KILL過(guò)濾網(wǎng)關(guān)_技術(shù)白皮書(shū)

1、KILL Shield Gateway White PaperCA-JinChen Software Co.,Ltd.KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）技術(shù)白皮書(shū)冠群金辰軟件有限公司CA-Jinchen Software Co.,Ltd目錄版權(quán)說(shuō)明 - Copy Right4文檔說(shuō)明4閱讀對(duì)象41.網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和防御策略5互聯(lián)網(wǎng)帶來(lái)網(wǎng)絡(luò)病毒威脅5更大的危害 - 蠕蟲(chóng)5混合型威脅6垃圾郵件的危害6網(wǎng)絡(luò)安全的積極防御策略72.KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）概述83.保護(hù)原理9保護(hù)的資產(chǎn)9應(yīng)用協(xié)議的完整支持9OSI多層次過(guò)濾10簡(jiǎn)單靈活的接入10

2、參考標(biāo)準(zhǔn)114.主要功能11蠕蟲(chóng)過(guò)濾11病毒過(guò)濾11垃圾郵件過(guò)濾12內(nèi)容過(guò)濾125.產(chǎn)品特性13獨(dú)立的硬件平臺(tái)13專(zhuān)有的安全操作系統(tǒng)13國(guó)際技術(shù)、本地化開(kāi)發(fā)13友好的中文管理界面13安全管理方式14用戶(hù)權(quán)限控制14SMTP認(rèn)證14訪問(wèn)控制和入侵阻斷14簡(jiǎn)單靈活的配置策略15實(shí)時(shí)過(guò)濾和報(bào)警15完整的日志、豐富的報(bào)表15高效的處理能力15資源自適應(yīng)控制16帶寬保護(hù)16雙機(jī)容錯(cuò)（Spanning Tree）16特征碼自動(dòng)升級(jí)166.典型部署方式17典型部署方式1 - 保護(hù)關(guān)鍵網(wǎng)絡(luò)17典型部署方式2 - 保護(hù)內(nèi)部網(wǎng)絡(luò)17典型部署方式3 - 保護(hù)郵件系統(tǒng)18版權(quán)說(shuō)明 - Copy Right版權(quán)所有 (

3、c) 2002-2005，冠群金辰軟件有限公司（CA-JinChen Software Co.,Ltd）。本文件中涉及的所有產(chǎn)品、文字描述和圖片，除特別注明，版權(quán)均屬冠群金辰軟件有限公司所有，受?chē)?guó)家知識(shí)產(chǎn)權(quán)和版權(quán)有關(guān)法律保護(hù)。未經(jīng)冠群金辰軟件有限公司授權(quán)，任何組織和個(gè)人不得以任何方式對(duì)本文件的內(nèi)容進(jìn)行散發(fā)、復(fù)制或引用。如果使用該文檔，必須標(biāo)明文檔出處。文檔說(shuō)明本文件對(duì)網(wǎng)絡(luò)邊界的安全風(fēng)險(xiǎn)進(jìn)行了分析，提出積極防御的策略。同時(shí)，重點(diǎn)介紹了KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）產(chǎn)品的功能特性、工作原理和典型應(yīng)用，目的是使企業(yè)用戶(hù)能夠針對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)，找到有效的應(yīng)對(duì)措

4、施。此外，對(duì)于關(guān)心信息安全的讀者，本文也將提供有價(jià)值的參考。閱讀對(duì)象期望了解網(wǎng)關(guān)過(guò)濾技術(shù)和KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）產(chǎn)品功能特性的用戶(hù)、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等。1. 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和防御策略互聯(lián)網(wǎng)帶來(lái)網(wǎng)絡(luò)病毒威脅隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用，大量的計(jì)算機(jī)病毒已將網(wǎng)絡(luò)作為其主要的傳播途徑和攻擊目標(biāo)。其中，電子郵件、Web方式是其最直接的傳播方式。據(jù)ICSA的病毒流行性調(diào)查結(jié)果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對(duì)主要途徑。由于互聯(lián)網(wǎng)的普及，世界上任何一個(gè)角落發(fā)起的病毒傳播和網(wǎng)絡(luò)攻擊事件都可能在極短的時(shí)間內(nèi)蔓延到全球，全球每年因此

