【文章內(nèi)容簡介】 、PopTelnet等多種應用協(xié)議，還可以對、MSN、ICQ等多種主流IM軟件進行監(jiān)控和控制，以防止通過IM軟件造成機密泄漏。在SINFOR UTM安全網(wǎng)關的日志系統(tǒng)中，可以對所有內(nèi)網(wǎng)用戶的上網(wǎng)行為進行實時監(jiān)控。可以實時查看內(nèi)網(wǎng)用戶所有的上網(wǎng)記錄，包括Web訪問、FTP、TELNET、郵件（含Webmail）、、MSN、ICQ、YAHOO Message等流行IM軟件的數(shù)據(jù)。豐富的報表功能可以形成完整的日志，記錄整個網(wǎng)絡的上網(wǎng)記錄，為網(wǎng)絡管理員和決策者分配和了解員工網(wǎng)絡資源提供有效數(shù)據(jù)憑據(jù)。(2) 郵件的延遲審計SINFOR UTM 安全網(wǎng)關獨有的郵件延遲審計功能保證了企業(yè)的重要信息不外泄。目前電子郵件已經(jīng)成為人們最重要的溝通方式。電子郵件快捷、方便的特點已經(jīng)成為企業(yè)與外部溝通的最有效的方式之一。企業(yè)內(nèi)部大量的信息都通過電子郵件方式發(fā)送到外部，因而電子郵件也成為泄漏企業(yè)機密的重要途徑之一。SINFOR UTM 安全網(wǎng)關獨創(chuàng)的郵件延遲審計功能，可以對經(jīng)由UTM 安全網(wǎng)關的所有郵件進行延遲審計。對于內(nèi)網(wǎng)用戶向外發(fā)送的郵件，UTM 安全網(wǎng)關會對其進行延遲緩存，只有等待管理員審計后才能發(fā)出，確保了企業(yè)信息資產(chǎn)不外泄，保證了企業(yè)內(nèi)網(wǎng)信息的安全。郵件郵件延遲審計(3) 流量分析SINFOR UTM 安全網(wǎng)關能按用戶、用戶組、協(xié)議和時間對Internet流量進行統(tǒng)計分析，以優(yōu)化員工對Internet的資源使用情況，使得企業(yè)有限的帶寬能得到最充分的利用，提高企業(yè)的網(wǎng)絡利用率。防間諜軟件功能間諜軟件是一種可以秘密收集有關計算機信息的軟件。通常可以分為廣告型間諜軟件和窺探型間諜軟件。廣告型間諜軟件一般都是良性的，其主要目的是搜集用戶的性別、年齡、電話、電子郵件、Web瀏覽習慣等等，發(fā)送給后臺數(shù)據(jù)庫進行數(shù)據(jù)分析和數(shù)據(jù)挖掘，進而有針對性地在用戶的電腦上彈出相關的廣告窗口。而窺探型間諜軟件相比之下具有更大的危害性，它可能會記錄用戶所有的鍵盤操作、網(wǎng)上聊天的內(nèi)容、訪問的網(wǎng)站甚至銀行密碼等機密信息，然后秘密地以電子郵件的方式發(fā)送給遠程的窺探者，而用戶卻全然不知。最新的調(diào)查統(tǒng)計表明，72%的公司網(wǎng)絡曾受到間諜軟件威脅，有50%的IT主管表示他們的PC已經(jīng)被間諜軟件感染?？上攵?，間諜軟件對企業(yè)的危害是巨大的。為了防止間諜軟件，SINFOR UTM 安全網(wǎng)關采用了以下三種方式來保護企業(yè)的內(nèi)網(wǎng)絡，避免間諜軟件對企業(yè)造成的危害。(1) 獨有的網(wǎng)絡訪問準入規(guī)則企業(yè)的安全隱患，往往是由于內(nèi)網(wǎng)用戶客戶端缺乏安全防范造成的。為了從根本上杜絕企業(yè)內(nèi)部網(wǎng)絡安全隱患，減少內(nèi)網(wǎng)用戶遭受間諜軟件、病毒的風險。深信服科技創(chuàng)新性地采用了網(wǎng)絡訪問準入規(guī)則這一技術。網(wǎng)絡訪問準入規(guī)則，是管理員在SINFOR UTM 安全網(wǎng)關的準入規(guī)則中預先定制好內(nèi)網(wǎng)計算機的安全策略。所謂安全策略，是指特定的安全標準。如：用戶計算機的操作系統(tǒng)是否安裝有管理員指定的系統(tǒng)補丁，以及用戶的計算機是否安裝有相應的殺毒程序或者防火墻，或是用戶的計算機是否啟動相應的殺毒程序、防火墻程序等等，這一系列的安全標準都可以定制成相應的安全策略。