒、电子邮件病毒、蠕虫病毒、特洛伊木马、入侵攻击、以及由这些威胁导致的具有黑客性质的非法入侵行为等。混合型威胁集成了以上各种威胁行为，以多种方式进行入侵破坏，造成的危害非常巨大。由于网络传播的快速性，利用网络传播的混合型威胁也更加

8、难以防范，影响的范围也更大。蠕虫是混合型威胁的典型代表（比如冲击波、蠕虫王等），它具备病毒的传播特性，可以种植木马，利用系统漏洞进行入侵，通过拒绝服务攻击（DoS/DDoS）造成网络瘫痪。我们已经不能单从防病毒角度考虑安全，而应该根据新的威胁发展趋势进行综合防范。为了应对混合型威胁，需要根据混合型威胁的不同特点，采用相应的安全控制技术分别加以抵御，做到全面防范。垃圾邮件的危害按照公安部、教育部、信息产业部、国务院新闻办公室关于垃圾电子邮件专项治理工作的定义，垃圾邮件是指用户未主动请求或同意接收的电子刊物、电子广告和各种形式的电子宣传品等电子邮件，没有明确发信人、发信地址、退信方法的电子邮件，含

9、有虚假发信源、发信地址、路由信息或收件人不存在的电子邮件。在互联网业务中，电子邮件已成为最基本的一项服务。大多数网络用户都会使用电子邮件处理公务或进行个人交流。随着互联网用户的逐渐增多，商家、政治文化团体、犯罪分子等通过电子邮件方式进行大量的商业宣传、政治宣传、色情传播、诈骗等活动，不管人们是否情愿，都只能被动地接收。某些来历不明的垃圾邮件甚至很可能携带病毒，损害用户的系统安全。垃圾邮件成为了社会公害，这已是不争的事实。垃圾邮件占用户收发电子邮件的比例呈不断上升趋势，严重干扰了人们的正常工作和生活，已经引起人们的极大反感。同时，垃圾邮件还消耗用户的网络和邮件系统资源。用户不但要花费许多精力来识

10、别和处理垃圾邮件，而且还可能在思想上遭受蒙骗和侵蚀。国家政府部门已开始制定反垃圾邮件的政策法规，力求从政策、法律上起到制裁和威慑作用。作为安全厂商，我们根据目前反垃圾邮件的迫切要求，按照垃圾邮件的特征和用户的定义方式，从技术措施上加以控制，最大限度地控制垃圾邮件的危害。网络安全的积极防御策略传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制。面对外界的动态攻击，即便采取一些简单控制手段加以解决，也仍然不能消除来自外界的继续攻击，短期消灭的危害仍然会再次出现。如果形成拒绝服务攻击和分布式拒绝服务攻击（DoS/DDoS），往往会造成网络堵塞或瘫痪。我们面临的威胁已不仅仅是单纯的病毒，而是更

11、多形式的威胁。为了实现全面的控制，除了防御病毒外，还必须对蠕虫、垃圾邮件以及非法内容传播进行安全控制。一个更为有效的控制手段是从网络边界入手，切断传播途径，进行网关级的过滤控制。这样，变被动防御为积极主动防御，将混合型威胁、垃圾邮件等阻止在受保护网络之外。根据IATF信息安全技术框架，网络安全是信息安全的重要组成部分。我们按照 “参考监视器”（Reference Monitor）安全模型，针对企业、政府、事业单位等拥有独立网络的机构来构建这样一个网络安全体系： 来自主体的数据流除了合法信息外，还可能有非法连接、恶意代码、非法信息。“防火墙”主要实现对连接的控制，从网络层阻挡非法连接；“恶意代码