5、造成的經(jīng)濟(jì)損失高達(dá)幾十億到幾百億美元。對(duì)于企業(yè)和政府事業(yè)部門(mén)，帶來(lái)的直接損失是數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓，還有由此造成的信譽(yù)損失。我們很可能在收發(fā)電子郵件、Internet沖浪、文件傳輸?shù)臅r(shí)候引入各種威脅。只要我們與外界相連，便時(shí)刻面臨著威脅。更大的危害 - 蠕蟲(chóng)人們對(duì)計(jì)算機(jī)病毒已經(jīng)不再陌生，幾乎每一個(gè)計(jì)算機(jī)用戶(hù)都品嘗過(guò)被病毒侵害的苦果。計(jì)算機(jī)病毒是一段有破壞作用的程序，可以導(dǎo)致系統(tǒng)異常和數(shù)據(jù)破壞。目前公眾乃至業(yè)界對(duì)計(jì)算機(jī)病毒的理解還不統(tǒng)一，常常將破壞性的計(jì)算機(jī)程序統(tǒng)稱(chēng)為病毒。但嚴(yán)格來(lái)講，應(yīng)該根據(jù)危害事件的特點(diǎn)進(jìn)行區(qū)別定義，這樣，更有利于采用不同的技術(shù)各個(gè)擊破。隨著近年來(lái)蠕蟲(chóng)危害的加劇，在概

6、念和技術(shù)控制手段上加以區(qū)分就顯得更為必要。計(jì)算機(jī)病毒和蠕蟲(chóng)有多種定義。根據(jù)RFC以及Eugene Spafford的定義，蠕蟲(chóng)的特點(diǎn)是：可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上。而計(jì)算機(jī)病毒則是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上，不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來(lái)激活。我們可以將病毒進(jìn)一步細(xì)分為郵件病毒和普通計(jì)算機(jī)病毒。例如：蠕蟲(chóng)：Morris，Codered，Nimda，SQL Slammer，MS Blaster，Sasser；郵件病毒：Mellisa，Loveletter，Sircam，Sobig，Mydoom；普通計(jì)算機(jī)病毒：CIH。蠕蟲(chóng)和郵件

7、病毒的共同特征就是具有極強(qiáng)的傳染性、設(shè)置后門(mén)程序、發(fā)動(dòng)拒絕服務(wù)攻擊（DoS/DDoS）等。蠕蟲(chóng)主要利用系統(tǒng)漏洞進(jìn)行主動(dòng)傳播和攻擊，電子郵件病毒主要利用社會(huì)工程學(xué)（Social Engineering）方式進(jìn)行欺騙傳播。這些特點(diǎn)，與傳統(tǒng)的病毒有很大不同。從近幾年發(fā)生的大范圍危害事件來(lái)看，蠕蟲(chóng)的危害性更大（例如沖擊波、震蕩波）?；旌闲屯{目前網(wǎng)絡(luò)面臨的主要威脅包括：普通病毒、電子郵件病毒、蠕蟲(chóng)病毒、特洛伊木馬、入侵攻擊、以及由這些威脅導(dǎo)致的具有黑客性質(zhì)的非法入侵行為等?；旌闲屯{集成了以上各種威脅行為，以多種方式進(jìn)行入侵破壞，造成的危害非常巨大。由于網(wǎng)絡(luò)傳播的快速性，利用網(wǎng)絡(luò)傳播的混合型威脅也更加

8、難以防范，影響的范圍也更大。蠕蟲(chóng)是混合型威脅的典型代表（比如沖擊波、蠕蟲(chóng)王等），它具備病毒的傳播特性，可以種植木馬，利用系統(tǒng)漏洞進(jìn)行入侵，通過(guò)拒絕服務(wù)攻擊（DoS/DDoS）造成網(wǎng)絡(luò)癱瘓。我們已經(jīng)不能單從防病毒角度考慮安全，而應(yīng)該根據(jù)新的威脅發(fā)展趨勢(shì)進(jìn)行綜合防范。為了應(yīng)對(duì)混合型威脅，需要根據(jù)混合型威脅的不同特點(diǎn)，采用相應(yīng)的安全控制技術(shù)分別加以抵御，做到全面防范。垃圾郵件的危害按照公安部、教育部、信息產(chǎn)業(yè)部、國(guó)務(wù)院新聞辦公室關(guān)于垃圾電子郵件專(zhuān)項(xiàng)治理工作的定義，垃圾郵件是指用戶(hù)未主動(dòng)請(qǐng)求或同意接收的電子刊物、電子廣告和各種形式的電子宣傳品等電子郵件，沒(méi)有明確發(fā)信人、發(fā)信地址、退信方法的電子郵件，含