當用戶計算機訪問網(wǎng)絡請求的數(shù)據(jù)包通過SINFOR UTM 安全網(wǎng)關時，若啟用了WEB認證功能，則用戶通過WEB認證后，用戶的計算機會自動從UTM 安全網(wǎng)關下載相應的安全策略掃描程序。此進程會根據(jù)指定的安全策略啟動掃描程序，并檢查用戶的計算機是否具備了相應的安全策略。只有符合相應安全策略的計算機才允許訪問外部網(wǎng)絡，不具備相應安全條件的用戶計算機，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)內(nèi)網(wǎng)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。只有具備了安全級別的計算機才允許訪問網(wǎng)絡獨有的網(wǎng)絡訪問準入規(guī)則(2) 深度內(nèi)容檢測技術惡意間諜軟件程序最常見的傳播途徑就是在一些惡意站點中嵌入ActiveX控件作為瀏覽器控件，當用戶無意間瀏覽到該網(wǎng)址時，該控件會自動安裝到用戶的電腦上。SINFOR UTM 安全網(wǎng)關通過上層應用的內(nèi)容檢測技術來阻止類似的惡意間諜軟件程序的傳播。通過特定規(guī)則（如禁止以dll、cab、exe等擴展名的文件下載）的限制，從而阻斷了間諜軟件的傳播途徑，防止了內(nèi)網(wǎng)用戶感染間諜軟件的危險。(3) URL過濾、關鍵字過濾通常間諜軟件是用戶在瀏覽網(wǎng)頁時，下載安裝免費軟件或無意間瀏覽到某些惡意站點而感染到的。當用戶在網(wǎng)上沖浪時，無意中瀏覽到某些惡意設計的站點時，一些ActiveX控件會作為瀏覽器插件，自動下載并安裝到你的電腦當中，而這個插件就是一個間諜軟件。這有些和木馬、病毒的傳播途徑類似。SINFOR UTM 安全網(wǎng)關中將已知的非法URL（含有惡意代碼的網(wǎng)址連接）做成一個鏈接庫，用戶可以下載更新鏈接庫來防止間諜軟件、木馬、病毒等對企業(yè)的威脅。UTM 安全網(wǎng)關的關鍵字過濾功能，將一些含有一些明顯特征碼的關鍵字作為過濾條件。當內(nèi)網(wǎng)用戶在訪問互聯(lián)網(wǎng)時，減少了內(nèi)網(wǎng)用戶遭受間諜程序或木馬、病毒的危險，保證了內(nèi)網(wǎng)的安全。URL過濾色情法輪功關鍵字過濾(4) 網(wǎng)絡監(jiān)控由于間諜軟件名目繁多，且難以預防。間諜軟件一旦成功潛入內(nèi)網(wǎng)用戶電腦，就會記錄用戶信息并通過一定的途徑向特定的黑客和服務器進行后臺通信。假設當內(nèi)網(wǎng)用戶的電腦已經(jīng)埋伏了間諜軟件以后，我們還有什么辦法挽救損失呢？SINFOR UTM 安全網(wǎng)關通過日志系統(tǒng)中的網(wǎng)絡活動日志，實時監(jiān)控并記錄用戶內(nèi)網(wǎng)所有的網(wǎng)絡連接，使得管理人員能夠及時發(fā)現(xiàn)網(wǎng)絡傳輸中的間諜軟件威脅，阻止網(wǎng)絡中已經(jīng)存在的間諜軟件與互聯(lián)網(wǎng)上的黑客和服務器進行后臺通信，防止了企業(yè)機密信息的泄漏，并在檢測和阻止新的間諜軟件時，及時采取相應的安全措施，最大限度減少了企業(yè)的損失。(5) 郵件延遲審計對于間諜軟件的主要傳輸途徑：WEB方式和郵件方式，SINFOR UTM 安全網(wǎng)關分別有相應的解決方案。前面介紹過的UTM 安全網(wǎng)關 URL 過濾功能已經(jīng)阻斷了間諜軟件WEB方式的泄漏途徑。而對于間諜軟件電子郵件方式的泄漏機密途徑，SINFOR UTM 安全網(wǎng)關獨有的郵件延遲審計功能徹底阻斷了這一途徑。SINFOR UTM 安全網(wǎng)關可以根據(jù)相應規(guī)則，對所有內(nèi)網(wǎng)用戶通過SMTP、IMAP發(fā)往外部的電子郵件進行審計?？