12、过滤”对病毒、蠕虫、以及由蠕虫造成的入侵攻击等破坏行为进行控制，可以从网络层、传输层、应用层分别处理；“信息内容过滤”实现对垃圾邮件、敏感信息等非法内容的过滤。经过多种手段控制，最后保证只有合法的信息能够到达客体。根据CERT CC发布的关于最新入侵者攻击方式的趋势分析结果，网络攻击呈现攻击过程自动化、攻击技术复杂化、漏洞发现的更快、以及渗透防火墙的趋势。采用蠕虫攻击、病毒扩散等混合型威胁的复杂攻击事件越来越多。这几年来多起大范围的网络安全事件（如：SQL Slammer、MSBlaster、Sobig、MyDoom等），都是属于这种类型的攻击。而传统的防火墙依靠对IP 地址、端口号来过滤数据

13、的方式，显然不能有效地拦截住这些攻击。为了弥补防火墙的不足，过滤恶意代码和非法信息，实现全方位的边界控制，采用网关过滤技术是非常必要的。冠群金辰的KILL过滤网关（KILL Shield Gateway）就是一个同时具备恶意代码过滤和信息内容过滤功能的产品，主要针对电子邮件、互联网访问等途径带来的混合型威胁进行安全控制。2. KILL过滤网关（KILL Shield Gateway）概述KILL过滤网关（KILL Shield Gateway，简称KSG）是冠群金辰公司新一代网络过滤专用设备，能够同时在网络层、传输层、应用层对病毒、蠕虫、垃圾邮件、非法内容分别进行过滤。KILL Shield

14、Gateway是一个独立的硬件产品，针对通过SMTP、POP3、HTTP、FTP等协议传输的内容进行过滤处理，使有害数据无法通过邮件、Internet访问、文件传输等方式进入到受保护网络。KILL Shield Gateway除了可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤外，更重要的是可以实现蠕虫过滤（过滤静态蠕虫扩散、阻断蠕虫动态攻击）。KILL Shield Gateway独有的抗蠕虫攻击技术（Anti-Worm）能够全方位抵御所有已知蠕虫病毒的攻击和传播，可以阻断后门程序、DoS/DDoS等动态入侵攻击行为。3. 保护原理保护的资产由于Kill Shield Gateway是

15、网关级的过滤系统，在网络的边界实施保护，因而，它实际上保护了网络内部资源。主要包括： 保护企业内部网络，相应地起到保护内部网络相关资源的作用。 保护企业内部关键网段，例如DMZ区或关键服务器所在区域。 保护企业内部邮件系统，切断病毒、蠕虫、垃圾邮件、非法内容等危害的最大来源。应用协议的完整支持KILL Shield Gateway完整地实现了对SMTP、HTTP、POP3、FTP等协议的支持。对于其它特殊协议数据，KILL Shield Gateway不加任何处理，使其透明通过，保证通讯数据的完整性。由于是基于协议进行过滤的，和用户使用的Email、WWW、FTP等服务器具体细节不直接相关。即

16、使用户更换了新的服务器系统，KILL Shield Gateway也无需修改或替换，这样可以有效地保护用户的已有投资。OSI多层次过滤根据蠕虫、病毒、垃圾邮件、非法内容过滤的不同特点，KILL Shield Gateway从OSI七层协议的网络层、传输层、应用层分别进行过滤处理。网络层：实现了基于IP地址、端口号等网络层特征的过滤功能。传输层：传输层恰恰是蠕虫攻击、黑客攻击数据的理想识别位置，KILL过滤网关根据数据包的特征，在传输层有效地拦截蠕虫攻击和动态入侵攻击数据。应用层：能够对多种常用的网络协议（HTTP、SMTP、POP3、FTP等）进行深度分析并还原出的原始的传输数据，进行病毒检查

17、、蠕虫检查、垃圾邮件处理和内容检查。简单灵活的接入KILL Shield Gateway的接入非常简单，主要使用透明（Bridge模式，串联）方式接入用户网络。透明模式接入时，用户基本不需要修改其它网络设备的配置，而且，KILL过滤网关是基于协议进行过滤的，和用户使用的Email、WWW、FTP等服务器具体细节不直接相关，即使用户更换了新的服务器软件，也无需修改或替换KILL过滤网关，保护用户的已有投资。KILL Shield Gateway会自动对所有通过它的网络流量进行识别分析，过滤普通病毒、电子邮件病毒、蠕虫代码、恶意网页代码、非法内容、垃圾邮件等，同时阻击蠕虫动态攻击行为。KILL S

