| 出版日期:2004-03-08 总期号:1294 本年期号:15 |
|
 |
给防火墙更多的智能
万平国 智能化病毒给网络安全带来严重威胁,造成巨大的经济损失,但传统的防病毒软硬件、传统的防火墙、传统的入侵检测和入侵防御,都无法有效地防止智能化病毒的危害。 本文提出一种全新的智能防病毒技术架构,采用的基本思路是智能化病毒还需要智能化的防疫技术来解决,同传统的防病毒的查杀机制不同,新方案把核心放在如何有效地遏制网络病毒的传播,保护正常的主机免受已经感染病毒主机的传染,则网络病毒将不再构成所谓的“疫情”威胁。 通过计算机模拟发现,好的智能防火墙的访问控制策略能减缓病毒传播的速度,合理的划分局域网的网段可以有效地缩小病毒的传播面,恰当的网络隔离可以将已经感染的病毒严格的限制在有限的范围,这些方式都会有效的控制病毒的传播。将控制传染病的办法交叉应用在网络病毒的防疫上,就是隔离传染源,断开传播途径,保护未染毒主机和网络。在某些影响因素不断减弱的情况下,其对应的传播模型图如下: 
以上的措施,在特定的时间里减弱了病毒传播的速度,但并不能消除病毒最终的传播效果,也没有控制病毒。如果给足够的时间,病毒还是可以感染到原来病毒本身设计的理论上的规模。如果没有有效的病毒查杀工具,最终的威胁是无法消除的。为了解决这个问题,大规模的隔离和断开病毒的传播渠道是必须的。它可以为我们争取到足够的时间,甚至是把时间无限的推迟。一般说来,在病毒爆发以后的一周的时间里,就可以从有关站点下载相关病毒的查杀工具,这就从根本上除出病毒的根源。最坏的办法当然是格式化感染的主机,重新安装系统,假如必要的话。 这样一套系统一定是分布式网络系统。控制和隔离的力度,取决于用户,细可以到每一台主机,粗可以到不同的网段之间,或网络之间。另外一个关键的技术是如何有效地探测到那些通过网络传播的新网络病毒,并在其感染计算机之前将其隔离。目前的研究发现,可行的办法是智能特征技术。这些特征值,可能是在网络层,也可能是协议层,还可能在应用层,甚至是内容特征。 新的病毒防疫技术,从原来实时探测、响应后修复系统,变为在感染前即做出响应,并且把这种响应作为疫情防疫策略,分发到全网,来控制病毒。 根据以上的理论,我们给出一个最新的解决方案。本方案的基石,是中网公司的分布式智能防火墙。该防火墙支持Windows平台,支持Unix平台,Linux平台和BSD平台。Windows平台被用于Windows NT的服务器,以及Windows平台的个人用户。Unix平台,Linux平台和BSD平台,支持常用的服务器平台。中网智能防火墙除了提供所有的标准防火墙功能外,最主要的是具有智能技术,能够检测网络的流量异常,非法扫描,非法入侵,非法外联,内容过滤,应用异常和拒绝服务攻击(DDOS)。这些特性被改进用来检测网络病毒是相当有效。当入侵病毒传播中采用入侵攻击手段时,中网智能防火墙能够进行识别并阻断,切断病毒的传播。当恶意代码病毒留下的后门程序在活动时,中网智能防火墙可以进行非法用户操作的识别并进行阻断。当蠕虫病毒进行DoS/DDoS攻击时,中网智能防火墙可以进行识别并阻断。 中网分布式智能防火墙,采用的防外控内的策略。如主机是正常的,主要的责任是防外。如果用户的主机已经感染了病毒,而暂时无法清除,这时中网智能防火墙的责任是保护公网免受该主机的感染,主要的责任是隔离该主机。由于不同的主机上的防火墙具有交互联动的功能,支持协议互动,大大地加强了分布式防火墙的安全性。 中网分布式智能防火墙还引入了中网物理隔离网闸的物理隔离技术,最大限度地对主机和网络进行网络隔离。网络隔离是指从OSI模型的全部七层进行隔离断开,对两个网络进行隔离,免除网络的通信连接,TCP/IP连接和应用连接带来的威胁。 中网分布式智能防火墙还引入了智能内容过滤和智能应用过滤技术,通过贝叶斯算法和智能统计算法,对连接电子邮件和病毒电子邮件进行识别,通过SMTP和POP3代理进行识别和隔离,在网关处的识别并切断病毒电子邮件的传播,主要是切断邮件病毒的传播途径。对病毒蠕虫造成的大量垃圾邮件进行识别和过滤。对目前出现的Mydoom病毒,不仅识别出带病毒电子邮件的附件是可执行文件,还识别出病毒电子邮件附件的大小是以30K为中心的正态分布规律。 中网分布式智能防火墙是通过第三方的防病毒软件来支持查杀病毒的功能。通过采用中网的防病毒联动协议,支持任意地第三方的Windows和Unix平台的查杀平台的软件,作为对智能防疫病毒技术的补充。 |
||||||||||||||||||||||||||||||
