用上網行為管理設備防範電腦病毒

隨著PC及網路帶寬的普及，計算機病毒入侵和病毒泛濫也隨之越來越「普及」，和電腦病毒抗爭已經成為我們網管員IT日常工作的一個重要部分。據IDG統計，世界各國遭受計算機病毒感染和攻擊的事件數以億計，嚴重地干擾了正常的人類社會生活，給計算機網路和系統帶來了巨大的潛在威脅和破壞。國內的安全形勢同樣不容樂觀，諸如最近的「熊貓燒香」、「金豬拜年」等病毒通過網路途徑大肆傳播，並且出現了百餘個變種、400多個不同樣本，在一些著名網站的網頁上甚至也潛藏著病毒，隨著用戶的點擊迅速擴散，數以千計的企業因此受到侵害，數以百萬計的個人用戶遭受感染。

　　病毒肆虐極大地影響了人們的日常工作與信息傳播，也將國內各界對信息安全的需求推到最高。目前對病毒的防範最主要的就是部署各類殺毒軟體，包括單機版殺毒軟體、網路版殺毒軟體及網關殺毒(防毒牆)，這些殺毒軟體對病毒確實起到了一些防範效果，但是我們往往發現雖然很多企業投入大筆費用購買了正版的殺毒軟體，區域網裡面感染病毒的事件仍然層出不窮。

　　究竟是什麼原因造成部署殺毒軟體后病毒事件仍然頻現，怎麼從根本上去解決病毒問題，更好的實現區域網立體防禦?

　　我們發現採用國內深信服公司推出的AC上網行為管理設備，結合一般的網路版殺毒軟體進行配合，可以為當前病毒的防範提供一個新的思路。

　　一、「客戶端准入規則」可以更好的協助實施網路版殺毒軟體

　　常見的主機防病毒(網路版殺毒軟體)主要是針對主機進行防範，需要每台電腦都部署專門的客戶端，這樣對於沒有安裝客戶端的電腦主機還是有可能在上Internet的時候感染上病毒，另外對於沒有及時升級最新殺毒版本的電腦主機也同樣有可能會感染上病毒，從而導致整個區域網中毒。

　　深信服AC上網行為管理設備提供了一個「客戶端准入規則」(Network Admission Rules，NAR)認證的功能，可以通過對客戶端的評估來實現網路訪問控制，並更好的維護網路安全防線。當啟用了AC的NAR功能后，內網用戶第一次發起互聯網連接請求時，NAR將動態分發准入代理(Sinfor Ingress Agent，SIA)至客戶端主機。SIA是輕量級軟機代理，用於確定埠是否遵從管理員設定的安全策略，SIA中可配置用於檢查預定義的和可定製的標準，比如該PC終端有沒有打操作系統補丁、有沒有安裝殺毒軟體、殺毒軟體有沒有升級到最新版本。當SIA將搜集到的客戶端信息傳回AC網關后，如果該PC終端的安全狀態不符合SIA的規則設置，AC網關將對該用戶執行預定義的策略，比如直接禁止上網或彈出警告，從而有效避免某些員工因為忙碌或者偷懶而不安裝殺毒軟體和打補丁，或者雖然安裝了殺毒軟體但沒有做及時升級而引發的病毒事件。

　　二、「網關殺毒」和「網路版殺毒」的結合——「一夫當關，萬夫莫開」

　　前面提到，主機防病毒(網路版殺毒軟體)主要是針對主機進行防範，需要每台電腦都部署專門的客戶端，這樣對於沒有安裝客戶端的電腦主機還是有可能在上Internet的時候感染上病毒，另外對於沒有及時升級最新殺毒版本的電腦主機也同樣有可能會感染上病毒，從而導致整個區域網中毒。——深信服SINFOR AC上網行為管理裡面獨特的「客戶端准入規則」專利技術可以很好的解決這個問題;除此之外，AC設備里內置的網關防毒模塊也可以很好的解決上述問題，所有流經網關的網路數據，都會經過殺毒處理。

　　傳統的防病毒方案只是在每台計算機上安裝防病毒軟體，這樣是無法在當前病毒的主要入口處進行防病毒，也就是只有在病毒到達網路中的客戶端計算機和伺服器后，才通過本地已經安裝的防病毒軟體進行病毒查殺。大的集團客戶/行業客戶一般都擁有龐大數量的計算機，監督每台計算機是否感染病毒是無法實現的，由於License費用的高昂在每台計算機安裝正版殺毒軟體的也是不現實的;因此在網關處進行防病毒保護的實際意義尤為顯著。
　從用戶的角度來看，越來越多的用戶對安全的意識已經由最初的被動殺病毒轉變為主動防護，因此他們需要的是一個「Total Solution」。由於病毒具有不可預知性，當有病毒攻擊時，他們需要有能夠縮短病毒響應時間、快速自動升級等一系列必要措施。此外，當他們通過電子郵件與外界溝通時，他們還希望不被那些與自己無關的信息打擾。而所有這些正是網關殺毒軟體所要做的工作。

