| 出版日期:2004-03-08 总期号:1294 本年期号:15 |
|
 |
网关与防火墙结合会怎样
费宗莲 什么是一个可信任的安全网关?安全网关应该能够阻挡病毒和蠕虫的攻击,保护内部的网络安全。网关必须能够在数据流到达内网前扫描邮件和Web内容,在病毒到达内部网络时清除有害的内容。在防火墙基本功能上融合反病毒与垃圾邮件的防御功能,能够提供应用层病毒检测和过滤处理数据包的内容。 基于这种创新的理念,采用ASIC的硬件反病毒网关代表了一种新的发展趋势, 即把内容过滤处理和反病毒功能融合到防火墙中,将病毒阻挡在网络边缘。功能包括扫描所有的Email流量(SMTP, POP3, IMAP协议), 扫描所有的Web(HTTP) 内容, FTP下载和Web Email, 扫描加密的VPN数据, 完全符合业界标准的Wild List 病毒库。 目前,常规的反病毒方法有两种, 即基于主机的防病毒和基于网络的防病毒。基于网络的反病毒(NAV)方法,是指NAV安装在网络网关上,在内部网和外部网或公网(例如Internet)之间, 或在单位的网络和外部合作伙伴的网络之间。 基于网络的反病毒防火墙可以带来以下好处: 第一,做到实时处理。反病毒产品往往在处理反病毒或内容过滤时,资源消耗大。当开启扫描时, 一般会使吞吐量性能骤然下降。如何做到不影响系统性能呢?采用ASIC芯片技术, 解决了这一瓶颈问题。依靠ASIC的加速和特定的ASIC会话引擎处理, 便能获得良好的会话处理能力。例如,病毒防火墙FortiGate-3000的病毒检查速度达到100Mbps,FortiGate-300达到20Mbps,足够满足用户对网络运行环境的需要。 第二,阻挡病毒效率高。在网络边缘上检查和拦截蠕虫/病毒,将病毒拦截于它们要接近的服务器之前,大大减少了网络和主机受攻击的风险,关闭了“脆弱的窗口”。 通过特征数据库的更新, 或NAV网关的扫描算法, 达到保护由病毒流过的任一方向上的所有系统。 第三,管理维护方便。网络管理员能在网络边界实施防病毒,而不是依赖在每一台PC和服务器上进行防病毒保护。和主机上单机版查杀毒软件相比,效果完全不同。而且还能方便及时地自动升级病毒和蠕虫库,是一种零维护的防病毒网关。 第四,实现细粒度管理。 充分利用防火墙策略, 针对IP地址或特定服务器来制订策略,例如相对邮件服务器、 FTP服务器、 或Web服务器,可以单独设置策略, 达到有效反病毒的目的。 |
||||||||||||||||||||||||||||||