9、有虛假發(fā)信源、發(fā)信地址、路由信息或收件人不存在的電子郵件。在互聯(lián)網(wǎng)業(yè)務(wù)中，電子郵件已成為最基本的一項(xiàng)服務(wù)。大多數(shù)網(wǎng)絡(luò)用戶(hù)都會(huì)使用電子郵件處理公務(wù)或進(jìn)行個(gè)人交流。隨著互聯(lián)網(wǎng)用戶(hù)的逐漸增多，商家、政治文化團(tuán)體、犯罪分子等通過(guò)電子郵件方式進(jìn)行大量的商業(yè)宣傳、政治宣傳、色情傳播、詐騙等活動(dòng)，不管人們是否情愿，都只能被動(dòng)地接收。某些來(lái)歷不明的垃圾郵件甚至很可能攜帶病毒，損害用戶(hù)的系統(tǒng)安全。垃圾郵件成為了社會(huì)公害，這已是不爭(zhēng)的事實(shí)。垃圾郵件占用戶(hù)收發(fā)電子郵件的比例呈不斷上升趨勢(shì)，嚴(yán)重干擾了人們的正常工作和生活，已經(jīng)引起人們的極大反感。同時(shí)，垃圾郵件還消耗用戶(hù)的網(wǎng)絡(luò)和郵件系統(tǒng)資源。用戶(hù)不但要花費(fèi)許多精力來(lái)識(shí)

10、別和處理垃圾郵件，而且還可能在思想上遭受蒙騙和侵蝕。國(guó)家政府部門(mén)已開(kāi)始制定反垃圾郵件的政策法規(guī)，力求從政策、法律上起到制裁和威懾作用。作為安全廠商，我們根據(jù)目前反垃圾郵件的迫切要求，按照垃圾郵件的特征和用戶(hù)的定義方式，從技術(shù)措施上加以控制，最大限度地控制垃圾郵件的危害。網(wǎng)絡(luò)安全的積極防御策略傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒(méi)有從引入威脅的最薄弱環(huán)節(jié)進(jìn)行控制。面對(duì)外界的動(dòng)態(tài)攻擊，即便采取一些簡(jiǎn)單控制手段加以解決，也仍然不能消除來(lái)自外界的繼續(xù)攻擊，短期消滅的危害仍然會(huì)再次出現(xiàn)。如果形成拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊（DoS/DDoS），往往會(huì)造成網(wǎng)絡(luò)堵塞或癱瘓。我們面臨的威脅已不僅僅是單純的病毒，而是更

11、多形式的威脅。為了實(shí)現(xiàn)全面的控制，除了防御病毒外，還必須對(duì)蠕蟲(chóng)、垃圾郵件以及非法內(nèi)容傳播進(jìn)行安全控制。一個(gè)更為有效的控制手段是從網(wǎng)絡(luò)邊界入手，切斷傳播途徑，進(jìn)行網(wǎng)關(guān)級(jí)的過(guò)濾控制。這樣，變被動(dòng)防御為積極主動(dòng)防御，將混合型威脅、垃圾郵件等阻止在受保護(hù)網(wǎng)絡(luò)之外。根據(jù)IATF信息安全技術(shù)框架，網(wǎng)絡(luò)安全是信息安全的重要組成部分。我們按照 “參考監(jiān)視器”（Reference Monitor）安全模型，針對(duì)企業(yè)、政府、事業(yè)單位等擁有獨(dú)立網(wǎng)絡(luò)的機(jī)構(gòu)來(lái)構(gòu)建這樣一個(gè)網(wǎng)絡(luò)安全體系： 來(lái)自主體的數(shù)據(jù)流除了合法信息外，還可能有非法連接、惡意代碼、非法信息?！胺阑饓Α敝饕獙?shí)現(xiàn)對(duì)連接的控制，從網(wǎng)絡(luò)層阻擋非法連接；“惡意代碼