蛻舳税l(fā)送的郵件雖然在其郵件程序的發(fā)送狀態(tài)中顯示已經(jīng)正常發(fā)送，但實際上并未真正發(fā)送到收件人，而是被截留在SINFOR UTM 安全網(wǎng)關的郵件延遲審計系統(tǒng)中。只有通過管理員審核，認為是安全的郵件，才能被UTM 安全網(wǎng)關放行并發(fā)送到收件人郵箱，有效地防止間諜軟件通過電子郵件方式盜取企業(yè)的重要機密，保護了企業(yè)內(nèi)網(wǎng)的安全。郵件郵件延遲審計反垃圾郵件技術CNNIC最新發(fā)布的第16次互聯(lián)網(wǎng)報告顯示。由于垃圾郵件的泛濫，使得原本暢通的互聯(lián)網(wǎng)速度變的逐漸緩慢，并且浪費了用戶大量的時間。一般處理1封垃圾郵件至少需要10秒鐘的時間，那么員工每天就得花2分鐘左右的時間來處理。若企業(yè)擁有眾多員工，則將造成企業(yè)的生產(chǎn)力下降，效率低下，企業(yè)員工每天正常處理業(yè)務的時間被接受、打開、刪除垃圾郵件等動作白白浪費了。對于企業(yè)來說，垃圾郵件不僅浪費了企業(yè)員工的寶貴時間，而垃圾郵件中可能附帶的病毒、間諜軟件等對企業(yè)造成的損失更是巨大的。若用戶無意中不小心打開一些含有不安全因素的垃圾郵件，木馬、病毒、間諜軟件等就很可能不知不覺地潛入企業(yè)內(nèi)部盜取機密文件，造成企業(yè)重大的安全隱患。目前反垃圾郵件的技術主要有以下幾種：(1) 關鍵字過濾關鍵字過濾是最早的反垃圾郵件技術之一。它是將一些會在垃圾郵件中經(jīng)常出現(xiàn)的字符（如廣告、化妝品、發(fā)票等）收集起來形成一個龐大的數(shù)據(jù)庫，當一封郵件來的時候對其信頭、信標題、主題和信體幾部分進行檢查，看里面是否有數(shù)據(jù)庫中的關鍵字，如果有就被判定為垃圾郵件，如果沒有就判斷為不是垃圾郵件。該技術主要采用的是關鍵字匹配。此技術的優(yōu)點就是：技術上比較容易實現(xiàn)，判斷處理速度比較快，缺點是誤判率比較高。 為了減少誤判率，深信服科技的UTM 安全網(wǎng)關采用關鍵字權重的方法來對垃圾郵件進行判斷。關鍵字權重過濾，是根據(jù)關鍵字數(shù)據(jù)庫中比較經(jīng)常出現(xiàn)的關鍵字分別賦予相應的權重，權重的大小是根據(jù)關鍵字在垃圾郵件中出現(xiàn)的可能性和嚴重性來決定。當收到一封垃圾郵件時，UTM 安全網(wǎng)關就對其進行掃描，若發(fā)現(xiàn)有其中一個關鍵字就加相應的權重值（此權重值用戶可自定義），最后將所有的權重累加并與預先設置好的閥值進行比較。閥值設為兩個，分為三種情況：一定是垃圾郵件；可能是垃圾郵件；一定不是垃圾郵件。對這三種情況，SINFOR UTM安全網(wǎng)關可分別進行相應的處理。(2) 智能應答確認技術對于疑似垃圾郵件，SINFOR UTM 安全網(wǎng)關創(chuàng)新性地采用了智能應答確認的方式來減少誤判率。一般的垃圾郵件都是由垃圾郵件程序自動產(chǎn)生的，無法回復。對于疑似垃圾郵件，UTM 安全網(wǎng)關會發(fā)一封確認郵件給發(fā)件人，若發(fā)件人是垃圾郵件制造程序則無法回復，UTM 安全網(wǎng)關則判定此郵件為垃圾郵件，并將其列入黑名單。若對方是真正的發(fā)郵件者，而不是垃圾郵件程序，則只需回復UTM 安全網(wǎng)關所發(fā)出的確認郵件，UTM 安全網(wǎng)關則自動會將此發(fā)件人添加到白名單，下一次該地址發(fā)送過來的郵件就無需過濾，直接轉發(fā)給收件人。為了防止自動應答程序回復確認郵件來繞過UTM 安全網(wǎng)關的檢測，UTM 安全網(wǎng)關在其確認郵件中采用了隨機碼的方式要求發(fā)郵件者輸入相應特征碼（一串隨機序列號），以此來避免對某些垃圾郵件程序的自動回復程序造成的誤判。(3) 黑白名單過濾黑白名單過濾同樣是較早的一種反垃圾郵件的技術。SINFOR UTM 安全網(wǎng)關將經(jīng)常發(fā)垃圾郵件的IP地址添加到IP黑名單中，以后再從同樣的IP地址發(fā)來的信件都被判定為垃圾郵件。