【正文】 KILL Shield Gateway 做為先進的新型網(wǎng)關(guān)過濾設(shè)備，除了具有一般網(wǎng)關(guān)過濾設(shè)備的功能外，它的突出特點是可以實現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。 KILL Shield Gateway 采用冠群金辰備受贊譽的反病毒引擎，該掃描引擎經(jīng) ICSA（國際計算機安全協(xié)會）認證可“ 100%查殺流行病毒”，并獲得全球 18 家重要測評機構(gòu)的認證，使用安全可靠，是 KILL Shield Gateway 強大反病毒功能的基礎(chǔ)。 KILL Shield Gateway 在企業(yè)網(wǎng)絡(luò)的邊緣，而不是在用戶的郵件和代理服務(wù)器上，進行過濾工作，確保了原有系統(tǒng)的穩(wěn)定性，并在效率方面遠遠高于在服務(wù)器本機上安裝過濾軟件的方式。 KILL Shield Gateway 通過 Web 頁面進行系統(tǒng)配置，管理界面友好，易于配置，而且使用簡便，一旦配置完成，可自動完成病毒查殺、特征碼下載、日志記錄、報表生成等工作，大大減輕了網(wǎng)絡(luò)安全管理員的負擔，是一款技術(shù)極為先進的網(wǎng)關(guān)過濾產(chǎn) 品。 KILL Shield Gateway 主要使用透明（ Bridge 模式）接入用戶網(wǎng)絡(luò)。此外，赤霄過濾網(wǎng)關(guān) 也支持非透明（ Router 模式）的接入 。下面分別介紹其工作原理。 下面舉例說明根據(jù)用戶的典型網(wǎng)絡(luò)情況部署 KILL Shield Gateway。 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 一般企業(yè)網(wǎng)絡(luò)通過防火墻，劃分為內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)，連接到 Inter。為確保內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)的安全，建議如上圖所示部署過濾網(wǎng)關(guān)。對 DMZ 區(qū)，主要作用是攔截從外部發(fā)向服務(wù)器的攻擊數(shù)據(jù)，確保了公司重要服務(wù)器的安全。 非透明模式接入 由于非透明模式的實施相比透明模式來說較為復(fù)雜，所以一般建議用 戶采用透明模式。下面根據(jù) KILL Shield Gateway 的三大功能模塊：SMTP 過濾、代理過濾和 POP3 過濾，分別講述采用非透明模式接入到網(wǎng)絡(luò)中時，每個模塊的工作原理，由此了解該如何將產(chǎn)品連接到網(wǎng)絡(luò)中。出于容錯和擴展方面的考慮，簡單郵件傳輸協(xié)議 (SMTP)在設(shè)計時引入了郵件路由的思想， 郵件總是首先試圖傳遞給優(yōu)先級值相對 較高 的 MX 郵件 服務(wù) 器 ， 失敗后才試圖傳遞給優(yōu)先級值稍大的 MX郵件 服務(wù) 器 ；同時 郵件總是 在 同一優(yōu)先級的 MX 郵件 服務(wù) 器 都嘗試 失敗后 ， 才試圖傳遞給優(yōu)先級稍低的 MX 郵件 服務(wù) 器 。在使用中， KILL Shield Gateway 本身就是一個完整的 MTA（郵件傳輸單元），我們賦予它最高的優(yōu)先級，這樣所有的郵件將先發(fā)到 KILL Shield Gateway，進行過濾處理后，再由它通過 SMTP 協(xié)議傳給 MX 郵件服務(wù)器。 對于發(fā)出去的郵件，可以在 DNS 中修改 RELAY 服務(wù)器 (即發(fā)件服務(wù)器 )的 IP 指向，或者用戶直接修改自己所用的郵件客戶端軟件的 RELAY 服務(wù)器以指向 KILL Shield Gateway 就可以了 。一般情況下，當用戶的本地機與因特網(wǎng)連接時，通過本地機的客戶程序如 IE 瀏覽器發(fā)出請求，遠端的服務(wù)器在接到請求之后響應(yīng)請求并提供相應(yīng)的服務(wù)。