12、過(guò)濾”對(duì)病毒、蠕蟲(chóng)、以及由蠕蟲(chóng)造成的入侵攻擊等破壞行為進(jìn)行控制，可以從網(wǎng)絡(luò)層、傳輸層、應(yīng)用層分別處理；“信息內(nèi)容過(guò)濾”實(shí)現(xiàn)對(duì)垃圾郵件、敏感信息等非法內(nèi)容的過(guò)濾。經(jīng)過(guò)多種手段控制，最后保證只有合法的信息能夠到達(dá)客體。根據(jù)CERT CC發(fā)布的關(guān)于最新入侵者攻擊方式的趨勢(shì)分析結(jié)果，網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊過(guò)程自動(dòng)化、攻擊技術(shù)復(fù)雜化、漏洞發(fā)現(xiàn)的更快、以及滲透防火墻的趨勢(shì)。采用蠕蟲(chóng)攻擊、病毒擴(kuò)散等混合型威脅的復(fù)雜攻擊事件越來(lái)越多。這幾年來(lái)多起大范圍的網(wǎng)絡(luò)安全事件（如：SQL Slammer、MSBlaster、Sobig、MyDoom等），都是屬于這種類(lèi)型的攻擊。而傳統(tǒng)的防火墻依靠對(duì)IP 地址、端口號(hào)來(lái)過(guò)濾數(shù)據(jù)

13、的方式，顯然不能有效地?cái)r截住這些攻擊。為了彌補(bǔ)防火墻的不足，過(guò)濾惡意代碼和非法信息，實(shí)現(xiàn)全方位的邊界控制，采用網(wǎng)關(guān)過(guò)濾技術(shù)是非常必要的。冠群金辰的KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）就是一個(gè)同時(shí)具備惡意代碼過(guò)濾和信息內(nèi)容過(guò)濾功能的產(chǎn)品，主要針對(duì)電子郵件、互聯(lián)網(wǎng)訪問(wèn)等途徑帶來(lái)的混合型威脅進(jìn)行安全控制。2. KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway）概述KILL過(guò)濾網(wǎng)關(guān)（KILL Shield Gateway，簡(jiǎn)稱(chēng)KSG）是冠群金辰公司新一代網(wǎng)絡(luò)過(guò)濾專(zhuān)用設(shè)備，能夠同時(shí)在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層對(duì)病毒、蠕蟲(chóng)、垃圾郵件、非法內(nèi)容分別進(jìn)行過(guò)濾。KILL Shield

14、Gateway是一個(gè)獨(dú)立的硬件產(chǎn)品，針對(duì)通過(guò)SMTP、POP3、HTTP、FTP等協(xié)議傳輸?shù)膬?nèi)容進(jìn)行過(guò)濾處理，使有害數(shù)據(jù)無(wú)法通過(guò)郵件、Internet訪問(wèn)、文件傳輸?shù)确绞竭M(jìn)入到受保護(hù)網(wǎng)絡(luò)。KILL Shield Gateway除了可以有效地實(shí)現(xiàn)電子郵件病毒過(guò)濾、內(nèi)容過(guò)濾、垃圾郵件過(guò)濾外，更重要的是可以實(shí)現(xiàn)蠕蟲(chóng)過(guò)濾（過(guò)濾靜態(tài)蠕蟲(chóng)擴(kuò)散、阻斷蠕蟲(chóng)動(dòng)態(tài)攻擊）。KILL Shield Gateway獨(dú)有的抗蠕蟲(chóng)攻擊技術(shù)（Anti-Worm）能夠全方位抵御所有已知蠕蟲(chóng)病毒的攻擊和傳播，可以阻斷后門(mén)程序、DoS/DDoS等動(dòng)態(tài)入侵攻擊行為。3. 保護(hù)原理保護(hù)的資產(chǎn)由于Kill Shield Gateway是

15、網(wǎng)關(guān)級(jí)的過(guò)濾系統(tǒng)，在網(wǎng)絡(luò)的邊界實(shí)施保護(hù)，因而，它實(shí)際上保護(hù)了網(wǎng)絡(luò)內(nèi)部資源。主要包括： 保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)，相應(yīng)地起到保護(hù)內(nèi)部網(wǎng)絡(luò)相關(guān)資源的作用。 保護(hù)企業(yè)內(nèi)部關(guān)鍵網(wǎng)段，例如DMZ區(qū)或關(guān)鍵服務(wù)器所在區(qū)域。 保護(hù)企業(yè)內(nèi)部郵件系統(tǒng)，切斷病毒、蠕蟲(chóng)、垃圾郵件、非法內(nèi)容等危害的最大來(lái)源。應(yīng)用協(xié)議的完整支持KILL Shield Gateway完整地實(shí)現(xiàn)了對(duì)SMTP、HTTP、POP3、FTP等協(xié)議的支持。對(duì)于其它特殊協(xié)議數(shù)據(jù)，KILL Shield Gateway不加任何處理，使其透明通過(guò)，保證通訊數(shù)據(jù)的完整性。由于是基于協(xié)議進(jìn)行過(guò)濾的，和用戶(hù)使用的Email、WWW、FTP等服務(wù)器具體細(xì)節(jié)不直接相關(guān)。即

