Firebox 提供的UTM 安全服務
【51CTO.com 綜合消息】網關防病毒服務(GAV)
WatchGuard 的網關防病毒服務可以識別并攔截病毒、蠕蟲、木馬、間諜軟件等可能會進入到你的網絡的那些惡意代碼。WatchGuard 建議用戶在使用網關防病毒的同時也要使用桌面殺毒系統,這樣做有兩個好處:
一是由于是網關級別的防御,因此不會象桌面殺毒系統那樣被某些新興病毒關閉而失去安全防御能力;二是兩套防病毒系統同時運行,可以提高病毒庫升級的平均響應時間,這比只單獨依賴一套系統要好很多;
在ILS 里,將網關防病毒與其他安全層結合在一起工作,可以得到更多的益處:效率 —— 網關防病毒只處理那些通過了深度應用檢測層處理的數據流,需
要掃描的內容大大減少了;更細化的控制 —— 網關防病毒掃描的文件類型可以訂制;
WatchGuard 的網關防病毒服務可以對感染文件進行允許、阻斷、鎖定操作。文件鎖定可以滿足那些需要這種有害文件的網絡管理員的需求。當系統檢測到一個有害文件時,便對其加密并傳遞給最終用戶。這樣可以防止用戶無疑中執行了該有害文件;如果用戶希望去解開壓縮并還原原始文件,那么他必須從管理員那里得到正確的工具。當然用戶也可以直接刪除到這些沒有用的文件。
WatchGuard 的網關防病毒簽名庫的升級是自動的,并且用戶可以控制其升級的時間間隔。我們在Internet 上平均每4 小時便會更新一次病毒簽名庫。
入侵防御服務(IPS)
WatchGuard 的入侵防御服務可以對那些含有惡意攻擊腳本的通訊協議作在線檢測。在線檢測IPS 系統面臨兩個問題:速度和誤報率。與其他ILS 安全層緊密結合在一起的IPS 服務,在這兩方面表現相當不錯。因為ILS 的其他安全層大約可以攔截60%~70%的攻擊行為。那么對于這些攻擊的簽名庫已經不再需要了。這樣就降低了IPS 在簽名庫中的檢索數量同時提高了檢索時間還有誤報率。
深度應用檢測層可以明確地知道通訊協議,它會調用IPS 只針對已知的協議作檢測。這就意味著IPS 有目的性的檢測某協議的簽名庫子集,而不是在整個簽名庫中遍歷。同樣IPS也可以調用ILS 的自動攔截功能。當IPS 發現了第一個攻擊行為后,將攻擊者的IP 地址傳遞給自動攔截系統,那么該攻擊者的后續任何攻擊行為都被阻擋在“外部安全服務層”,從而進一步節省了系統開銷。這不像其他的IPS 那樣,對每一次攻擊都要進行深入分析,而白白浪費系統資源,降低處理能力。
◆ 間諜軟件的防御
間諜軟件會通過P2P 傳播,也會通過感染文件、Cookie 和下載傳播。間諜軟件會盜取用戶的鍵盤信息、密碼文件、認證信息等內容。它也會消耗PC 的資源和網絡帶寬。WatchGuard 的IPS 引擎可以依據簽名特征和獨特的意圖分析來攔截間諜軟件。IPS引擎可以對抗:
攔截站點 —— IPS 引擎會主動攔截通過HTTP 協議對已知間諜主機或下載站點的訪問;
基于簽名的內容檢測 —— IPS 引擎會不斷地升級攻擊特征簽名庫,利用特征來攔截間諜軟件的下載;
截斷配置 —— 間諜軟件一般都會向外傳遞一份安裝報告,并下載一份初始化配置文件;IPS 引擎會識別并攔截這種通訊;
自動安裝 —— 在一個安全網絡中的被感染主機,會利用網絡連接建立一個新的通訊通道,用于傳輸竊取的信息、下載另外的間諜程序或者非法廣告;IPS 引擎都可以識別并攔截這些通訊;
反垃圾郵件服務(spamBlocker)
垃圾郵件大約占據了當今郵件總量的63%,這也是絕大多數公司所面臨的頭痛問題。WatchGuard 的反垃圾郵件服務利用Commtouch 公司的循環模式檢測(RPD)技術給予用戶實時的保護,對于垃圾郵件、病毒郵件爆發的檢測率高達99.95%,而且在設備中還不使用任何簽名及過濾。
與評估關鍵字和內容所不同,這項技術實時分析大量的Internet 流量,并當垃圾郵件爆發的瞬間立刻分析出其特征(或者叫DNA)。每天都對將近500 萬條樣本信息進行高級運算分析,在1、2 分鐘內就可以識別并分類新的具有代表性的垃圾郵件特征。spamBlocker 利用這項技術直接通過Commtouch 檢測中心(大約維護2 億個垃圾郵件特征)比較可疑郵件,給予用戶最新的垃圾郵件防御。
這項技術具如下4 項特點:對垃圾郵件、病毒郵件的爆發做出極其快速地反映;幾乎為零的誤判率 —— 可以很好地從垃圾郵件中識別出正常通訊;高垃圾郵件識別率 —— 攔截97%的無效郵件;與語言無關 —— 對于垃圾郵件的攔截不依賴于語言、內容和信息格式;
spamBlocker 利用郵件通訊的基本特性來鑒別是否為垃圾郵件,并將97%的垃圾郵件阻擋在網關以外,而且這些處理都是瞬間完成的。利用大量的信息特性而不是檢索那些單獨的內容、語言或格式,spamBlocker 可以實時鑒別全球的垃圾郵件,包括那些郵件釣魚攻擊,同時還保證了其他網絡通訊的高處理性能。
為了更好地服務于郵件用戶,spamBlocker 支持外部隔離服務器,那些被識別為垃圾或含病毒的郵件,會被發送到指定的郵件服務器中保存,并定期通過郵件通告通知郵件接收人領取隔離的郵件。
URL 分類過濾服務(WebBlocker)
WatchGuard 的WebBlocker URL 分類過濾服務使你不單單可以配置哪些用戶能夠進行Web 訪問,還允許你定義哪些Web 是可以訪問的。在WSM 中,使用可視化的配置,你可以對允許訪問的Web 類型和什么時間段可以訪問這些內容做出快速分類處理。WebBlocker 采用全球Web 過濾技術的領導者 —— SurfControl 公司的數據庫和引擎技術,保證了分類的正確性和覆蓋的全面性。WebBlocker 使用多種分類來幫助用戶攔截那些不希望進入網絡的內容:
攔截間諜軟件站點和那些已知的存在惡意代碼的站點;攔截在工作場所不適宜觀看的內容;如色情信息;攔截與工作無關的內容,提高工作效率;
利用客戶訂制化列表、用戶身份認證、基于時間的不同訪問策略等技術,WebBlocker可以幫助你有效地執行網絡管理政策。WebBlocker 還可以幫助你和你的網絡遠離那些含有病毒、蠕蟲、間諜軟件、惡意程序的網站。