也就是說，客戶機訪問因特網(wǎng)時所發(fā)出的請求不再直接發(fā)送到遠程服務(wù)器，而是被送到了代理服務(wù)器上，代理服務(wù)器再向遠程的服 務(wù)器提出相應(yīng)的申請，接收遠程服務(wù)器提供的數(shù)據(jù)并保存在自己的硬盤上，然后用這些數(shù)據(jù)對客戶機提供相應(yīng)的服務(wù)。 KILL Shield Gateway 代理模塊典型應(yīng)用的邏輯示意圖如下： KILL Shield Gateway 代理模塊的過濾就是利用前面講到的原理， KILL Shield Gateway 的主機本身就是一個代理服務(wù)器，首先將接收的遠程服務(wù)器的數(shù)據(jù)保存在自己的硬盤上，在傳送給客戶端前先進行病毒掃描。在上面的典型配置中，用戶網(wǎng)絡(luò)中本來就有代理服務(wù)器，這時只須修改該代理服務(wù)器的缺省上一級代理設(shè)置，使之指向 KILL Shield Gateway 即可，無須修改用戶原有的用戶認證等其他代理服務(wù)器配置，也無須修改客戶端瀏覽器的配置。這種方式同樣具有很好的伸縮性和擴展性。 如系統(tǒng)中沒有代理服務(wù)器，可配置瀏覽客戶端，使用 KILL Shield Gateway 這個代理。 POP3 過濾模塊工作原理 KILL Shield Gateway 可以作為一個 POP3 代理，進行 POP3 流量的過濾。使用 KILL Shield Gateway 的 POP3 過濾功能，郵件客戶端可通過 KILL Shield Gateway 連接 Inter 上 的 POP3 服務(wù)器收取 ，同時可確保接收郵件的安全性。 要使用 POP3 過濾功能，郵件客戶端需作相應(yīng)更改，假設(shè)過濾網(wǎng)關(guān)名為 ，則郵件客戶端需做的更改示例如下： 收件服務(wù)器 帳戶名 啟用 POP3 過濾前 username 啟用 POP3 過濾后 即，在郵件客戶端將 POP3 服務(wù)器改為指向 KILL Shield Gateway，但同時在賬號后面加入 原 pop3 郵件服務(wù)器名 ，告知 KILL Shield Gateway 去哪個服務(wù)器接收郵件。因此，必須采用指向的方式確保 SMTP， POP3， HTTP， FTP流量經(jīng)過 KILL Shield Gateway。 KILL Shield Gateway 的功能特點 友好的系統(tǒng)管理界面 對郵件系統(tǒng)的管理采用 B/S 方式，供 HTTPS、 SSH 等方式的安全管理。 接入方式簡單易行 KILL Shield Gateway 的配置非常簡單，支持透明和非透明兩種接入方式。采用透明模式時，用戶不需要修改任何網(wǎng)絡(luò)結(jié)構(gòu)，安裝工作更加簡單。 蠕蟲過濾 嚴格來講，蠕蟲與病毒是有區(qū)別的，它比病毒的危害性更大。由于蠕蟲能夠從網(wǎng)絡(luò)上發(fā)起動態(tài)攻擊，因而防范難度非常大。 赤霄過濾網(wǎng)關(guān)獨有的抗蠕蟲動態(tài)攻擊技術(shù)屬國內(nèi)首創(chuàng)，能夠全面抵御目前危害最大的蠕蟲威脅。 POP3 client KSG POP3 過濾模塊 POP3 服務(wù)器 天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 病毒過濾 全面實現(xiàn)對普通病毒（如 CIH）、郵件病毒（如求職信、美麗殺手、 Mydoom）、木馬活動、惡意網(wǎng)頁代碼的過濾。其反病毒引擎獲得了 ICSA（國際計算機安全協(xié)會）的認證，能夠 100%地檢測出目前“流行病毒名單”上的病毒。 垃圾郵件過濾 赤霄過濾網(wǎng)關(guān)采用多種技術(shù)過濾垃圾郵件，實現(xiàn)對垃圾郵件的綜合防范。支 持 實時黑名單（ RBL）技術(shù) 的過濾。支持靈活的過濾策略 —依據(jù) IP 地址過濾；依據(jù)郵件地址過濾；基于 HELO 標志過濾；限制郵件的大?。幌拗仆秽]件的發(fā)件數(shù)量；對附件文件類型和文件名過濾；根據(jù)郵件主題、發(fā)件人、收件人、正文及附件關(guān)鍵字進行過濾；對郵件頭、郵件體進行關(guān)鍵字過濾；支持域名過濾；自動禁止郵件服務(wù)的 Open relay 功能；智能識別垃圾文本等。