防病毒网关、防火墙与防病毒软件功能及部署对比

1、防病毒网关、防火墙与防病毒软件功能及部署对比 一、防病毒网关防病毒网关就是针对网络安全所面临的新挑战应运而生的。 对病毒等恶意软 件进行防御的硬件网络防护设备, 可以协助企业防护各类病毒和恶意软件, 对其 进行隔离和清除。当企业在网络的 Internet 出口部署防病毒网关系统后,可大 幅度降低因恶意软件传播带来的安全威胁,及时发现并限制网络病毒爆发疫情, 同时它还集成了完备的防火墙, 为用户构建立体的网络安全保护机制提供了完善 的技术手段。广泛适用于政府、公安、军队、金融、证券、保险等多个领域。 部署位置:网络的网关处,也可以说是网络的出口。如图 1所示: 图 1防病毒网关应具有以下特性:强

2、劲的恶意软件防护功能, Web 应用高效防护防病毒网关产品应该采用独特的 虚拟并行系统 检测技术,在对网络数据进 行网络病毒等恶意软件扫描的同时, 会实时同步传送数据。 这一技术的在系统中 的应用, 从根本上解决了以往对 Web 数据进行扫描操作时, 普遍存在的性能瓶颈, 在实际使用效果上远远超出了 “存储 -扫描 -转发” 的传统技术模式。 由于采用了 虚拟并行系统 技术, 在保证不放过任何一个可能的恶意软件同时, 大大减小了网络应用的请求响应时间, 改善了用户体验效果。 用户在使用防病毒网关对网络数 据流量进行检测时, 基本感觉不到数据扫描操作所带来的响应延迟, 更不用担心 错过精彩的网络

3、实况播报适应于复杂的核心网络防病毒网关系统吸收了业界多年来在防火墙领域的设计经验和先进技术, 支 持众多网络协议和应用协议, 如 802.1Q VLAN、 PPPoE 、 802.1Q 、 Spanning tree 等协议,适用的范围更广泛,确保了用户的网络的“无缝部署” 、 “无缝防 护” 、 “无缝升级” 。当防病毒网关设备处于透明工作模式时,相当于一台二层交 换机。 这种特性使防病毒网关产品具有了极佳的环境适应能力, 用户无需改变网 络拓扑, 就可以零操作、 零配置的升级到更全面的网络安全解决方案, 同时也降 低了因新增网络设备而导致的部署、维护和管理开销。灵活的网络安全概念防病毒网关

4、应该基于先进的安全区段概念实施安全策略的定制和部署, 将从 接口层面的访问控制提升到安全区段概念。 错误! 未找到引用源。 从概念上继承 了传统防火墙的网络安全区域概念, 也实现了很多突破。 它默认各个安全区段间 的安全级别是一样的, 相互间的安全需求差异交由用户定制, 为安全策略的定制 和部署提供了很大的灵活性,同时也避免了机械的将网络划分为 Internal , External 和 DMZ 的传统安全概念,能够完备灵活的表达不同网络、网段间的 安全需求。防病毒网关系统还应该提供丰富的网络地址转换(NAT 功能支持,支持映 像 IP 地址(MIP 、动态地址池的正向地址转换、反向地址转换。

5、集中管理,全局控制防病毒网关提供了功能强大的图形化管理系统,该系统基于 Windows 平台 运行。 使用图形化管理系统, 可以对多台不同地域的防病毒网关系统设备进行统 一管理和配置, 收集并审计分析多台防病毒网关设备发送的日志信息, 包括事件 日志, 配置日志, 安全日志和负载日志, 对多台防病毒网关系统设备进行统一的 固件升级,病毒库升级;实时监控多台防病毒网关设备的运行状态和负载信息。细致入微的系统日志和审计功能防病毒网关应该具备完善的网络访问日志记录和审计功能, 网络管理员在定 制安全策略时,可根据需要,对网络行为、资源访问情况进行有选择地审计。当 系统监测到有异常行为, 病毒访问等事

6、件时, 将自动对其进行审计分析, 以帮助 管理员定制更完善的网络系统安全规则。二、防火墙防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共 网或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防 火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此 来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分 析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安 全。部署位置:保护网络的关键位置;可以是互联网,也可以是一个服务器区, 也可以是另外一个局域网。如图 2所示: 图 2使用防火墙 (防火墙 的益处保护

7、脆弱的服务通过过滤不安全的服务, 防火墙可以极大地提高网络安全和减少子网中主机 的风险。例如, 防火墙可以禁止 NIS 、 NFS 服务通过,防火墙同时可以拒绝源路 由和 ICMP 重定向封包。控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。 例如, 防火墙允许外部访问特定的 Mail Server 和 Web Server 。 集中的安全管理防火墙对企业内部网实现集中的安全管理, 在防火墙定义的安全规则可以运 行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。防火 墙可以定义不同的认证方法, 而不需要在每台机器上分别安装特定的

8、认证软件。 外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息, 如 Figer 和 DNS 。 记录和统计网络利用数据以及非法使用数据 防火墙可以记录和统计通过防 火墙的网络通讯, 提供关于网络使用的统计数据, 并且, 防火墙可以提供统计数 据, 来判断可能的攻击和探测。策略执行防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全 取决于每台主机的用户。三、防病毒软件 计算机病毒是一种能够自身进行复制，并传染其他程序而起破坏作用的程 序。防病毒软件提供在当前工作环境下的反病毒程序所需的一系列功能。包括实 时文件系统扫描，按

9、要求的文件系统检查，实时电子邮件的扫描，实时办公应用 程序的保护，对恶意脚本的实时防卫，周期性的更新反病毒库，作为整个反病毒 防卫程序的一部分进行工作，以及存储可疑对象和更改的对象复本。 衡量一种杀毒软件优劣或者技术性能如何主要包括： 查杀率： 查杀率： 病毒的查杀率是衡量杀毒软件性能的最主要指标。影响病毒查杀率的关键是 它的引擎 引擎以及病毒库的大小 病毒库的大小。比如说虚拟机技术、杀壳技术等等。查杀率在国际 引擎 病毒库的大小 上一般是通过大量的病毒样本进行测试的。 病毒库的更新速度： 病毒库的更新速度： 也就是对新病毒的反应速度，反应速度的快慢直接影响到客户业务。 引擎 引擎应有业界最高

10、的水准，反病毒引擎和病毒库，一直以其严谨的结构、彻 底的查杀能力为业界称道。 病毒库的大小 病毒库应是病毒最全的病毒库，但是由于其独特的结构，病毒样本数目应该 是最高的。 病毒库的更新速度 即对新病毒的反应速度。 病毒库的更新频率越高， 系统得到的保护就越可靠。 反病毒数据库常规 3 小时更新数据库（必要时 1 小时更新） ，每次更新的数据库 仅有 320KB。用户可以通过更新模块自动下载病毒数据库，也可以手动从网站 下载病毒库后本地更新。 部署位置：每台客户端和服务器均应安装防病毒软件， 部署位置：每台客户端和服务器均应安装防病毒软件，并专门设置一台防病 毒服务器作为整个系统管理使用。 毒服务器作为整个系统管理使用。 防病毒软件应具有的功能特性： 文件系统对象的实时保护 文件系统对象检测与病毒清除 电子邮件的