16、使用戶(hù)更換了新的服務(wù)器系統(tǒng)，KILL Shield Gateway也無(wú)需修改或替換，這樣可以有效地保護(hù)用戶(hù)的已有投資。OSI多層次過(guò)濾根據(jù)蠕蟲(chóng)、病毒、垃圾郵件、非法內(nèi)容過(guò)濾的不同特點(diǎn)，KILL Shield Gateway從OSI七層協(xié)議的網(wǎng)絡(luò)層、傳輸層、應(yīng)用層分別進(jìn)行過(guò)濾處理。網(wǎng)絡(luò)層：實(shí)現(xiàn)了基于IP地址、端口號(hào)等網(wǎng)絡(luò)層特征的過(guò)濾功能。傳輸層：傳輸層恰恰是蠕蟲(chóng)攻擊、黑客攻擊數(shù)據(jù)的理想識(shí)別位置，KILL過(guò)濾網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的特征，在傳輸層有效地?cái)r截蠕蟲(chóng)攻擊和動(dòng)態(tài)入侵攻擊數(shù)據(jù)。應(yīng)用層：能夠?qū)Χ喾N常用的網(wǎng)絡(luò)協(xié)議（HTTP、SMTP、POP3、FTP等）進(jìn)行深度分析并還原出的原始的傳輸數(shù)據(jù)，進(jìn)行病毒檢查

17、、蠕蟲(chóng)檢查、垃圾郵件處理和內(nèi)容檢查。簡(jiǎn)單靈活的接入KILL Shield Gateway的接入非常簡(jiǎn)單，主要使用透明（Bridge模式，串聯(lián)）方式接入用戶(hù)網(wǎng)絡(luò)。透明模式接入時(shí)，用戶(hù)基本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置，而且，KILL過(guò)濾網(wǎng)關(guān)是基于協(xié)議進(jìn)行過(guò)濾的，和用戶(hù)使用的Email、WWW、FTP等服務(wù)器具體細(xì)節(jié)不直接相關(guān)，即使用戶(hù)更換了新的服務(wù)器軟件，也無(wú)需修改或替換KILL過(guò)濾網(wǎng)關(guān)，保護(hù)用戶(hù)的已有投資。KILL Shield Gateway會(huì)自動(dòng)對(duì)所有通過(guò)它的網(wǎng)絡(luò)流量進(jìn)行識(shí)別分析，過(guò)濾普通病毒、電子郵件病毒、蠕蟲(chóng)代碼、惡意網(wǎng)頁(yè)代碼、非法內(nèi)容、垃圾郵件等，同時(shí)阻擊蠕蟲(chóng)動(dòng)態(tài)攻擊行為。KILL S

18、hield Gateway截取網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾處理，將過(guò)濾后的數(shù)據(jù)傳遞給目的地，確保信息安全。對(duì)于蠕蟲(chóng)和動(dòng)態(tài)攻擊，KILL Shield Gateway將其徹底阻斷，使其不能擴(kuò)散。此外，KILL過(guò)濾網(wǎng)關(guān)也支持非透明（Router模式，旁路并聯(lián)）方式的接入。這種情況下，主要用于對(duì)用戶(hù)自身的郵件系統(tǒng)進(jìn)行病毒過(guò)濾。參考標(biāo)準(zhǔn) SMTP - RFC821 POP3 - RFC1939 HTTP - RFC1945，RFC 2616，RFC 2617 FTP - FTP - RFC959，F(xiàn)TP OVER HTTP4. 主要功能蠕蟲(chóng)過(guò)濾蠕蟲(chóng)可以利用電子郵件、文件傳輸?shù)确绞竭M(jìn)行擴(kuò)散，也可以利用系統(tǒng)的漏洞發(fā)起