18、hield Gateway截取网络数据进行过滤处理，将过滤后的数据传递给目的地，确保信息安全。对于蠕虫和动态攻击，KILL Shield Gateway将其彻底阻断，使其不能扩散。此外，KILL过滤网关也支持非透明（Router模式，旁路并联）方式的接入。这种情况下，主要用于对用户自身的邮件系统进行病毒过滤。参考标准 SMTP - RFC821 POP3 - RFC1939 HTTP - RFC1945，RFC 2616，RFC 2617 FTP - FTP - RFC959，FTP OVER HTTP4. 主要功能蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞发起

19、动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪。如尼姆达（Nimda）、红色代码（CodeRed）、蠕虫王（Slammer）、冲击波（Blaster）等。根据蠕虫的特点，Kill Shield Gateway从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP等）传输的静态蠕虫代码。Kill Shield Gateway所独有的抗蠕虫攻击技术（Anti-Worm）处于国际领先地位，能够全方位抵御所有已知蠕虫病毒的攻击，弥补了国内同类产品空白。这一技术标志着，Kill Shield Ga

20、teway不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击（包括所引发的病毒传播、后门漏洞、DoS/DDoS攻击等）。这样，可以实现全面防御蠕虫的目的。病毒过滤这里的病毒过滤是指普通病毒（例如CIH）、邮件病毒（例如求职信、美丽杀手、爱虫、Mydoom）、特洛伊木马、网页恶意代码的过滤等。对于网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协议）等病毒，基于专门的病毒引擎进行查杀。对邮件病毒，可以定义对病毒的处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。Kill Shield Gateway具有卓越的病毒查杀能力，能

21、够对多种应用协议（SMTP、HTTP、POP3、FTP等）所传递的数据进行病毒过滤，其反病毒引擎获得了ICSA（国际计算机安全协会）实验室的查杀病毒认证，能够100%地检测出目前“流行病毒名单”上的病毒。该反病毒引擎还凭借其卓越的病毒查杀功能荣获“Virus Bulletin”（病毒公告牌）授予的“VB 100%”奖，这是自1998年设立该奖项以来，该引擎第19次获得此殊荣。垃圾邮件过滤垃圾邮件过滤是KILL Shield Gateway的一个独立模块，采用国际先进技术，依据公安部反垃圾邮件技术标准开发。KILL Shield Gateway既可以将反垃圾邮件模块采用嵌入方式进行过滤处理，也可

22、以划分出单独的反垃圾邮件产品独立工作。垃圾邮件类型大致可以分为：邮件头部包含垃圾邮件特征的邮件；邮件内容包含垃圾邮件特征的邮件；使用Open Relay主机发送的垃圾邮件（Open Relay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件）；邮件头部和内容都无法提取特征的垃圾邮件。Kill Shield Gateway使用连接限制技术、关键字过滤技术、黑名单技术、贝叶斯智能分析技术，对垃圾邮件进行全面高效过滤。过滤的协议支持SMTP、POP3协议。KILL Shield Gateway的反垃圾邮件技术按照协议特征对数据包进行分析、重组及解码，按照安全规则通过智能分析对SMTP连接、IP

23、地址、邮件地址、数据内容进行处理。KILL Shield Gateway可以限制IP地址、邮件地址、邮件数量、邮件大小；对邮件标题、正文、附件、包含特定关键字的邮件进行过滤；对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤；支持HELO/EHLO标志过滤；可以基于RFC821信封规范进行检查；支持对伪装邮件过滤。这样，以多种过滤方式最大限度防止垃圾邮件的泛滥。内容过滤Kill Shield Gateway基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技术进行内容检查。这是一种基于稀疏多项哈希和贝叶

