| 出版日期:2002-10-21 总期号:1161 本年期号:78 |
|
 |
网关也能防病毒
FortiNet 公司FortiGate 费宗莲 网络安全面临新的挑战。早先的网络保护几乎全部聚焦在协议层的攻击, 企业大多依赖防火墙, 仅对数据包头扫描, 以阻挡网络层的攻击。但是根基于内容的攻击, 包括病毒和蠕虫, 却嵌入在邮件附件、从因特网下载文件和MS Office文件的宏中,正变为破坏IT资源的主要原因。虽然有基于主机的防病毒软件, 但由于它没有在网络界面上防范, 这样就必须对每一台主机进行软件升级。当今几乎每一周都有新的病毒发布,因而, 在每一台主机接受防病毒更新升级之前,甚至当只有一台主机没有保护好时, 病毒也可能造成攻击成功。用URL来阻挡Web内容过滤,防止基于黑名单的攻击, 同样具有一些局限性。在网络界面防范病毒/蠕虫,对应用层内容进行过滤,是网络安全发展的必然趋势。 FortiNet公司创新地推出对应用层内容过滤的新型网络安全产品, 称为“网络防御网关”,它是获得美国著名ICSA实验室资格论证的、具有防病毒功能的网络安全保护网关。FortiGate是用硬软件结合方式, 对内容检测防病毒的网络安全防御网关,其特点是超越了在内容处理上的壁垒, 能在网络边界实施应用层服务。在低成本和不影响网络性能的前提下, 改善网络性能, 限制滥用和误用,保障优化利用通信资源。 
FortiGate 500 基于ASIC高性能硬件体系的、具有防病毒、内容过滤功能, 兼有VPN、防火墙、入侵检测功能的网络防御网关 (NPG),今年年中在加州硅谷问世。网络防御网关同时对网络层和应用层予以全方位保护,不仅有防火墙、VPN、入侵检测功能, 更具有防病毒和内容过滤功能。产品系列从家庭办公室到电信运营级,具备高达2Gbps流量的千兆级防御性能。 所谓“内容处理障碍”, 是指传统的系统缺少内容过滤处理的功能, 也就是说,它们缺少必要的以网络速率在应用层对内容扫描的能力, 来检测和限制不想要的资料。当前, 网络安全机制大多遇到的挑战, 正是由网络系统的端口功能局限性直接引起的。常规的安全系统,例如防火墙和VPN网关, 对网络层安全保护是有效的。它通过检查包头信息来保证合法请求的安全。但当前的趋势是, 大多数破坏性的攻击,包含网络层和应用层基于内容(例如病毒和蠕虫)的联合攻击。往往在包内渗入有害内容时, 仍可能穿过传统的防火墙进行传播。因而,为粉碎联合攻击,进行有效的网络保护,需要具有分解和分析应用层内容(例如文件和指令)的能力。然而,完成高效率内容处理所必需的处理能力,要超过强大的网络设备本身的性能。如果在桌面和服务器上来加强内容服务的配置,则会大大影响性价比。 FortiNet的FortiGate系列产品以创新的体系结构,用基于ASIC芯片的硬件方式,突破了内容处理上的障碍, 提供了在网络边界对所有安全威胁类型(包括病毒和其它基于内容的攻击)的广泛保护。每一型号都是一台专用的,紧凑的,容易管理的设备,既可提供如防病毒,内容过滤等全套的应用层功能, 又与网络层服务,例如防火墙、侵入检测、VPN、流量监控等功能结合在一起,保障关键业务的正常运行,形成全方位的网络安全体系。 FortiGate的结构由FortiASIC内容处理器和FortiOS操作系统组成, 完成深层次信息包检查、加密、内容和行为扫描功能的优化等任务。FortiGate一般安装在网络边界,也就是位于局域网(LAN)和广域网(WAN)之间。同时也可被设置于企业内网和服务供应商。FortiGate提供一套完整的服务,包括防火墙(地址转换、端口转换和状态检测)、病毒/蠕虫检测和清除、入侵检测、根据URL、关键词或词组过滤内容,拒绝服务检测和防止,虚拟专用网,和流量控制。 FortiNet 公司拥有11项专利,其NPG使用“行为加速和内容分析系统” (ABACAS)技术, 在芯片设计、网络安全和内容分析诸多难点上有所突破。独特的ASIC体系结构, 实时地分析网络内容和行为, 使得能在网络边界部署应用层防护措施,成本低、管理简单。 |
||||||||||||||||||||||||