　　在網關殺毒方面，SINFOR AC的網關殺毒模塊採用了靈活的設計手段，經過實際的測試和應用效果檢驗，深信服科技選用了來自歐洲著名殺毒廠商「F-PROT」的高效殺毒引擎作為預設的殺毒模塊，殺毒速度達到50Mb/s，遠遠超過大多數殺毒廠商的網路殺毒速度，也超過一般用戶的Internet帶寬。該病毒引擎獲得國際權威機構VB 100%的認證，不僅可以查殺普通病毒，還可以檢查出各種壓縮包(zip，rar，gzip等)內部隱藏的病毒。病毒庫可每天在線升級，保護內網的所有用戶免受病毒困擾。

　　F-Prot網路殺毒功能一覽表：

功能  詳細指標
支持協議  HTTP、SMTP、POP3、FTP、NETBIOS
郵件附件殺毒  支持
查殺壓縮文件類型  Zip、gzip、rar、tar、bz2
網頁惡意代碼過濾  支持
病毒庫升級  自動(每天)/手動
病毒引擎  F-PROT(獲得VB100%認證)


　　當然，網關防病毒主要是防範通過網關傳播的病毒，對於網路內部通過U盤、軟盤等移動存儲介質、區域網文件共享等途徑傳播的病毒，是網關防病毒鞭長莫及的，必須要通過主機防病毒才可以補充防範。為了解決這個問題，深信服科技在提供網關式防護的同時，還提供了在線殺毒的功能，通過訪問URL的方式啟用在線殺毒，簡單、易用，不受License控制，就能夠對最終用戶的桌面電腦及網路中的伺服器進行全面的病毒查殺，從而確保通過其他途徑進去網路內的病毒能夠被清除掉。

　　對於有比較充足IT經費預算的用戶，我們的建議是在網路裡面同時部署網路版殺毒軟體，這樣可以在AC上網行為管理設備「網關殺毒」模塊的配合下，實現雙重防禦。

　　三、從根源上防止病毒，治標還要治本

　　以上所介紹的單機版殺毒軟體、網路版殺毒軟體及網關殺毒(防毒牆)能夠對病毒的防範起到非常有效的作用，但都還只是停留於對病毒的防範和清除上，沒有從病毒的根源上去真正解決，「治標不治本」。

　　回顧我們曾經的中毒史，我們發現很多病毒事件都是因為一些員工訪問一些非法網頁/非法BBS論壇，或通過FTP下載文件及即時通訊軟體傳播文件而引發。統計數據也顯示了這一點，中國內地針對網路遊戲、聊天軟體的木馬數量比去年增加了五倍，達到90421個，佔到總病毒數量的75.7%。值得留意的是與IM有關的「網路釣魚」攻擊目前正呈上升勢頭。這些有害的信息不僅會降低系統效率、侵佔網路帶寬，而且使企業的網路門戶洞開，受到病毒、特洛伊木馬以及其它各種威脅，使企業網路處於高風險狀態。網路使用的簡易性和開放性使得這種威脅越來越嚴重。

　　針對這些病毒的來源和傳播途徑，深信服AC上網行為管理設備可以很好的配合殺毒軟體實現「治標治本」的效果。AC網關裡面的URL過慮功能，可以對常見的非常網址/非法BBS論壇直接實現過慮，AC網關提供的對下載及P2P軟體的封堵和管理功能也可以有效減少因為文件下載而引發的病毒傳播，尤其值得一提的是AC裡面的SSL控制功能，可控制用戶通過SSL協議訪問的URL，並可對SSL協議的證書做有效性檢查，允許或拒絕用戶訪問持有指定X.509證書的網站，以防止用戶通過SSL協議泄密和訪問色情、反動和釣魚網站，從而起到「防網路釣魚」的效果，避免客戶陷入「網路釣魚」陷阱。

　　正是鑒於以上幾點，我們發現，SINFOR AC上網行為管理設備可以和傳統的殺毒軟體進行很好的配合，為客戶提供更好的立體安全防禦策略，這在當前國內越來越嚴峻的安全形勢下無疑為我們提供了一個新的病毒防範思路。據了解，現在，越來越多的殺毒軟體廠商及其渠道夥伴，也紛紛加入了深信服的大合作體系里，採用深信服AC上網行為管理設備為新老殺毒軟體客戶提供更立體的安全防範。我們有理由相信，隨著上網行為管理理念的普及，上網行為管理設備和殺毒軟體的結合將愈來愈成為網路安全業內的一個趨勢。