19、動(dòng)態(tài)攻擊。近幾年蠕蟲(chóng)造成的危害越來(lái)越大，可以導(dǎo)致系統(tǒng)嚴(yán)重?fù)p壞和網(wǎng)絡(luò)癱瘓。如尼姆達(dá)（Nimda）、紅色代碼（CodeRed）、蠕蟲(chóng)王（Slammer）、沖擊波（Blaster）等。根據(jù)蠕蟲(chóng)的特點(diǎn)，Kill Shield Gateway從OSI的多個(gè)層次進(jìn)行處理。在網(wǎng)絡(luò)層和傳輸層過(guò)濾蠕蟲(chóng)利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過(guò)濾利用正常協(xié)議（SMTP、HTTP、POP3、FTP等）傳輸?shù)撵o態(tài)蠕蟲(chóng)代碼。Kill Shield Gateway所獨(dú)有的抗蠕蟲(chóng)攻擊技術(shù)（Anti-Worm）處于國(guó)際領(lǐng)先地位，能夠全方位抵御所有已知蠕蟲(chóng)病毒的攻擊，彌補(bǔ)了國(guó)內(nèi)同類(lèi)產(chǎn)品空白。這一技術(shù)標(biāo)志著，Kill Shield Ga

20、teway不僅可以過(guò)濾靜態(tài)蠕蟲(chóng)代碼，而且能夠阻斷蠕蟲(chóng)的動(dòng)態(tài)攻擊（包括所引發(fā)的病毒傳播、后門(mén)漏洞、DoS/DDoS攻擊等）。這樣，可以實(shí)現(xiàn)全面防御蠕蟲(chóng)的目的。病毒過(guò)濾這里的病毒過(guò)濾是指普通病毒（例如CIH）、郵件病毒（例如求職信、美麗殺手、愛(ài)蟲(chóng)、Mydoom）、特洛伊木馬、網(wǎng)頁(yè)惡意代碼的過(guò)濾等。對(duì)于網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、文件傳輸（FTP協(xié)議）、郵件傳輸（SMTP、POP3協(xié)議）等病毒，基于專(zhuān)門(mén)的病毒引擎進(jìn)行查殺。對(duì)郵件病毒，可以定義對(duì)病毒的處理方式，決定清除病毒、刪除附件、丟棄等操作，發(fā)現(xiàn)病毒時(shí)通知管理員、收件人、發(fā)件人等操作。Kill Shield Gateway具有卓越的病毒查殺能力，能

21、夠?qū)Χ喾N應(yīng)用協(xié)議（SMTP、HTTP、POP3、FTP等）所傳遞的數(shù)據(jù)進(jìn)行病毒過(guò)濾，其反病毒引擎獲得了ICSA（國(guó)際計(jì)算機(jī)安全協(xié)會(huì)）實(shí)驗(yàn)室的查殺病毒認(rèn)證，能夠100%地檢測(cè)出目前“流行病毒名單”上的病毒。該反病毒引擎還憑借其卓越的病毒查殺功能榮獲“Virus Bulletin”（病毒公告牌）授予的“VB 100%”獎(jiǎng)，這是自1998年設(shè)立該獎(jiǎng)項(xiàng)以來(lái)，該引擎第19次獲得此殊榮。垃圾郵件過(guò)濾垃圾郵件過(guò)濾是KILL Shield Gateway的一個(gè)獨(dú)立模塊，采用國(guó)際先進(jìn)技術(shù)，依據(jù)公安部反垃圾郵件技術(shù)標(biāo)準(zhǔn)開(kāi)發(fā)。KILL Shield Gateway既可以將反垃圾郵件模塊采用嵌入方式進(jìn)行過(guò)濾處理，也可