支持對關(guān)鍵字（正則表達式）、附件文件類型、 URL 等方式的過濾。支持百兆和千兆網(wǎng)絡(luò)環(huán)境。 靈活的過濾策略 根據(jù)不同的過濾對象 和安全目的，赤霄過濾網(wǎng)關(guān)可以定義靈活的過濾策略，并且對符合過濾條件的對象進行拒絕、丟棄、攔截、清除、延時等多種過濾操作，最大限度地保證將安全的數(shù)據(jù)傳送給用戶。根據(jù)管理員定義的更新頻率與策略，通過 HTTP 或 FTP 協(xié)議自動更新特征碼，確保始終使用最新的特征碼進行檢查，以免受各種新病毒、蠕蟲的侵害。 帶寬保護 赤霄過濾網(wǎng)關(guān)可以實現(xiàn)對網(wǎng)絡(luò)帶寬的保護。 資源自適應(yīng)控制 發(fā)生郵件風(fēng)暴或大量 HTTP 并發(fā)鏈接時，赤霄過濾網(wǎng)關(guān)會檢測系統(tǒng)資源的消耗情況。同時，系統(tǒng)借助對協(xié)議的深度分析設(shè)置閥值，當發(fā)生諸如 SYN Flooding 類型的攻擊達到閥值后，赤霄過濾網(wǎng)關(guān)將拒絕接收，這一技術(shù)可過濾絕大多數(shù)的服務(wù)拒絕攻擊。 支持 SMTP 認證 為防止垃圾郵件泛濫等濫用郵件系統(tǒng)的行為，許多郵件系統(tǒng)在接受用戶的發(fā)信請求前，要求對用戶的身份作認證，即 SMTP 認證。它將認證過程的數(shù)據(jù)流重定向給原郵件服務(wù)器，并根據(jù)認證的結(jié)果來決定是否接收用戶的發(fā)信請求。 可檢查偽裝郵件 KILL Shield Gateway 可檢查發(fā)件人偽裝，即提供的發(fā)件認證信息正確，但發(fā)件人郵件地址和提供的認證信息不相符合的情況。 代理系統(tǒng)的訪問控制 KILL Shield Gateway 不僅可以對 HTTP 流量進行過濾，還可進行訪問控制，設(shè)置可以使用代理系統(tǒng)的客戶端網(wǎng)段，使用它可以訪問的服務(wù)器，或者客戶端需經(jīng)過驗證后才可以使用代理系統(tǒng)，確保只有允許的用戶或客戶端才可以使用該代理系統(tǒng)。這里需要將交換機①的某個端口設(shè)置監(jiān)聽狀態(tài)，并使用該端口聯(lián)入侵檢測系統(tǒng)。防火墻采用安氏中國的防火墻高端產(chǎn)品 LinkTrust CyberWall200SP/006。防火墻同樣是使用安氏的 LinkTrust CyberWall200SP/006。 （ 3）規(guī)則配置 在此必須考慮的規(guī)則有，內(nèi)網(wǎng)、外網(wǎng)、 DMZ 區(qū)的應(yīng)用情況，代理及帶寬的使用情況進行配置。 （ 5）網(wǎng)絡(luò)安全審核 對防火墻、入侵檢測系統(tǒng)、郵件過濾系統(tǒng)的各種規(guī)則設(shè)置結(jié)果進行審核確保系統(tǒng)當前的安全性。另外， 200SP/006 自身還集成了 ASIC VPN 處理器Security Processor 200，它支持處理所有的與安全相關(guān)的協(xié)議包括 IPSec, IKE, SSL 和 TLS，處理能力相當于 1000MIPS，等同于 12－ 18 顆的 Pentium III 級微處理器對數(shù)據(jù)加密的處理能力 , 賦予了 CW200SP/006 可怕的數(shù)據(jù)加密處理能力，在 IP 安全通訊領(lǐng)域中承擔著 VPN 中央數(shù)據(jù)加密處理核心節(jié)點的位置。赤霄過濾網(wǎng)關(guān)具有卓越的病毒查殺能力，能夠?qū)Χ喾N應(yīng)用協(xié)議（ SMTP、 HTTP、 POP FTP等）所傳遞的數(shù)據(jù)進行病毒過濾，其反病毒引擎獲得了 ICSA（國際計算機安全協(xié)會）實驗室的查殺病毒認證，能夠 100%地檢測出目前“流行病毒名單”上的病毒。SBPH/BCR 是一種基于稀疏多項哈希和貝葉斯鏈的評定系統(tǒng)，具有高度準確的內(nèi)容識別能力（精度高于 99%）。