如果郵件地址被加入到白名單中，則認為從那里發(fā)來的任何郵件都不是垃圾郵件。郵件服務器垃圾郵件黑名單正常郵件白名單UTM安全網(wǎng)關黑白名單(4) 垃圾郵件指紋識別指紋識別技術模仿了生物識別中指紋的概念。所謂郵件的指紋，就是郵件內(nèi)容中的一些字符串的組合，就是從類似、但不相同的信息中，識別出已經(jīng)被確認為垃圾郵件的信息。通常垃圾郵件都有一些特征，比如含有很多廣告的鏈接等。有些垃圾郵件程序為了躲避反垃圾郵件程序，在制造垃圾郵件時通過html等技術把一些含有垃圾郵件明顯特征的內(nèi)容、關鍵字等做轉換，以試圖欺騙反垃圾郵件程序。這好比警察與小偷，通常小偷都是穿著風衣、帶著墨鏡等以避免警察和大眾對他的懷疑。這些垃圾郵件獨有的特征，也就是垃圾郵件的指紋。這些和反病毒技術的特征碼識別的思想是相同的。SINFOR UTM 安全網(wǎng)關通過確認郵件的指紋，完成對垃圾郵件的識別。UTM 安全網(wǎng)關先給郵件中出現(xiàn)的每一個字符賦予一個數(shù)值（這個數(shù)值的確定是按照特定垃圾的用詞規(guī)律特點進行分類），再利用統(tǒng)計方法給這封郵件計算出一個綜合的數(shù)值。也可以根據(jù)是否與其他多次收到的郵件相似來判斷（多次收到相似的郵件很可能就是垃圾郵件）。(5) 實時黑名單列表為了有效地拒絕來自惡意的垃圾郵件來源站點或被利用的垃圾郵件來源站點所發(fā)來的垃圾郵件，最直接和有效的辦法就是拒絕該來源的連接。將確認后的垃圾郵件來源站點（無論是否是惡意與否）放入一個黑名單（Blackhole List），然后通過發(fā)布該名單來保護郵件服務器不受到黑名單中站點的侵擾，是一個目前對抗日益嚴重的垃圾郵件行之有效的方法。目前在黑名單技術上最流行的是實時黑名單（Realtime Blackhole List，簡稱RBL）技術。通常該技術是通過DNS方式（查詢和區(qū)域傳輸）實現(xiàn)的。實時黑名單類似于前面所提到黑名單過濾，區(qū)別在于實時黑名單列表是借助于第三方機構，他們?yōu)橛脩籼峁崟r的黑名單列表。實時黑名單對垃圾郵件的判斷工作是在Internet上進行的，不需要用戶進行干涉和手動添加。由于黑名單服務的提供和黑名單的維護是由黑名單服務提供者來承擔，所以該名單的權威性和可靠性就依賴于該提供者。SINFOR UTM 安全網(wǎng)關采用了中國反垃圾郵件聯(lián)盟的RBL進行垃圾郵件識別，減少用戶的工作量和設置難度，同時大大提供了垃圾郵件的識別率。(6) 自動升級技術 SINFOR UTM 安全網(wǎng)關提供了黑白名單、關鍵字權重庫和垃圾郵件指紋庫自動更新功能，減少了管理員手動升級的麻煩，降低了企業(yè)的維護成本，并降低了垃圾郵件的誤判率。IPS（入侵防御系統(tǒng)）系統(tǒng)IPS，即入侵防御系統(tǒng)(Intrusion Prevention System)，是抵制外部網(wǎng)絡威脅最有效的安全防范技術。SINFOR UTM網(wǎng)關的IPS系統(tǒng)，能夠對所有流經(jīng)網(wǎng)關的數(shù)據(jù)流進行實時檢測，為企業(yè)提供了網(wǎng)絡級的安全保護。由于采用了特征匹配、協(xié)議分析和異常行為檢測等多項技術，IPS系統(tǒng)能夠對所有可疑數(shù)據(jù)包實時阻攔，提高了對攻擊行為判斷的準確率，有效保證了企業(yè)的網(wǎng)絡安全。當前，特征匹配是應用最廣泛的檢測技術，具有準確率高、速度快的特點。目前SINFOR UTM網(wǎng)關的IPS系統(tǒng)已有3000多種攻擊特征庫，并且每天自動更新數(shù)據(jù)庫。由于采用了嵌入式運行模式，IPS系統(tǒng)能夠實時分析經(jīng)過網(wǎng)關的所有流量，一旦檢測出網(wǎng)絡數(shù)據(jù)流中含有可疑數(shù)據(jù)，UTM網(wǎng)關將根據(jù)其所匹配到的攻擊特征規(guī)則，及時進行相應處理。IPS系統(tǒng)對所有