22、以劃分出單獨(dú)的反垃圾郵件產(chǎn)品獨(dú)立工作。垃圾郵件類(lèi)型大致可以分為：郵件頭部包含垃圾郵件特征的郵件；郵件內(nèi)容包含垃圾郵件特征的郵件；使用Open Relay主機(jī)發(fā)送的垃圾郵件（Open Relay方式的SMTP郵件服務(wù)器被利用向任何地址發(fā)送的垃圾郵件）；郵件頭部和內(nèi)容都無(wú)法提取特征的垃圾郵件。Kill Shield Gateway使用連接限制技術(shù)、關(guān)鍵字過(guò)濾技術(shù)、黑名單技術(shù)、貝葉斯智能分析技術(shù)，對(duì)垃圾郵件進(jìn)行全面高效過(guò)濾。過(guò)濾的協(xié)議支持SMTP、POP3協(xié)議。KILL Shield Gateway的反垃圾郵件技術(shù)按照協(xié)議特征對(duì)數(shù)據(jù)包進(jìn)行分析、重組及解碼，按照安全規(guī)則通過(guò)智能分析對(duì)SMTP連接、IP

23、地址、郵件地址、數(shù)據(jù)內(nèi)容進(jìn)行處理。KILL Shield Gateway可以限制IP地址、郵件地址、郵件數(shù)量、郵件大?。粚?duì)郵件標(biāo)題、正文、附件、包含特定關(guān)鍵字的郵件進(jìn)行過(guò)濾；對(duì)特定郵件頭信息、郵件發(fā)送者地址、郵件接收者地址、域名等進(jìn)行過(guò)濾；支持HELO/EHLO標(biāo)志過(guò)濾；可以基于RFC821信封規(guī)范進(jìn)行檢查；支持對(duì)偽裝郵件過(guò)濾。這樣，以多種過(guò)濾方式最大限度防止垃圾郵件的泛濫。內(nèi)容過(guò)濾Kill Shield Gateway基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術(shù)進(jìn)行內(nèi)容檢查。這是一種基于稀疏多項(xiàng)哈希和貝葉

24、斯鏈的評(píng)定系統(tǒng)，具有高度準(zhǔn)確的內(nèi)容識(shí)別能力。Kill Shield Gateway支持對(duì)郵件的關(guān)鍵字、附件文件類(lèi)型進(jìn)行過(guò)濾，通過(guò)定義可信或不可信的URL并進(jìn)行過(guò)濾，可以選擇對(duì)網(wǎng)頁(yè)腳本進(jìn)行過(guò)濾，對(duì)傳輸?shù)男畔⑦M(jìn)行智能識(shí)別過(guò)濾，防止敏感信息的侵?jǐn)_和擴(kuò)散。5. 產(chǎn)品特性獨(dú)立的硬件平臺(tái)硬件平臺(tái)不易被發(fā)現(xiàn)和攻擊，安全性比較高，在很大程度上可以達(dá)到自我保護(hù)目的。專(zhuān)有的安全操作系統(tǒng)KILL Shield Gateway采用專(zhuān)有的安全操作系統(tǒng)，比常規(guī)的商用操作系統(tǒng)具備更高的安全級(jí)別。國(guó)際技術(shù)、本地化開(kāi)發(fā)KILL Shield Gateway采用國(guó)際最先進(jìn)的網(wǎng)關(guān)過(guò)濾技術(shù)，本地化開(kāi)發(fā)。能夠提供本地化的技術(shù)支持和面向

25、用戶(hù)特定需求的專(zhuān)門(mén)定制開(kāi)發(fā)。安全控制技術(shù)和策略完全符合國(guó)家信息安全的政策。友好的中文管理界面KILL Shield Gateway的配置管理采用B/S方式，用戶(hù)可使用瀏覽器遠(yuǎn)程查看、修改系統(tǒng)配置及各項(xiàng)過(guò)濾策略，用戶(hù)界面中文顯示，界面友好，操作簡(jiǎn)單。安全管理方式KILL Shield Gateway提供HTTPS、SSH等方式的安全管理。https不同于http，配置頁(yè)面?zhèn)鬟f過(guò)程經(jīng)過(guò)加密，不會(huì)泄漏配置信息（如密碼）；SSH遠(yuǎn)程管理方式，比telnet方式安全，配置頁(yè)面?zhèn)鬟f過(guò)程加密。用戶(hù)權(quán)限控制管理用戶(hù)在第一次使用Kill Shield Gateway產(chǎn)品時(shí)，對(duì)管理用戶(hù)設(shè)置自己的口令。以后只有授權(quán)