赤霄過濾網(wǎng)關(guān)采用多種技術(shù)對垃圾郵件進行過濾。這樣，可實現(xiàn)對垃圾郵件的綜合防范。赤霄過濾網(wǎng)關(guān)實時過濾蠕蟲、病毒、垃圾郵件，阻止它們進入到用戶的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理員的記錄日志并發(fā)出報警，幫助管理員及時了解安全事件，掌握安全狀態(tài)。赤霄過濾網(wǎng)關(guān)的接入非常簡單，主要使用透明（ Bridge 模式）接入用戶網(wǎng)絡(luò)，也支持非透明（ Router 模式，旁路并聯(lián)）的接入。赤霄過濾網(wǎng)關(guān)可以實現(xiàn)對網(wǎng)絡(luò)帶寬的保護。赤霄過濾網(wǎng)關(guān)支持 STP（ Spanning Tree Protocol）， 啟用 STP 后，當網(wǎng)絡(luò)中使用了兩臺赤霄過濾網(wǎng)關(guān)時，如果主機出了問題，備機會接管網(wǎng)絡(luò)連接并進行過濾，滿足高可靠性的網(wǎng)絡(luò)對健壯性的要求。 CA eTrust 入侵檢測系統(tǒng) GJMIDSB 強大的網(wǎng)絡(luò)訪問控制功能：干將入侵檢測系統(tǒng)采用了一套規(guī)則庫來定義什么用戶能夠訪問什么網(wǎng)絡(luò)資源，確定僅有授權(quán)的用戶才能夠訪問網(wǎng)絡(luò)資源。 入侵升級文件能夠快速及時地進行在線升級，讓特征庫隨時保持最新最全。能夠有效發(fā)現(xiàn)和阻攔碎片攻擊和 IDS 入侵攻擊。干將入侵檢測系統(tǒng)能夠進行隱藏 IP 設(shè)置，保證自身不會受到黑客的攻擊，天創(chuàng) 半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案 保證自身的安全性。管理員能夠隨時利用干將入侵檢測系統(tǒng)提供的正則表達式對最新出現(xiàn)的攻擊方式進行特征定義和方法，非常方便和靈活。干將入侵檢測系統(tǒng)能夠在二進制級別對數(shù)據(jù)包進行特征定義和匹配，分析隱藏的攻擊手段。 強大的網(wǎng)絡(luò)安全設(shè)備聯(lián)動能力。即干將入侵檢測系統(tǒng)一旦發(fā)現(xiàn)入侵行為，便能夠馬上通知這些防火墻動態(tài)修改安全策略，對外來入侵在第一時間進行有效的攔截。采用專用的數(shù)據(jù)處理機制讓其即使在高流量下也能夠準確發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。 網(wǎng)絡(luò)利用情況紀錄：干將入侵檢測系統(tǒng)提供了基于最終用戶 明、應(yīng)用程序等進行跟蹤和記錄網(wǎng)絡(luò)使用情況的功能。 入侵記錄和分析：為收集入侵信息并歸納入庫分析提供了一套完整有效的機制。特別是在目前的情況下，網(wǎng)絡(luò)病毒已經(jīng)成為一種最流量的病毒，而且最近又出現(xiàn)了新舊的病毒組合，如求職信病毒和 CIH 病毒的組合，結(jié)合了舊病毒強大的破壞性和新病毒傳播快速的特點，對網(wǎng)絡(luò)安全造成了極大的威脅。 強大的報表能力：預(yù)置上百種報表模版，提供類似于網(wǎng)絡(luò)入侵數(shù)量統(tǒng)計、入侵類型統(tǒng)計、入侵源統(tǒng)計以及傳播網(wǎng)絡(luò)病毒的前幾名以及每種行為的詳細報表分析等內(nèi)容。 報表擴展能力：支持 Webtrends、 Telemate 等專業(yè)報表軟件接 口，并且提供豐富的 API 功能。能夠通過電子郵件、尋呼、 NT 事件日志、消息框、 SNMP Trap、打印機等等預(yù)定義的功能進行告警，用戶還能夠通過提供的接口方便地自定義保警方式，如通過短消息報警。在緊急情況下，管理員能夠在家里對干將入侵檢測系統(tǒng)進行管理和入侵分析。當一個網(wǎng)絡(luò)分布于不同的地理位置的時候，管理員僅僅需要在每一個位置安裝相應(yīng)的檢測引 擎，就能夠集中在中央管理臺進行管理策略的定義、分發(fā)以及入侵庫的升級等工