24、斯链的评定系统，具有高度准确的内容识别能力。Kill Shield Gateway支持对邮件的关键字、附件文件类型进行过滤，通过定义可信或不可信的URL并进行过滤，可以选择对网页脚本进行过滤，对传输的信息进行智能识别过滤，防止敏感信息的侵扰和扩散。5. 产品特性独立的硬件平台硬件平台不易被发现和攻击，安全性比较高，在很大程度上可以达到自我保护目的。专有的安全操作系统KILL Shield Gateway采用专有的安全操作系统，比常规的商用操作系统具备更高的安全级别。国际技术、本地化开发KILL Shield Gateway采用国际最先进的网关过滤技术，本地化开发。能够提供本地化的技术支持和面向

25、用户特定需求的专门定制开发。安全控制技术和策略完全符合国家信息安全的政策。友好的中文管理界面KILL Shield Gateway的配置管理采用B/S方式，用户可使用浏览器远程查看、修改系统配置及各项过滤策略，用户界面中文显示，界面友好，操作简单。安全管理方式KILL Shield Gateway提供HTTPS、SSH等方式的安全管理。https不同于http，配置页面传递过程经过加密，不会泄漏配置信息（如密码）；SSH远程管理方式，比telnet方式安全，配置页面传递过程加密。用户权限控制管理用户在第一次使用Kill Shield Gateway产品时，对管理用户设置自己的口令。以后只有授权

26、用户才可以浏览和修改KILL Shield Gateway的配置。SMTP认证KILL Shield Gateway支持SMTP认证，认证的过程完全遵循ESMTP的认证协议标准。如果用户的RELAY邮件服务器支持并要求用户认证，可使用KILL Shield Gateway作为RELAY服务器进行SMTP认证，KILL Shield Gateway会将认证过程的数据流重新定向给用户的RELAY邮件服务器，根据认证的结果来决定是否接收发信请求。如果用户的RELAY邮件服务器不支持SMTP认证，可使用KILL Shield Gateway的SMTP认证扩展模块，将SMTP认证协议转变为对POP3用户

27、的认证协议，这样用户就可以使用KILL Shield Gateway进行发信认证了。Kill Shield Gateway通过将邮件地址和SMTP认证用户进行绑定来识别并过滤伪装邮件，阻止假冒发信人的邮件。管理员不仅可以通过配置保护企业内部网，对于出差在外的员工，也可以通过用户认证来使用KILL Shield Gateway进行病毒和内容检查。垃圾邮件隔离只有最终用户才有权决定一封邮件是否属于垃圾邮件。为避免过滤后丢失邮件现象的发生，保护用户权益，我们设置了垃圾邮件隔离功能。隔离的“垃圾邮件”保存在过滤网关的隔离区，用户在及时得到隔离邮件的通知消息后，可登录到隔离区找回需要的邮件，对不需要的邮

28、件彻底删除。访问控制和入侵阻断KILL Shield Gateway可以根据IP地址和端口号进行访问控制，还可以根据入侵特征对动态入侵攻击进行阻断。 防火墙控制策略 基于IP地址、TCP端口号等网络层特征设置控制策略。 入侵阻断策略 采用专门的入侵防御（IPS）规则库，启用该策略时，可以对入侵行为进行阻断，可以体现为入侵防御系统的功能。简单灵活的配置策略KILL Shield Gateway可以根据过滤对象的不同，通过直观的管理界面灵活配置定义各种过滤策略。例如，可以分别定义是否过滤HTTP、FTP、SMTP、POP3内容；对邮件病毒、垃圾邮件的处理方式；报警时如何通知等。配置定义十分丰富。实时过滤和报警KILL Shield Gateway实时过滤蠕虫、病毒、垃圾邮件、入侵攻击事件，阻止它们进入到用户的网络，并可根据系统安全管理的记录日志并发出报警，通知发送方、接收方或管理员，帮助管理员及时了解安全事件，掌握安全状态。完整的日志、丰富的报表KILL Shield Gateway采用独立的日志和报表分析系统，提供详尽完整的过滤日志报告，还可根据这些数据生成图形化统计报表并支持数据挖掘，形象直观，帮助管理员查看，调整相应的过滤策略。例如：病毒过滤报告、垃圾邮件报表、内容过滤报表、入侵阻断报表等。