26、用戶(hù)才可以瀏覽和修改KILL Shield Gateway的配置。SMTP認(rèn)證KILL Shield Gateway支持SMTP認(rèn)證，認(rèn)證的過(guò)程完全遵循ESMTP的認(rèn)證協(xié)議標(biāo)準(zhǔn)。如果用戶(hù)的RELAY郵件服務(wù)器支持并要求用戶(hù)認(rèn)證，可使用KILL Shield Gateway作為RELAY服務(wù)器進(jìn)行SMTP認(rèn)證，KILL Shield Gateway會(huì)將認(rèn)證過(guò)程的數(shù)據(jù)流重新定向給用戶(hù)的RELAY郵件服務(wù)器，根據(jù)認(rèn)證的結(jié)果來(lái)決定是否接收發(fā)信請(qǐng)求。如果用戶(hù)的RELAY郵件服務(wù)器不支持SMTP認(rèn)證，可使用KILL Shield Gateway的SMTP認(rèn)證擴(kuò)展模塊，將SMTP認(rèn)證協(xié)議轉(zhuǎn)變?yōu)閷?duì)POP3用戶(hù)

27、的認(rèn)證協(xié)議，這樣用戶(hù)就可以使用KILL Shield Gateway進(jìn)行發(fā)信認(rèn)證了。Kill Shield Gateway通過(guò)將郵件地址和SMTP認(rèn)證用戶(hù)進(jìn)行綁定來(lái)識(shí)別并過(guò)濾偽裝郵件，阻止假冒發(fā)信人的郵件。管理員不僅可以通過(guò)配置保護(hù)企業(yè)內(nèi)部網(wǎng)，對(duì)于出差在外的員工，也可以通過(guò)用戶(hù)認(rèn)證來(lái)使用KILL Shield Gateway進(jìn)行病毒和內(nèi)容檢查。垃圾郵件隔離只有最終用戶(hù)才有權(quán)決定一封郵件是否屬于垃圾郵件。為避免過(guò)濾后丟失郵件現(xiàn)象的發(fā)生，保護(hù)用戶(hù)權(quán)益，我們?cè)O(shè)置了垃圾郵件隔離功能。隔離的“垃圾郵件”保存在過(guò)濾網(wǎng)關(guān)的隔離區(qū)，用戶(hù)在及時(shí)得到隔離郵件的通知消息后，可登錄到隔離區(qū)找回需要的郵件，對(duì)不需要的郵

28、件徹底刪除。訪問(wèn)控制和入侵阻斷KILL Shield Gateway可以根據(jù)IP地址和端口號(hào)進(jìn)行訪問(wèn)控制，還可以根據(jù)入侵特征對(duì)動(dòng)態(tài)入侵攻擊進(jìn)行阻斷。 防火墻控制策略 基于IP地址、TCP端口號(hào)等網(wǎng)絡(luò)層特征設(shè)置控制策略。 入侵阻斷策略 采用專(zhuān)門(mén)的入侵防御（IPS）規(guī)則庫(kù)，啟用該策略時(shí)，可以對(duì)入侵行為進(jìn)行阻斷，可以體現(xiàn)為入侵防御系統(tǒng)的功能。簡(jiǎn)單靈活的配置策略KILL Shield Gateway可以根據(jù)過(guò)濾對(duì)象的不同，通過(guò)直觀的管理界面靈活配置定義各種過(guò)濾策略。例如，可以分別定義是否過(guò)濾HTTP、FTP、SMTP、POP3內(nèi)容；對(duì)郵件病毒、垃圾郵件的處理方式；報(bào)警時(shí)如何通知等。配置定義十分豐富。實(shí)時(shí)過(guò)濾和報(bào)警KILL Shield Gateway實(shí)時(shí)過(guò)濾蠕蟲(chóng)、病毒、垃圾郵件、入侵攻擊事件，阻止它們進(jìn)入到用戶(hù)的網(wǎng)絡(luò)，并可根據(jù)系統(tǒng)安全管理的記錄日志并發(fā)出報(bào)警，通知發(fā)送方、接收方或管理員，幫助管理員及時(shí)了解安全事件，掌握安全狀態(tài)。完整的日志、豐富的報(bào)表KILL Shield Gateway采用獨(dú)立的日志和報(bào)表分析系統(tǒng)，提供詳盡完整的過(guò)濾日志報(bào)告，還可根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計(jì)報(bào)表并支持?jǐn)?shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應(yīng)的過(guò)濾策略。例如：病毒過(guò)濾報(bào)告、垃圾郵件報(bào)表、內(nèi)容過(guò)濾報(bào)表、入侵阻斷報(bào)表等。